Hjem » Mestrer vi digitale trusler?

Fagartikkel

Mestrer vi digitale trusler?

Fotograf: Ade Akinrujomu/NTB Scanpix

Visste du at hackere ofte forsøker å manipulere deg for å få tilgang til informasjon i datasystemene du bruker?  Digitale angrep mot virksomheter er gjerne både sofistikerte og målrettede.

 

Den enkelte medarbeiders kunnskap om og holdninger til informasjonssikkerhet er avgjørende for å beskytte virksomhetens verdier.

Social engineering, eller sosial manipulering, innebærer å lure brukere til å begå sikkerhetsfeil eller gi fra seg sensitiv informasjon.i ii Ved å bruke enkle psykologiske virkemidler kan hackerne lykkes med å skaffe seg tilgang til datasystemene våre. Fremgangsmåtene blir stadig flere og endrer seg i takt med digitaliseringen i samfunnet vårt. Det kan dreie seg om et klikk på en e-postlenke, et besøk på en falsk nettside, trusler og utpressing, falske konkurranser eller et skadelig vedlegg. Sosial manipulering baserer seg i stor grad på at mennesker reagerer forutsigbart og instinktivt på ulike situasjoner i. Vi lever i den tro at vi ikke er lettlurte og at vi enkelt vil oppdage svindel.

Ny teknologi gir oss store muligheter. Stadig mer komplekse digitale infrastrukturer og systemer utfordrer oss imidlertid også. Økt bruk av hjemmekontor under koronapandemien har gjort oss mer sårbare. Det er all grunn til å bli mer oppmerksom på truslene i vår digitale hverdag.

Undervurderer risiko

Gjennom det siste året har nasjonen vår stått i en krevende og langvarig håndtering av koronapandemien. Flere virksomheter har i tillegg blitt utsatt for kraftige digitale angrep. Angrepet mot Østre Toten kommune i januar 2021 er trolig det verste dataangrepet en norsk kommune har blitt utsatt for. Kommunens 1300 ansatte måtte jobbe med penn og papir fordi datasystemene ble gjort utilgjengelige for alle ansatte. Personsensitive opplysninger som personnummer og helsedata kom på avveie og er lagt ut på «det mørke nettet»iii.

Norsk senter for informasjonssikring (NorSIS) publiserer årlig rapporter om digitale trusler og trender. I fjorårets rapport «Nordmenn og digital sikkerhetskultur 2020»iv fremkom det blant annet at befolkningen mener at koronautbruddet har medført en endring i det digitale risikobildet:

«Det er interessant at de fleste mener at den digitale risikoen i samfunnet har økt, bare ikke for dem selv» (rapportens s. 73). Utfordringen er at vi kanskje undervurderer den menneskelige faktoren og behovet for bedre informasjonssikkerhet i samfunnet gjennom den digitale risikoen vi utsetter oss for.  «Når det kommer til synet på risiko på nett, mener nordmenn at det er mye større risiko for at noen andre skal gjøre noe mot dem (f.eks. hacke en nettside der de har personlig informasjon)enn at de selv skal gjøre noe feil» (s. 58).

Bevisstgjøring og kunnskap om informasjonssikkerhet

Kunnskap om digitale trusler og egne sårbarheter er avgjørende for å beskytte virksomheten mot digitale trusler. De ansattes kunnskap om virksomhetens informasjonsverdier, hvilke trusler man står overfor og hvordan digitale angrep kan gjennomføres er viktig for å være i stand til å oppdage og forhindre dataangrep.

I informasjonssikkerhetsarbeidet er det tre nøkkelbegreper man bør kjenne godt til; konfidensialitet, integritet og tilgjengelighet.

Konfidensialitet handler om å sikre at informasjon kun er tilgjengelig for de som skal ha tilgang til denv. Dette er informasjon vi ønsker å beskytte og holde hemmelig for andre av ulike grunner. Informasjonen kan for eksempel være pasientjournal, passord, private meldinger og bilder. Når vi snakker om informasjonssikkerhet, er det gjerne dette begrepet vi vier aller mest oppmerksomhet. Mangel på integritet og tilgjengelighet kan imidlertid i mange tilfeller være minst like kritisk. Dette er et poeng som Roar Thon, fagdirektør i Nasjonal sikkerhetsmyndighet (NSM) tar til orde for. I et intervju med NRKbetavi uttalte han følgende:

«Å rette et lys på datainnbrudd er viktig, men tap av tilgjengelighet til informasjon, systemer og plattformer er kritisk. I et samfunnsperspektiv er det oppskriften på en alvorlig samfunnskrise. Derfor syntes jeg det er for snevert at debatter om alt fra tjenesteutsetting til alvorlige cyberhendelser bare dreier seg om konfidensialitet».

Thon kan forstås dithen at han ser behovet for mer forståelse for og søkelys på begrepet tilgjengelighet i informasjonssikkerhetsarbeidet. Når det gjelder det siste nøkkelbegrepet, integritet, lar vi følgende tanker henge i luften: Se for deg at nettsiden til bedriften du eier blir endret på troverdig vis, og det blir spredd skadelig feilinformasjon om virksomheten din på sosiale medier. Eller at legejournalen din blir endret og du blir feilbehandlet mens du er innlagt på sykehus. Endring og manipulering av informasjon kan gjøre stor skade, både for privatpersoner, offentlige instanser og i næringslivet. Kunnskap om informasjonssikkerhet er avgjørende for å lykkes og i den sammenheng spiller virksomhetens ledelse en avgjørende rolle. Å sørge for opplæring av medarbeiderne, etablere systemer, struktur og kultur for sikkerhetsstyring er et ledelsesansvar.

Effektive tiltak

Nasjonal sikkerhetsmyndighet (NSM) har utarbeidet en sjekkliste som beskriver fire enkle og effektive tekniske tiltak som systemeiere i offentlig sektor bør benytte for å beskytte systemer mot internett-relaterte dataangrep. NSM er av den oppfatning at ca. 80-90 % av de mest vanlige angrepenevii enkelt kan stanses ved å gjennomføre disse tiltakene. Tiltakene handler om å oppgradere program- og maskinvare, installere sikkerhetsoppdateringer, ikke tildele administrator-rettigheter til sluttbrukere og blokkere kjøring av ikke-autoriserte programmer. Nasjonal strategi for digital sikkerhet ble utgitt av departementene i regjeringen i 2019viii. Strategien, som ble utgitt for fjerde gang, beskriver hvordan digitale sikkerhetsutfordringer skal møtes og peker på ti start-tips for hvordan digital sikkerhet bør inkluderes i virksomhetens risikoarbeid:

Digital sikkerhet må, som vi ser, møtes med en helhetlig tilnærming. Kjerneaktivitetene i det digitale sikkerhetsarbeidet bør rette søkelys på forebyggende tiltak, robust digital infrastruktur, evne og kompetanse til å oppdage og håndtere digitale angrep, ledelsesforankret prioritering og god sikkerhetskultur. Ved å følge rådene og anbefalingene til NorSIS og departementene vil en som medarbeider og virksomhet være godt rustet til å møte de digitale truslene. For å oppsummere med bruk av et sitat fra NorSIS-rapporten: «Om du gjør enkle tiltak, utgjør det en stor forskjell» (s. 24-25).

Referanser brukt i artikkelen

Nätt, T. H., & Heide, C. F. (2015). Datasikkerhet: Ikke bli svindlerens neste offer. Gyldendal Norsk Forlag AS

NorSIS (2021). Trusler og trender 2021. Hentet fra: https://norsis.no/wp-content/uploads/2021/03/NorSIS_Trusler_Trender_2021_Digital.pdf

Østre Toten kommune (2021). Informasjon om datainnbruddet i Østre Toten kommune. Hentet fra: https://www.ostre-toten.kommune.no/dataangrepet

NorSIS (2020). Nordmenn og digital sikkerhetskultur. Hentet fra: https://norsis.no/wp-content/uploads/2020/10/Nordmenn-og-digital-sikkerhetskultur-2020-web.pdf

Nasjonal digital læringsarena (2020). Konfidensialitet, integritet og tilgjengelighet. Hentet fra: https://ndla.no/subject:1:54b1727c-2d91-4512-901c-8434e13339b4/topic:2:de369d43-7380-460d-b80e-93f7f5631e36/resource:700e1f98-8133-400a-a2d2-10b4140f7418

NRKbeta (2018). Nå har Roar Thon holdt 1000 foredrag om sikkerhet. Dette er hans viktigste refleksjoner. Hentet fra: https://nrkbeta.no/2018/03/01/na-har-roar-thon-holdt-1000-foredrag-om-sikkerhet-dette-er-hans-viktigste-refleksjoner/

Nasjonal sikkerhetsmyndighet (2021). Sjekkliste: Fire effektive tiltak mot dataangrep. Hentet fra: https://nsm.no/regelverk-og-hjelp/rad-og-anbefalinger/sjekkliste-fire-effektive-tiltak-mot-dataangrep/

Departementene (2019). Nasjonal strategi for digital sikkerhet. Hentet fra: https://www.regjeringen.no/contentassets/c57a0733652f47688294934ffd93fc53/nasjonal-strategi-for-digital-sikkerhet.pdf