Informasjonssikkerhet og cybersikkerhet

Innlegg sist oppdatert av

Datasikkerhet og hacking

Verden er fæl, og da spesielt Internett-verdenen! Truslene og farene ligger på lur nesten over alt i den globaliserte verdenen. Det finnes nok av datakriminelle kjeltringer der ute i den store stygge verden. Det er nok av dem som har datainnbrudd / cyberangrep, cyberspionasje og/eller cybersabotasje som sitt levebrød, og som er profesjonelle på dette. Vi vanlige dødelige IKT-brukere – som privatpersoner eller bedrifter – blir deres uskyldige ofre.

Denne artikkelen vil ta for seg tematikken informasjonssikkerhet, datasikkerhet, IKT/IT-sikkerhet og cybersikkerhet. Jeg har tidligere vært innom disse temaene før her i bloggen, men nå blir det altså en helt egen artikkel kun viet disse temaene.

Informasjonssikkerhet er et omfattende og komplisert tema, og det er i praksis et helt eget fagområde for “spesielt interesserte” som vil fordype seg i problematikken. Uansett er dette et temaområde som vi alle bør ha litt overfladisk/allmenn kjennskap til og bevisst forhold til, da det er aktuelt for absolutt alle som nyttiggjør seg av IKT. Dvs. i praksis tilnærmet alle mennesker i Norge.

Noen sentrale begreper

Mange vil fort knytte informasjonssikkerhet opp mot begrepene:

  • Konfidensialitet: Hindre tilgang for uvedkommende.
  • Integritet: Hindre endring/sletting fra uautoriserte personer.
  • Tilgjengelighet: Sikre tilgjengelighet (tilgang) til enhver tid for dem som har rett til/behov for opplysningene.

En definisjon av informasjonssikkerhet kan være: Å håndtere risiko relatert til virksomhetens informasjonsverdier og behandling av personopplysninger.

I bedriftssammenheng går informasjonssikkerhet hånd i hanske med internkontroll og rutiner rundt dette. Risikovurderinger, ROS-analyser (risiko- og sårbarhetsanalyse) og risikostyring + tiltak er sentralt innenfor dette å sikre god informasjonssikkerhet.

Informasjonssikkerhet og personvern. Kilde: Pixabay.

Ofte benyttes begrepene litt om hverandre. En del sidestiller informasjonssikkerhet med datasikkerhet. Imidlertid er det en forskjell:

Datasikkerhet eller IKT/IT-sikkerhet: I hovedsak fokus på de IKT-tekniske aspekter. F. eks. Brannmurer, gode systemer for tilgangsstyring, tetting av sikkerhetshull via oppdateringer, løsninger for sikker tilgang utenfra, redundans osv.

Informasjonssikkerhet er noe mer omfattende enn “bare” teknologi og datasikkerhet/IKT-sikkerhet. Fokus rettes mot vidtrekkende sikring av informasjonsverdier, og ikke kun mot IKT-teknisk sikring av data. I tillegg til IKT-tekniske aspekter inngår også fysisk sikkerhet (f. eks. alarm/adgangssystem til rom, låsing, sikring mot naturkatastrofer osv.) og organisatorisk sikkerhet (lovverk, styringssystemer, rutiner, regler, avtaler, prosedyrer osv.). Den menneskelige faktor må heller ikke glemmes.  Personvern og beskyttelse av personopplysninger inngår også i informasjonssikkerheten.

Personvern har å gjøre med å sikre personopplysninger slik at uvedkommende ikke får tilgang på dem. Personopplysninger er opplysninger og vurderinger som kan knyttes mot identifiserbare enkeltpersoner. Informasjonssikkerhet omfatter personvern og mer til.

Et annet begrep som kan dras inn her er cybersikkerhet. Cybersikkerhet handler om å sikre fysisk infrastruktur og fysiske ting som er sårbare via IKT. Spesielt er dette aktuelt i disse IoT-tider (tingenes internett) hvor alt er på nett, inkludert sentrale samfunnsmessig viktige funksjoner og styringssystemer slik som vannverk, strømforsyning, kommunikasjonsnett osv.

Spesielt myndigheter og samfunnsmessig kritisk infrastruktur kan bli utsatt for cyberspionasje og/eller cybersabotasje. Ellers er det mange datakriminelle kjeltringer der ute som gjør det meste for lettjente penger.

Datakriminalitet må kunne kalles for en form for hvitsnippforbrytelser. Normalt benyttes dette begrepet i hovedsak som begrep rundt økonomiske lovbrudd/økonomisk kriminalitet (underslag, korrupsjon, skattesnyteri osv.) begått av personer i kraft av stilling, posisjon, nettverk og/eller tillit (ofte personer i overordnede betrodde stillinger, internt i en bedrift). Mye av datakriminaliteten har utgangspunkt i økonomisk vinning, og man bruker datanettverk (Internett) for å utføre angrepene. Noen ganger prøver man også å skape tillit via e-post-korrespondanse eller annen kontaktvirksomhet på forhånd.

Andre begreper som kan blandes inn i diskusjonen: Sikkerhet (generelt), beredskap, risiko, krisehåndtering, sårbarhet, trusler, beskyttelse, sikkerhetstiltak osv. Fire sentrale aktører som jobber med slikt: Politiets sikkerhetstjeneste (PST), Forsvarets Etterretningstjeneste, Nasjonal sikkerhetsmyndighet (NSM) og Direktoratet for samfunnssikkerhet og beredskap (DSB).

Eksempler på trusler

Noen eksempler på trusler som lurer der ute, og som kan være en risiko både for privatpersoner og bedrifter (virksomheter):

  • Dataangrep mot diverse nett-/tjenesteleverandører med fare for at personopplysninger kan komme på avveie (banker, BankID, Netflix, sosiale nettverk, nettjenester osv.).
  • Direktørsvindel (Falske fakturaer som angivelig er godkjent av leder, og som må betales fort av en økonomiansvarlig til det som viser seg å være svindlernes konto.)
  • Utpressing (pengeutpressing, løsepengevirus, seksuell utpressing, hevnporno m. m.)
  • Telefonsvindel (f. eks. “spoofing”), gjerne kombinert med overtakelse/stjeling (forfalskning) av norske telefonnumre for å gi økt troverdighet blant ofrene
  • Skadevare og datavirus
  • Forsatt kommer det farlige lenker og skadevare via e-post, sosiale nettverk eller via besøk på kompromitterte nettsider
  • Hacking og hackerangrep
  • Kjente og ukjente sikkerhetshull i program- og maskinvare utnyttes
  • Falske nettsider for kjente firma (jf. nettfisking)
  • Falske oppdateringer som inneholder skadevare
  • Falske kampanjer via e-post, sosiale nettverk, nettsider osv. hvor det loves gratis eller billige produkter, men hvor man i stedet blir fralurt penger og/eller personopplysninger
  • Løsepengevirus
  • Nettfiske (phishing)
  • DDoS (distribuert tjenestenekt)
  • Identitetstyveri (ID-tyveri)
  • Utnyttelse av sårbarheter i programvare og/eller maskinvare
  • Nigeriasvindel eller Nigeriabrev
  • Microsoft-svindel (falske telefonsamtaler, oppringing fra angivelig Microsoft som påstår at det er problemer på din PC og som vil “hjelpe” deg)
  • BYOD (Bring Your Own Device)
  • Smarte TV-apparater, rutere, smarttelefoner, nettbrett, velferdsteknologi, smarthus-teknologi, SD-anlegg etc. kan hackes, kapres, utsettes for andre former for datainnbrudd eller sabotasje og benyttes i zombie-nettverk (botnett), uten at brukeren/eieren nødvendigvis vet om det
  • Det samme kan finne sted med de nye smarte og automatiske strømmålerne (AMS)
  • Data vi har gitt fra oss – bevisst eller i vanvare/uvitenhet – kan bli solgt eller delt tilnærmet uhemmet videre, jf. det amerikanske presidentvalget, Cambridge Analytica og Facebook-skandalen
  • Data, informasjon, avanserte analyser, maskinlæring og IKT kan benyttes til å påvirke valgkamper og opinionen blant folk
  • F. eks. Apple vet å “låse” og å “holde fast” på sine kunder via sine lukkede løsninger
  • Vårt komplekse digitaliserte samfunn – inkludert det typisk norske – er utsatt for mange trusler og potensielle sårbarheter

Lista er ikke uttømmende. Også noe overlapping mellom noen av punktene.

Hacket

Vi lever i en globalisert og digitalt grenseløs verden. Informasjonssikkerheten til oss her i Norge kan bli truet via hacking og fjernangrep foretatt fra jordens andre side.

 

Fem land – USA, Storbritannia, Canada, Australia og New Zealand – oppfordrer og ber teknologiselskapene om å bygge inn bakdører i krypterte enheter til bruk for myndighetene for å avsløre terrorisme. Foreløpig er det frivillig, men de truer med å gjøre det obligatorisk. Bakdører av denne typen, om enn planlagte, er det stor grunn til å være skeptisk til. De kan fort bli benyttet til andre formål enn de tiltenkte, og det kan også tenkes at de kan bli benyttet/utnyttet av andre ikke-tiltenkte instanser (hackere etc.). Digitalt grenseforsvar eller “tilrettelagt innhenting” kan også fort gå fra å være et gode til å bli misbrukt.

En stor utfordring for tiden er angrep mot og utnyttelse av svakheter i IoT-enheter (tingenes internett). Dette kan være alt fra brødristere, TV-apparater, andre husholdningsapparater, biler, styringssystemer osv. som er på nett. En del av disse nymotens nett-tilknyttede enheter har en lang vei å gå for å bli gode på sikkerhet. I alt for liten grad har det blitt tenkt på sikkerhet under designet og produktutviklingen av mange av disse enhetene.

BYOD (Bring Your Own Device), dvs. privat IKT-utstyr som brukes i bedriftens nettverk, kan være en utfordring sikkerhetsmessig. Utstyret er normalt sett ikke under virksomhetens konfigurasjonskontroll og lever på mange måter sitt eget liv. Pga. eierens manglende kompetanse eller oppmerksomhet rundt datasikkerhet kan utstyret representere en sikkerhetsrisiko. Systemer for beskyttelse mot skadevare og innlegging av nødvendige systemoppdateringer kan være fraværende.

Personvernet er truet!

Støtt og stadig er det saker i media om apper som enten overvåker deg, samler inn alt for mye med personopplysninger eller har ondsinnet kode innebakt. Aktører slik som Google og Apple prøver å rydde opp i dette i sine løsninger (Google Play og App Store), men det er en evigvarende kamp der det innimellom kan glippe litt.

Typisk for tiden er å få falske e-poster eller lenker via sosiale nettverk “fra” bank og skatteetat, eller fra Elkjøp, Netflix, flyselskaper, Apple etc. Man skal få igjen penger på skatten eller få kjøpt et produkt billig (eller gratis), som fordrer innlegging av “litt” opplysninger først. Man kan også bli bedt om å oppdatere sine personopplysninger, profil eller passord på en nettjeneste (webmail osv.), hvor det gjerne spilles på sikkerheten. Svindel og humbug fra ende til annen, men det kan være noe vanskelig å oppdage at det er svindel da nettsider etc. ser ekte ut.

Det står å lese hos Tek.no at nordmenn er rike, godtroende og naive. Vi lar oss lure av ondsinnede e-poster med farlige lenker eller vedlegg i seg. Vi kommer fra et tillitsbasert samfunn hvor vi stoler på andre, og det blir et aldri så lite kulturkrasj når vi møter den store stygge verden på nettet bestående av blant annet proffe svindlere.

Jeg synes det via media støtt og stadig er avsløringer rundt store og vellykkede hackerangrep mot kjente nettjenester, f. eks. Google, Facebook osv. Selv hos store aktører som investerer mye i sikkerhetsløsninger finner det sted vellykkede datainnbrudd, og passord og annen informasjon kommer på avveie. Ingenting er 100 % sikret mot å kunne bli hacket.

En annen side av saken er hvor mye man kan stole på store aktører (multinasjonale konsern) slik som Google, Facebook, Apple, Microsoft, Amazon med flere, da våre personopplysninger og annen informasjon benyttes av slike firmaer som en handelsvare. Til dels driver de nesten til og med spionasje på sine kunder.

Det er i en del tilfeller snakk om falske nettsider proft laget (kopiert), hvor det virker som om man skal få noe gratis eller “steinbillig”. Først må man legge inn en haug med personopplysninger, kontonummer og f. eks. passord, som medfører at man i neste runde potensielt blir utsatt for svindel. Uærlige sjeler fanger opp personopplysninger, passord etc. som de senere kan misbruke til f. eks. økonomisk vinning eller ID-tyveri. Selvsagt får man ikke noe som helst gratis eller “steinbillig”, da det er alt for godt til å være sant. Det blir ingen “gratis lunsj” (les: produkt), men kan man bli utsatt for masse kjedelige konsekvenser (tap av identitet og/eller penger).

En del (sårbare) nordmenn – gjerne godt voksne mennesker – har blitt lurt av kjærlighetssvindel. Personer mer eller mindre på jakt etter en kjæreste mottar en venneforespørsel via sosiale medier. Personen i den andre enden framstår som en troverdig person, og det oppstår en avstandsforelskelse. Personen i den andre enden er en tålmodig kjeltring som bruker masse tid på å bygge opp tillit. Chat blir blant annet benyttet til utstrakt kommunikasjon mellom de to.

Deretter begynner pengemaset hvor offeret blir lurt til å overføre store summer angivelig til helsebehandling, reiser, livets opphold eller tilsvarende. Personen i den andre enden har selvsagt hatt en falsk profil, og vedkommende er langt fra den personen som han/hun har utgitt seg for å være. Alt viser seg å være svindel og humbug, et skuespill for å få svindlet til seg penger fra godtruende nordmenn som tror for godt om andre.

Mye av svindelen nevnt ovenfor starter ofte med “phishing”, som på “godt norsk” kan kalles for nettfiske eller phiske (digital snoking). Dette kan finne sted via f. eks. falske nettsider, mottatte e-poster med lenker eller vedlegg i, via chat (lynmeldinger) eller via mobiltelefon (SMS-meldinger osv.). Angriperen utgir seg for å være noen andre enn det de er – gjerne et kjent firma som man har et kundeforhold til (bank, Netflix, Microsoft osv.), med mål om å lure fra offeret brukernavn, passord, koder, kredittkortopplysninger osv.

Ofte blir man via lenker sendt til en falsk nettside (gjerne proft utformet, eller kopiert ned til minste detalj fra den ekte siden) med et “lureskjema” (nettside) som man blir oppfordret til å fylle ut. Man blir f. eks. bedt om å oppdatere sine betalingsopplysninger på en tjeneste eller tilsvarende, men hvor lenken fører til en falsk nettside som gir angriperne alle dataene man fyller ut. F. eks. kan man bli lurt til å oppgi kredittkort-nummer, CVC2-kode, PIN-kode m. m., som igjen gir svindlerne nok opplysninger til at de kan gjennomføre pengesvindel (trekke penger fra konto).

Verdt å sjekke ut:

Vårt samfunn er i ferd med å bli helt gjennom-digitalisert, og nesten all aktivitet er avhengig av IKT (informasjons- og kommunikasjonsteknologi) for å fungere. Fint og flott i seg selv, men dette gjør oss også ekstremt sårbare. Katastrofer eller større angrep som slår mye av teknologien ut vil medføre store problemer for mye av landets infrastruktur. Betalingsløsninger kan slutte å fungere, ikke-fungerende styringssystemer for strøm, vann og avløp kan skape problemer for leveransen av disse produktene og også leger og helse er avhengig av teknologien i sin hverdag. Internett, mobil og TV/radio kan også bli satt ut av spill, noe som vil gi store konsekvenser for de fleste av oss som er helt avhengig av at denne teknologien fungerer i vår hverdag.

Digital svindel eller nettsvindel

Ifølge nyhetsoppslag hos TV 2 29.08.2018 svindles nordmenn for nærmere fem milliarder (5 000 000 000) kroner i året via digitale plattformer. Blant annet svindles det med:

  • Kjærlighetssvindel.
  • Trangen til raske penger, f. eks. investeringsbedrageri. Man blir lurt til å gå inn med penger i et “prosjekt” som skal gi stor og kjapp avkastning. Enkelt og greit for godt til å være sant, noe det også da er.
  • Salg av ting som folk ikke har peiling på, f. eks. kryptovaluta, gull, edle metaller, valutaspekulasjoner m. m. Også her blir man kraftig lurt, dvs. rundlurt.

Norske myndigheter og institusjoner (banker m. m.) regner med å klare å stanse “bare” 590 millioner kroner i år av pengene som er på vei til kriminelle i utlandet. De kriminelle bruker pengene på blant annet våpen, prostitusjon, narkotika og luksus.

Selv har jeg mest sympati /empati med dem som blir lurt for penger via kjærlighetssvindel. Mennesker blir utnyttet i en sårbar situasjon, og det spilles på lykke og følelser i stor grad. Om noen blir svindlet pga. deres pengegriskhet og drømmen om kjappe penger engasjerer meg ikke i like stor grad.

En god del havner altså på limpinnen og blir utsatt for nettsvindel. Nordmenn er muligens noe naive og godtroende i sin framferd på nettet, og i tillegg har de kriminelle blitt mer og mer proffe i sine svindelforsøk. Det finnes mange personer som har det som jobb å svindle andre. En del av svindlerne går grundig til verks med forarbeidet, og de kan drive med tillitsbygging overfor det framtidige offeret over en lengre periode.

I tillegg til alt dette har man jo falske konkurranser på nettet, gjerne via sosiale medier. Tradisjonell datahacking og diverse ulike former for datainnbrudd er stadig “populært” blant svindlere.

 

Trusselbildet ifølge NorSIS

Trusler og trender (i ikke-teknisk språk) mot individer og virksomheter i vår digitale hverdag 2017-18, ifølge NorSIS:

  • Informasjonstyveri
  • Vanvare
  • Løsepengevirus
  • Direktørsvindel
  • Industrispionasje
  • Sabotasje
  • Identitetstyveri
  • Datingsvindel
  • Personutpressing
  • Krenkelser

Kilde: https://norsis.no/trusler-trender-2017-18/

Det blir også nevnt utfordringene for oss alle med dagens IoT-trend (“tingenes internett”). Den store bruken av sosiale medier, og den medfølgende mulighetene for sosial manipulering er en del av dagens virkelighet. Vi lever i det digitaliserte samfunnet med bruk av skyen, masse nettjenester m. m. Alt dette gir muligheter for sårbarheter som kan bli utnyttet til cyberkriminalitet og cyberkriminelle.

Utviklingen av Internett

I nettets barndom for oss vanlige brukere (på midtre og siste del av 1990-tallet) framstod det som en desentralisert, frigjørende, demokratisk, usensurert, uregulert og nesten anarkistisk kommunikasjonskanal. Det var høy grad av ytringsfrihet og gode muligheter for den enkelte å gjøre det vedkommende fant for godt. Til tider gikk vel friheten litt vel langt og endte over i misbruk (ulovligheter) riktignok.

Etter hvert har nettet utviklet seg i en negativ retning sett med mine øyne. Det har blitt et globalt nettverk for overvåking, dataangrep og kommersiell utnyttelse. De store konsernene har styringen med agendaen, og oss som hører til grasroten ties mer eller mindre i hel og blir overkjørt av de store.

(Nå må man oppsøke det mørke nettet eller dypnettet for å få full frihet. Imidlertid er vel dette nettet mest for anonyme «kjeltringer» og ulovligheter.)

 

PST: Trusselvurdering 2019

Politiets sikkerhetstjeneste (PST) har presentert sin trusselvurdering for 2019. De største truslene slik PST ser det:

  • Statlig etterretningsvirksomhet mot Norge og norske verdier.
  • Politisk motivert vold (ekstreme islamistiske grupper, terrorangrep).
  • Trusler mot myndighetspersoner.

En del av disse truslene og farene kan finne sted via digitale medier / informasjonsteknologi. PST er spesielt opptatt av muligheten for cybertrusler fra land slik som Kina og Russland.

Sikkerhetsselskapet Trend Micro sin 2018-rapport

Sikkerhetsselskapet Trend Micro har publisert sin årlige “Security Roundup”-rapport som omhandler år 2018. Digi.no skriver noen ord om funnene i denne rapporten i sin artikkel:

Norge ligger på femteplass i verden når det gjelder direktørsvindel. Andre trender i 2018 i tillegg til direktørsvindel er: Kryptokapring og nettfiske (“phishing”-angrep). Løsepengevirusene (“ransomware”) på sin side viser en nedadgående tendens.

Google-rapport for Android-plattformen 2018

Ifølge rapport fra Google er en stor sikkerhetstrussel på Android-plattformen klikksvindel. Det er da snakk om bruk av programvare / systemer for å generere / simulere mange klikk på annonser for å påvirke reklameinntektene / reklameutgiftene, enten til seg selv (skape inntekter) eller sine konkurrenter (skape utgifter).

Andre sentrale trusler er trojanere, SMS-svindel og spionasje-funksjonalitet i apper.

Beskyttelse og tiltak

Datakriminaliteten vil neppe avta i tiden framover. Det vil stadig dukke opp nye trusler og angrep. I vårt digitaliserte samfunn hvor vi finner IKT over alt blir man i høyeste grad sårbare. Sårbarheten kan vi ikke springe fra så lenge som vi lever i en globalisert og digitalisert verden, og hvor det er gode penger i å drive med cyberkriminalitet. Forbrytelsene kan foretas via nettet uten å være fysisk til stede der som forbrytelsene reellt finner sted.

Tekniske sikringstiltak er selvsagt viktig. Brannmurer og tetting av sikkerhetshull er eksempler på tekniske tiltak. Imidlertid blir aldre sikkerheten bedre enn det svakeste leddet.

Det svakeste leddet er ofte mennesker, og den menneskelige faktor må ikke undervurderes eller glemmes. Mennesker kan lures og manipuleres til å foreta seg ting på innsiden av brannmuren som gjør tekniske sikringstiltak tilnærmet ubrukelige og unyttige. Ofte må det foretas organisatoriske endringer for å få økt sikkerhetsnivået. Informasjonssikkerhet handler om mye mer enn bare teknologien.

Menneskene må “dresseres” skulle jeg til å si. Opplæring i informasjonssikkerhet og holdningskampanjer for å gjøre oss alle mer bevisste kan være nødvendige tiltak. Vår kritiske sans må opptrenes, slik at vi ikke uten videre trykker i vilden sky på alle lenker og e-poster som kommer vår vei.

Oss godt voksne er født inn i verden før teknologien gjorde sitt inntog for fullt. For å bli gode cyberborgere kan det være nødvendig med diverse tiltak som gjør oss bedre i stand til å bruke teknologien på en fornuftig måte og til å ta bedre beslutninger. Nettvett kan være tingen også for godt voksne.

Ifølge Nasjonal sikkerhetsmyndighet (NSM) finnes det fire effektive tiltak mot dataangrep, hvor det påstås at disse tiltakene alene stopper opp mot 90 % av dataangrepene:

  1. Oppgrader program- og maskinvare.
  2. Installere sikkerhetsoppdateringer så fort som mulig.
  3. Ikke tildel administrator-rettigheter til sluttbrukere.
  4. Blokker kjøring av ikke-autoriserte programmer (“hvitelisting”).

Kilde: Nasjonal sikkerhetsmyndighet (NSM): Fire tiltak stopper opp mot 90 prosent av dataangrep

Avansert teknologi mot avanserte trusler

Selv om kommentaren til teknologisjef Nils Ove Gamlem i Check Point gjengitt i Digi.no er mer eller mindre reklame for Check Point sine sikkerhetsprodukter gjengir jeg noen punkter fra innlegget, noe omskrevet.

Det har i 2018 vært diverse store kyberangrep som har blitt førstesidestoff i mediene. I den forbindelse setter forfatteren opp en liste over noen kybertrender for år 2019 basert på det tilbakelagte året:

  • Det blir mer og mer “populært” med skadevare som graver etter digitalt gull, dvs. krypto-valuta og krypto-miners som finner sted uoppdaget på vårt utstyr og generere kontinuerlige inntekter for de kriminelle som står bak.
  • Angrep mot mobiltelefoner som er dårlig sikret.
  • Innbrudd rettet mot skytjenester.
  • Maskinlæring og AI kan misbrukes til å utvikle bedre skadevare.
  • Land og stater som angriper og påvirker andre er en bekymringsfull utvikling.
  • Organisasjoner har sviktet rundt dette å ta i bruk bedre sikkerhetsrutiner og produkter for å beskytte sine nettverk og enheter. Blant annet utfordres sikkerheten av IoT, velferdsteknologi, medisinske enheter, selvkjørende kjøretøy og andre mobile enheter.

Check Point sin løsning er nanosikkerhetsagenter.

 

Informasjonssikkerhet og internkontroll er en kontinuerlig prosess som man aldri blir ferdig med. Arbeidet må hele tiden revideres, og nye tiltak må tas i bruk for å stoppe nye typer trusler.

Det kan ofte være aktuelt å leie inn ekstern kompetanse og konsulenter. En utfordring er stor mangel på fagfolk innenfor informasjonssikkerhet. Det er et skrikende marked for enda flere flinke fagfolk og eksperter innenfor informasjonssikkerhet, cybersikkerhet og datasikkerhet.

Bransjespesifikke CERT-team (Computer emergency response team) som kan bistå i kartleggingen og oppryddingen kan også ha noe for seg.

Alt er ikke personopplysninger

Via fokus på personvern, GDPR, personopplysningsloven etc. har det vært et visst fokus på verning av personopplysninger. Spesielt er det en del bevissthet rundt å hindre uvedkommende tilgang på sensitive personopplysninger, slik som f. eks. helseopplysninger.

Innenfor informasjonssikkerhet er personvernet viktig, men det finnes også annen informasjon som må vernes selv om det ikke er snakk om personopplysninger. F. eks. kan det være ønskelig å unngå at følgende typer opplysninger kommer på avveie, blir manipulert eller blir gjort utilgjengelige:

  • Forretningshemmeligheter (f. eks. oppskrifter)
  • Strategier
  • Produktutvikling
  • Beslutninger rundt bruk av virkemidler for å oppnå konkurransefortrinn osv.
  • Kontraktsmessige forhold
  • Styrings-/driftssystemer (PLS-systemer, SD-anlegg osv. som kan bli manipulert eller satt ut av drift, jf. cybersikkerhet)
    Osv.

Også informasjon som ikke er personopplysninger må i en del tilfeller beskyttes. Hvis ting feiler kan man i verste tilfelle risikere at en bedrift går konkurs.

Cybersikkerhet

Cybersikkerhet

Ikke bare-bare for små og mellomstore bedrifter

Små og mellomstore bedrifter (SMB) har ofte ikke nødvendige kompetanse internt når det gjelder informasjonssikkerhet og datainnbrudd m. m. Det kan være begrenset med hjelp som lett kan innhentes.

Noe kompetanse kan leies inn ved behov fra markedet, men her kan det være store utfordringer med å finne de rette som virkelig kan jobben og vet hva de driver med. Politiet har ofte begrensede ressurser og kompetanse til at man kan stole på dem.

Et godt eksempel på utfordringene framgår av denne artikkelen:

Her er det helt sikkert store mørketall. Mange datainnbrudd eller andre brudd mot informasjonssikkerheten blir neppe anmeldt og/eller offentlig “annonsert”. Det er liten åpenhet rundt angrep, og det er noe “flaut” å innrømme at man har blitt utsatt for slikt.

Lover og regelverk

GDPR (General Data Protection Regulation, Personvernforordningen 2016/679) har så vidt blitt nevnt tidligere. Ny “Lov om behandling av personopplysninger (personopplysningsloven)” og tilhørende forskrift + personvernforordningen (EU) har trådt i kraft sommeren 2018. Poenget med dette regelverket er å beskytte/styrke personvernet og harmonisere reglene i hele Europa (EU). Reglene gir en god del føringer med rettigheter og plikter for den enkelte av oss og for de virksomhet som behandler personopplysninger. Det står mer å lese om GDPR i egen artikkel (lenke) om personvern.

Fra 1.1.2019 trer ny sikkerhetslov – Lov om nasjonal sikkerhet (sikkerhetsloven) – + forskrifter i kraft. Denne loven vil blant annet omhandle forhold relatert til informasjonssikkerhet og tilgjengelighet. Hensikten med loven er å ivareta nasjonale sikkerhetsinteresser, hvor blant annet sikring av digital infrastruktur innenfor samfunnskritiske områder inngår.

Straffeloven er selvsagt også aktuell i forbindelse med informasjonssikkerhet og eventuelle datainnbrudd hvor gjerningsmann blir tatt. Lov om opphavsrett til åndsverk mv. (åndsverkloven) kan også komme til anvendelse i enkelte tilfeller, og likeså diverse særlover.

Myndighetene som en trussel

Myndighetene og deres aktiviteter kan bidra til å true informasjonssikkerheten/datasikkerheten og personvernet. Den vanlige kvinne og mann kan bli stemplet som en potensiell lovbryter og/eller terrorist som “må” utsettes for overvåkning og kontroll. Dataene som samles inn kan bli misbrukt eller komme på avveie.

Det kan blant annet se ut for at ny e-tjenestelov (Lov om Etterretningstjenesten, forslag til ny lov) vil gi Etterretningstjenesten (E-tjenesten) vide fullmakter til å overvåke datatrafikk som krysser den norske grensen. Mer konkret: Regjeringen vil ha endringer i etterretningstjenesten-loven som gir E-tjenesten muligheter for å lovlig lagre metadata fra all digital trafikk som krysser landegrensen. Innføring av digitalt grenseforsvar (DGF) eller “tilrettelagt innhenting” med masseovervåkning av norske borgere går virkelig hardt utover personvernet og privatlivet til oss lovlydige borgere.

Datatilsynet – som er personvernets forkjempere og forsvarere – er som forventet negative. Den massive overvåkningen kan rokke med demokratiet, medfører et for stort inngrep i retten til privatliv og kan være i strid med menneskerettighetene. Både ITavisen og Digi har skrevet om denne saken og om Datatilsynets meninger. Ifølge Digi har Datatilsynets direktør Bjørn Erik Thon uttalt noe tilsvarende dette: – Vanskelig å klemme dette monsteret av en lov innenfor menneske­rettighetene. Vil loven være kroken på døra for bruk av visse typer for kryptering?

Fra USA har vi friskt i minne Snowden-avsløringene rundt overvåkning. Det var (er) ikke måten på hva NSA (National Security Agency) samlet inn av opplysninger om og overvåket uskyldige mennesker som ikke var mistenkt for noe som helst. Å behandle alle slags mennesker som potensielle terrorister og forbrytere er litt av et menneskesyn. Selv er amerikanerne livredde for kinesernes overvåkning, hvor Trump blant annet vil forby – bannlyse – mobiltelefoner og mobilutstyr fra kinesiske produsenter slik som ZTE og Huawei.

Også i Norge advares det mot å bruke Huawei mobiltelefoner, og i enda større grad mot at nevnte leverandør eventuelt får lov til å bygge ut 5G-nett i Norge via leveranser av senderutstyr og annen infrastruktur. PST opplever det som høyst problematisk hvis Huawei får slippe til med utbygningen. Man er redde for leverandørens (eventuelle) nære forbindelser til det kommunistiske (og autoritære / diktatoriske) styret i Kina, og for at Kina skal kunne drive etterretning og overvåkning via utstyret mot blant annet lille Norge.

USA på sin side kommer med det som mest minner om trusler. Det trues eller advares om konsekvenser for EU-land som samarbeider med Huawei eller andre teknologiselskaper fra Kina i forbindelse med innføring av 5G og tilsvarende sentral infrastruktur. Redselen for cyber-spionasje fra myndighetsnivå i Kina er stor.

Mai 2019 kom nyheten om at Trump HELT forbyr amerikanske selskaper å bruke utenlandsk teleutstyr som kan være en “fare for landets sikkerhet”. Dette forbudet klarte han å få i stand via en erklæring om “nasjonal nødssituasjon”, som igjen medførte at han kunne legge ned et forbud for amerikanske selskaper å bruke utenlandsk utstyr som “utgjør en uakseptabel risiko”.

Produsentnavn og land nevnes ikke, men det er ingen tvil om at forbudet blant annet rettes mot Kina-produsenten Huawei. Og alt dette kommer i stand bare pga. ubegrunnede påstander og indisier fra presidenten og hans folk. I USA – hvor de har flinke folk i f. eks. NSA, FBI og CIA – har de ikke klart å framskaffe et eneste håndfast bevis på at Kina VIRKELIG driver med overvåkning og spionasje via f. eks. Huawei-utstyr. Bare ubegrunnet synsing, redsel og storpolitikk som ligger bak dette vaset av et forbud.

Vi må ikke være naive. Det sitter proffe aktører der ute som lever av å hacke og bryte gjennom sikringstiltak / sikkerhetshull. En del av dem har til og med nære knyttinger til myndighetene, eller er til og med finansiert og del av ulike lands statsapparat.

Dataene fra “lovlig” myndighetsstyrt overvåkning kan komme på avveie og i hendene på uønskede aktører, eller de kan bli benyttet til andre formål enn de tiltenkte. Innsamlede data kan lett benyttes til massiv spionasje, overvåkning og rangering av et helt lands befolkning (borgere), jf. Kina sine systemer for “sosial kreditt” basert på massiv overvåkning, store databaser og AI-systemer (kunstig intelligens).

Kina sitt planlagte system for sosiale poeng (sosialt poengsystem) som er under uttesting enkelte steder høres noe skremmende ut, ja. Systemet minner nesten om et dataspill, hvor man får eller kan miste poeng. Det legges opp til et sosial poengsystem eller sosial kreditt, hvor man kan bli straffet for overtredelser eller få plusspoeng for god oppførsel. Overtredelser slik som å gå på rød mann kan medføre at man mister poeng, og hvis tilstrekkelig antall poeng mistes kan dette medføre straffer slik som f. eks. å bli nektet bruk av hurtigtog, fly, reduserte karrieremuligheter eller redusert hastighet på Internett.

I et land som Kina kan digitalt diktatur lett innføres, da de “slipper” å forholde seg til faktorer slik som personvern, informasjonssikkerhet og menneskerettigheter. Sett fra myndighetenes side er nok dette et slikt system en ønskedrøm som går i oppfyllelse. Endelig får de nødvendige verktøy tilgjengelig for å klare å holde full kontroll over sin store befolkningsmengde, og systemet kan også bidra til at opptøyer og forsøk på å splitte landet blir unngått eller stoppet allerede i startfasen.

Chip under huden

Noe “helt nytt” er chip under huden, i hånden.  Det blir visstnok mer og mer utbredt med mikrochipper som plasseres under huden i hånden, og spesielt i Sverige har dette “tatt av”. Tilbud om chip under huden blir gjerne gitt av arbeidsgiver, og denne kan i første omgang benyttes blant annet som adgangskort, utskrift og betaling av mat i kantina. Flere bruksområder kommer nok etter hvert.

Verken Datatilsynet, LO eller NHO ser på dette som helt uproblematisk. Slike chipper reiser en hel rekke spørsmål rundt sikkerhet (fare for hacking etc.), personvern, overvåkning, lovlighet og om de bli innført under kollektivt press. (Enkelte blander også noe Bibelsk inn i saken, noe jeg skal la ligge i denne omgang.) Det kan nok være lurt å tenke seg om både to og tre ganger før man aksepterer en slikt inngrep med innplanting av en chip i kroppen.

Avslutning

I dagens teknologiske og digitaliserte virkelighet er informasjonssikkerhet et sentralt tema. Vår avhengighet av IKT gjør oss digitalt sårbare. Økt fokus og bevissthet rundt informasjonssikkerhet blir sentralt i fortsettelsen for forhåpentligvis å unngå de verste sikkerhetsbruddene.

Datakriminelle tar ikke ferie, og de vil hele tiden kjøre på med sine forsøk på angrep. Det blir en langvarig kamp eller krig mellom “oss” og “dem”. Tiltak må igangsettes for å beskytte informasjonen vi besitter på en god måte. Beklageligvis vil det aldri la seg gjøre å beskytte informasjonen 100 %, og noen datainnbrudd og informasjon på avveie må vi nok bare lære oss å leve med.

Lenker

Eksterne:

Interne (blogg.brr.no):

Utskrift
Del dette:
Tagged , , , , , , , , , , , , .Bokmerk permalink.

Om Bjørn Roger Rasmussen

Ta en titt på undersiden "Om bloggen" for mer informasjon om bloggforfatter. Les ellers mer om meg, Bjørn Roger Rasmussen (BRR), på min personlige nettside: https://www.brr.no/

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *