Søk

– Det beste sikkerhetsutstyret sitter mellom øra

– Ledere og ansatte i så godt som alle bedrifter har for liten bevissthet på hvor viktig deres egen data- og nettatferd er for bedriftens informasjonssikkerhet. Altfor mange går rundt og tror at «sikkerhet er noe andre skal fikse for oss».

Fagdirektør Roar Thon i NSM understreket at hver enkelt må ta sikkerhetsansvar.

Dette sa fagdirektør Roar Thon i Nasjonal sikkerhetsmyndighet (NSM) da han holdt sin forelesning «Din digitale atferd – viktig for deg og din arbeidsgiver», på Juristkongressen.

Thon pekte på at hackere og andre såkalte trusselaktører som vil trenge seg inn i datasystemene til bedrifter, institusjoner og organisasjoner ofte bruker epost i dataangrepet.

– På verdensbasis sendes det ut 205 milliarder eposter hver eneste dag, så epost er i seg selv en gedigen leveringsmaskin. I denne mengden er det selvfølgelig mye fine og viktige ting som vi må åpne. Trusselaktørene forsøker å gjøre eposten så relevante for oss som mulig, og det som er kjennetegnet ved eposter fra trusselsaktørene er selve åpningen av vedlegget eller linken. Det er da det digitale angrepet starter, sa Thon.

Han viste til storangrepet mot flere bedrifter her i landet for noen år siden.

– Da Norge ble utsatt for det media valgte å kalle Norgeshistoriens største dataangrep var det over 500 norske selskaper innenfor olje, gass og energisektoren som ble rammet, og det skjedde ved hjelp av eposter i fem forskjellige varianter sendt til omlag 600 nøkkelpersoner. Det var ikke tilfeldig hvem de 600 menneskene var. Her hadde noen brukt tid på å finne ut på forhånd om disse menneskene. De bruker det de kan få vite om oss, som er åpent tilgjengelig. Og man er i stand til å skreddersy det ganske bra, så epostenes innhold treffer oss slik at når vi åpner dem så gjør vi faktisk en del av de tingene vi er avhengige av å gjøre, sa Thon.

En grunnleggende utfordring er den høye grad av tillit vi har her i landet

Han mener sikkerhetsselskaper som oppfordret til å ikke åpne vedlegg eller linker fra folk man ikke kjenner, ga håpløse råd.

– Vi kommer ikke bort fra det faktum at de aller fleste av oss har som jobb å motta epost. Å åpne vedlegg og linker og å videresende. I dette ligger det en betydelig risiko. Det enkleste sikkerhetsmessige tiltaket for epost ville være å slutte å bruke det. Men vi har ikke noe som egentlig kan erstatte det – i hvert fall ikke på kort sikt, sa Thon.

Kommer til å bli lurt

Fagdirektøren pekte på at bedriftene må bli bedre på å sikre epostbruken rent teknologisk, og at brukerne må få bedre kunnskap.

– Men uansett hvor mye kunnskap vi gir, så kommer folk til å klikke. Vi må forstå at vi kommer til å bli lurt. En strategi er å ha bedre tiltak rent teknologisk på hvordan vi håndterer det når vi faktisk blir lurt, sa Thon.

Han mener man også på et tidspunkt må ansvarliggjøre brukerne.

– Man må ikke se på dette som utelukkende et teknologisk spørsmål slik at det bare er toppleder som skal fikse det og alt annet skal gå av seg selv. Det er dessverre ikke så enkelt, sa Thon.

I tillegg til datainntrenging fortalte han om svindelforsøk.

– Blant faktorer trusselaktørene også spiller på er vår fristelse, vår medfølelse og frykt. Og vi går på med hud og hår, sa Thon.

– Men det er håpløst når politiet går ut i media advarer og sier at folk ikke skal ta telefonen dersom et aktuelt nummer ringer. Det løser ingenting – det nummeret er endret omtrent før artikkelen kommer på trykk. Trusselaktørene tilpasser seg. Og det er jo ikke sånn at vi automatisk blir lurt hvis vi løfter av røret. Det kreves faktisk en dialog og en samtale der, sa Thon.

Han mener nordmenns holdninger til andre også er en faktor som gjør oss sårbare.

– En grunnleggende utfordring er den høye grad av tillit vi har her i landet, til hverandre og omgivelsene, til kolleger og til myndigheter. Undersøkelser viser at vi i Skandinavia scorer høyt på dette i Europa. Vi har skrudd sammen samfunnet vårt basert på det, noe som jo er en kjempepositivt. Problemet er at situasjonen blir annerledes i det digitale møtet med krefter som er betydelig mer kyniske en oss, sa Thon som mener våre evner til å være fare reduseres foran datamaskinen, smarttelefonen eller paden.

– I det digitale rom bruker vi mennesker i realiteten bare to av sansene våre, syn og hørsel. Jeg håper vi bruker hodet også – men det er ikke definert som sans. Vi mister faktisk evnen vår til å ta på ting, lukte på det, og smake på det, noe som vi ellers kan ta i bruk for å være fare. Vi blir derfor ganske blinde i forhold til å detektere farer når vi setter oss ned foran disse maskinene våre, sa Thon som advarte mot å bare sende folk på kurs, og tro at informasjonssikkerheten i bedriften blir bedre ivaretatt.

– Det nytter ikke å gi folk kunnskap hvis det ikke fører til noe. Vi bør se en endring totalt sett i atferd. Selskaper setter alle ansatte skolebenken for å lære om informasjonssikkerhet, men ofte måles effekten i oppmøte. Ingen spør hva undervisningen førte til – hadde den overhodet noen effekt, sa Thon som gikk til NSM i 2003 etter mange år som etterforsker i politiet.

Han holder nå rundt 100 foredrag om informasjonssikkerhet i året.

– Noe av det aller beste sikkerhetsutstyret som er oppfunnet sitter mellom øra på folk. Rimelig i drift er det også. Dersom man ønsker å øke sikkerheten i bedriften sin, skal man kanskje ikke automatisk begynne å mase etter mer teknologi og flere ansatte – det kan være at man trenger de to tingene også – men det er erfaringsmessig betydelig mye å hente på å aktivisere det som er mellom øra på de som allerede er der, sa Thon.

Del & skriv ut:
Se Juristkontakt sine retningslinjer for kommentarer.