Ansvaret ligger hos databrukeren
Med dagens it-systemer er det ikke teknologien, men brukeren som har det største ansvaret for datasikkerheten.
I 2005 passerte datakriminalitet narkotika i global omsetning. I dag er tallet fordoblet.
– Før var penger motivet, vi ble helst svindlet av kriminelle. Nå kan du bli angrepet av hvem som helst, kanskje noen som ikke liker deg, og som er ute etter å ta deg, forklarer seniorrådgiver Hans Marius Tessem ved Norsk senter for informasjonssikring (Norsis), og får støtte av sin kollega seniorrådgiver Vidar Sandland.
– Når du er på internett, er du samtidig på det mest kriminelle stedet i verden, sier Sandland.
Informasjonssikring
Sammen med en gruppe på fem rådgivere jobber Tessem og Sandland for å gjøre informasjonssikring til en naturlig del av hverdagen, både for privatpersoner, kommuner og bedrifter.
– Vi blir veldig ofte bedt om å holde foredrag i kommuner, og det blir stadig flere forespørsler, sier Tessem.
Mange sikkerhetshull
De har begge inntrykk av at norske kommuner jobber aktivt for å bedre datasikkerheten. Likevel er det forskjeller.
– Det blir fort et ressursproblem, de store kommunene er også gjerne de som er flinkest, sier Sandland.
– Vår rolle er å pirre kommunene. Vi reiser rundt og viser for eksempel hvordan en hacker jobber, forklarer han.
– Mange kommuner tror de er sikret, men når du begynner å grave dypere, viser det seg at det fins mange hull. Det er mye av problemet, sier Fredrik Hellstrøm, avdelingsleder i Fagforbundet Seksjon kontor og administrasjon.
Ifølge Hellstrøm er datasikkerhet dårlig fundert i norske kommuner.
– Det skyldes ikke at kommunene ikke bryr seg, men at de rett og slett mangler kompetanse på området. De er ikke klar over alle mulighetene, og hvor lett det er å styrke sikkerheten, sier Hellstrøm.
Han mener kompetanseheving og økt forståelse av farene er det som skal til.
– For å løse dette, må de skaffe seg kompetanse, altså sørge for å gi utdanning og kursing. Det er ikke nødvendigvis snakk om mye penger.
Menneskelige feil
Ifølge Norsis er det bedriftens ansatte som sitter med det meste av ansvaret for datasikkerheten, og derfor er også opplæring og holdningsarbeid viktig.
– Det er sjelden at sensitiv informasjon ligger fullt tilgjengelig. Det er som oftest menneskelig feil som fører til at informasjon spres, enten den ble glemt på en minnepinne eller sendt som en ukryptert e-post, sier Sandland.
Samtidig krever de mange nye mediene større bevissthet av brukerne.
– Jeg tror vi er i en overgangsfase, hvor vi etter hvert må bli mer bevisst på hva vi legger ut på internett, forklarer Tessem.
Rådgiverne hos Norsis opplever ofte at arbeidsgivere mener de sosiale mediene er en så stor trussel at de ikke hører hjemme på arbeidsplassen. Det er ikke Tessem og Sandland enige i.
Trenger bevisstgjøring
– Det er ofte arbeidsgivere vil ha oss inn for å hjelpe dem å forby bruk av sosiale medier på jobben. Men selv om du forbyr sosiale medier i arbeidstida, hindrer ikke det den ansatte i å legge ut sensitiv informasjon på fritida, forklarer Sandland.
Han mener likevel at det er en fordel å ha klare retningslinjer for å hjelpe it-brukerne på rett kjøl.
– Folk må få et forhold til det å dele informasjon på nettet, og ikke tro det bare handler om facebook. Å sende en e-post er det samme som å sende et åpent brev, med det sikkerhetsnivået vi har i dag, forklarer Tessem.
Norsis jobber derfor for å bevisstgjøre norske databrukere.
– Det å tenke sikkerhet må bli til en ryggmargsrefleks. Det er ikke noen angrefrist på internett. Det du har publisert vil alltid ligge der, sier Sandland.
Enkelt å angripe
Rådgiverne peker på at dataangrep i dag krever så lite teknisk kunnskap at så å si enhver databruker kan stå bak. De velger å bruke betegnelsen angriper framfor hacker, fordi det kan være både en venn, kollega eller et medlem av familien som står bak.
– Potensielle angripere har vokst til omtrent like mange som kan bruke en pc. Hver enkelt av oss er mye mer tilgjengelig enn før, og det er informasjonen om oss også. Hvis noen skal gjøre et angrep på en kommune, kan de enkelt bruke informasjon om den enkelte ansatte, forteller Tessem.
Et angrep kan være at noen stjeler passordet og brukernavnet ditt, at de tar over kontrollen av PC-en din, eller at de bruker deg som en vei videre for å gjøre skade andre steder. Norsis deler angrepene inn i tre metoder: fristelser, skremsel eller tillit.
– Fristelser kan være tilbud om gratis programvare, tv, spill eller liknende. Det er også vanlig med e-poster som oppgir at du har vunnet et stort pengebeløp. Skremsler fungerer gjerne ved at du får beskjed om at du har virus på maskinen din, hvor du så får tilbud om å installere et antivirusprogram. De som spiller på tillit, er de som er vanskeligst å beskytte seg mot, fordi man tror man kjenner avsenderen, og dermed forsvinner skepsisen, forklarer rådgiverne.
Vær våken
Sandland og Tessem sammenligner databruk med det å kjøre bil. Sistnevnte krever ordentlig opplæring.
– Vi er blitt veldig flinke til å beskytte oss med brannmur og antivirus, og tror at vi er trygge. Ja, det gir deg en basissikkerhet, men god sikkerhet krever også mer av brukeren, sier Sandland.
Likevel ønsker ikke rådgiverne å skremme noen fra å være databrukere.
– Bruk det som fins, men vær våken, er rådet fra Tessem.