(Sist oppdatert 08.09.2024 @ 10:59 av Bjørn Roger Rasmussen.)
Verden er fæl, og da spesielt Internett-verdenen! Truslene og farene ligger på lur nesten over alt i den globaliserte og digitaliserte verdenen. Det finnes nok av datakriminelle kjeltringer der ute i den store stygge verden. Det er nok av dem som har datainnbrudd / cyberangrep, cyberspionasje, digital svindel og/eller cybersabotasje som sitt levebrød, og som er profesjonelle på dette. Vi vanlige dødelige IKT-brukere – som privatpersoCner eller bedrifter – blir deres uskyldige ofre. Det er fort gjort å bli lurt!
Denne artikkelen vil ta for seg tematikken informasjonssikkerhet, datasikkerhet, IKT/IT-sikkerhet og cybersikkerhet. Jeg har tidligere vært innom disse temaene før her i bloggen, men nå blir det altså en helt egen artikkel kun viet disse temaene.
Informasjonssikkerhet er et omfattende og komplisert tema, og det er i praksis et helt eget fagområde for «spesielt interesserte» som vil fordype seg i problematikken. Uansett er dette et temaområde som vi alle bør ha litt overfladisk/allmenn kjennskap til og bevisst forhold til, da det er aktuelt for absolutt alle som nyttiggjør seg av IKT. Dvs. i praksis tilnærmet alle mennesker i Norge.
Noen sentrale begreper
Mange vil fort knytte informasjonssikkerhet opp mot begrepene:
- Konfidensialitet: Hindre tilgang for uvedkommende.
- Integritet: Hindre endring/sletting fra uautoriserte personer.
- Tilgjengelighet: Sikre tilgjengelighet (tilgang) til enhver tid for dem som har rett til/behov for opplysningene.
Eventuelt kan nevnte punkter suppleres med:
- Robusthet: Virksomheters / organisasjoners og systemers evne til å gjenopprette normaltilstand etter at et avvik eller tilsvarende har funnet sted.
- Overholdelse: Informasjonsbehandlingen (innsamling, behandling, bruk, formidling, lagring og/eller sletting) må skje i henhold til gjeldende lover og regler + forskrifter.
- Det økonomiske spiller alltid en rolle. (Kan bli dyrt både å sikre seg for mye og for lite, førstnevnte pga. dyre løsninger og sistnevnte pga. økonomiske tap etter angrep osv.)
En definisjon av informasjonssikkerhet kan være: Å håndtere risiko relatert til virksomhetens informasjonsverdier og behandling av personopplysninger.
I bedriftssammenheng går informasjonssikkerhet hånd i hanske med internkontroll og rutiner rundt dette. Risikovurderinger, ROS-analyser (risiko- og sårbarhetsanalyse) og risikostyring + tiltak er sentralt innenfor dette å sikre god informasjonssikkerhet. Å gardere seg 100 % mot alle former for brudd på informasjonssikkerheten og mot alle metoder for datainnbrudd er (tilnærmet) umulig.
Ofte benyttes begrepene litt om hverandre. En del sidestiller informasjonssikkerhet med datasikkerhet. Imidlertid er det en forskjell:
Datasikkerhet eller IKT/IT-sikkerhet: I hovedsak fokus på de IKT-tekniske aspekter. F. eks. Brannmurer, gode systemer for tilgangsstyring, tetting av sikkerhetshull via oppdateringer, løsninger for sikker tilgang utenfra, redundans osv.
Informasjonssikkerhet er noe mer omfattende enn «bare» teknologi og datasikkerhet/IKT-sikkerhet. Fokus rettes mot vidtrekkende sikring av informasjonsverdier, og ikke kun mot IKT-teknisk sikring av data. I tillegg til IKT-tekniske aspekter inngår også fysisk sikkerhet (f. eks. alarm/adgangssystem til rom, låsing, sikring mot naturkatastrofer osv.) og organisatorisk sikkerhet (lovverk, styringssystemer, rutiner, regler, avtaler, prosedyrer osv.). Den menneskelige faktor – folk og mennesker (som det svakeste ledd?) – må heller ikke glemmes. Personvern og beskyttelse av personopplysninger inngår også i informasjonssikkerheten.
Personvern har å gjøre med å sikre personopplysninger slik at uvedkommende ikke får tilgang på dem. Personopplysninger er opplysninger og vurderinger som kan knyttes mot identifiserbare enkeltpersoner. Informasjonssikkerhet omfatter personvern og mer til.
Et annet begrep som kan dras inn her er cybersikkerhet. Cybersikkerhet handler om å sikre fysisk infrastruktur og fysiske ting som er sårbare via IKT. Spesielt er dette aktuelt i disse IoT-tider (tingenes internett) hvor alt er på nett, inkludert sentrale samfunnsmessig viktige funksjoner og styringssystemer slik som vannverk, strømforsyning, kommunikasjonsnett osv.
Spesielt myndigheter og samfunnsmessig kritisk infrastruktur kan bli utsatt for cyberspionasje og/eller cybersabotasje. Ellers er det mange datakriminelle kjeltringer der ute som gjør det meste for lettjente penger.
Datakriminalitet må kunne kalles for en form for hvitsnippforbrytelser. Normalt benyttes dette begrepet i hovedsak som begrep rundt økonomiske lovbrudd/økonomisk kriminalitet (underslag, korrupsjon, skattesnyteri osv.) begått av personer i kraft av stilling, posisjon, nettverk og/eller tillit (ofte personer i overordnede betrodde stillinger, internt i en bedrift). Mye av datakriminaliteten har utgangspunkt i økonomisk vinning, og man bruker datanettverk (Internett) for å utføre angrepene. Noen ganger prøver man også å skape tillit via e-post-korrespondanse eller annen kontaktvirksomhet på forhånd.
Andre begreper som kan blandes inn i diskusjonen: Sikkerhet (generelt), beredskap, digital beredskap, risiko, krisehåndtering, sårbarhet, trusler, beskyttelse, sikkerhetstiltak osv. Fire sentrale aktører som jobber med slikt: Politiets sikkerhetstjeneste (PST), Forsvarets Etterretningstjeneste, Nasjonal sikkerhetsmyndighet (NSM) og Direktoratet for samfunnssikkerhet og beredskap (DSB).
Eksempler på trusler
Noen eksempler på trusler som lurer der ute, og som kan være en risiko både for privatpersoner og bedrifter (virksomheter):
- Dataangrep mot diverse store nett-/tjenesteleverandører, med fare for at personopplysninger og pengetrekk kan komme på avveie (banker, BankID, Netflix, sosiale nettverk, nettjenester osv.).
- Direktørsvindel (Falske fakturaer som angivelig er godkjent av leder, og som må betales fort av en økonomiansvarlig til det som viser seg å være svindlernes konto.)
- Utpressing (pengeutpressing, løsepengevirus, seksuell utpressing, hevnporno m. m.)
- Telefonsvindel (f. eks. «spoofing»), gjerne kombinert med overtakelse/stjeling (forfalskning) av norske telefonnumre for å gi økt troverdighet blant ofrene. Typisk at det er «banken», «politiet» eller «Microsoft» som ringer.
- Skadevare og datavirus (inkludert kryptovirus) som blant annet spres via e-post (lenker / vedlegg), sosiale medier og infiserte (eventuelt kompromitterte) nettsider.
- Forsatt kommer det farlige lenker og skadevare via e-post, sosiale nettverk eller via besøk på kompromitterte nettsider.
- «Tradisjonell» hacking og hackerangrep (datainnbrudd).
- Utnyttelse av sårbarheter: Kjente og ukjente sikkerhetshull og sårbarheter i program- og maskinvare utnyttes, inkludert det som kalles for nulldagssårbarheter og sårbarheter i proprietær programvare.
- Falske nettsider for kjente firma (jf. nettfisking)
- Falske oppdateringer og apper som inneholder skadevare
- Falske kampanjer og konkurranser via e-post, sosiale nettverk / sosiale medier, nettsider osv. hvor det loves gratis eller billige produkter, men hvor man i stedet blir fralurt penger og/eller personopplysninger.
- Løsepengevirus (ransomware-angrep).
- Nettfiske / nettfisking (phishing, og eventuelt også smishing og vishing), som igjen er knyttet til begrepet sosial manipulering med ond hensikt. Angriper forsøker å påvirke offeret til å utføre handlinger som angriperen kan utnytte for å nå sine målsettinger. F.eks. prøver å få oss til å følge en lenke mottatt via e-post til en infisert/falsk nettside, eller få oss til å åpne et mottatt vedlegg med skadevare inni.
- Fortsettelse av forrige punkt: Spear phishing. Spydfisking er en selektiv og avansert / sofistikert form for nettfisking, hvor man går til målrettede angrep mot en bestemt bedrift og gjerne mot navngitte / bestemte personer i en bedrift.
- DDoS eller distribuert tjenestenektangrep (Så mye «falsk» nett-trafikk sendes mot en nett-tjeneste at den til slutt «kneler».).
- Identitetstyveri (ID-tyveri)
- Nigeriasvindel eller Nigeriabrev.
- Svindel via sosiale medier og nettjenester, f.eks. kjærlighetssvindel, pengesvindel osv.
- Microsoft-svindel (falske telefonsamtaler, oppringing fra angivelig Microsoft som påstår at det er problemer på din PC og som vil «hjelpe» deg)
- BYOD (Bring Your Own Device). Sårbart og dårlig sikret privat utstyr (les «hjemmekontor»-utstyr) kan være en trussel mot en virksomhets sikkerhet.
- Smarte TV-apparater, rutere, smarttelefoner, nettbrett, velferdsteknologi, smarthus-teknologi, SD-anlegg etc. kan hackes, kapres, utsettes for andre former for datainnbrudd eller sabotasje og benyttes i zombie-nettverk (botnett), uten at brukeren/eieren nødvendigvis vet om det.
- Tingenes Internett (IoT) med svært mange «dingser» koblet til nettet – noen av dem med kjente alvorlige sikkerhetshull – utfordrer informasjonssikkerheten kraftig!
- Dårlig sikrede kritiske drifts-styringssystemer (vann, avløp, trafikkstyringssystemer, kraftproduksjon osv.)
- Det samme kan finne sted med de nye smarte og automatiske strømmålerne (AMS).
- Data og personopplysninger vi har gitt fra oss – bevisst eller i vanvare/uvitenhet – kan bli solgt eller delt tilnærmet uhemmet videre, jf. det amerikanske presidentvalget, Cambridge Analytica og Facebook-skandalen. Gjelder muligens også for TikTok.
- Data, informasjon, avanserte analyser, maskinlæring og IKT kan benyttes til å påvirke valgkamper og opinionen blant folk.
- Uønskede innsideaktiviteter (utro tjenere/ansatte på innsiden som truer informasjonssikkerheten).
- F. eks. Apple vet å «låse» og å «holde fast» på sine kunder via sine lukkede løsninger.
- Mest irriterende, og ikke nødvendigvis kjempe-farlig: Spam (Uønskede eposter, søppelpost, ofte med reklame- og lokketilbud for «tvilsomme» produkter.)
- Vårt komplekse digitaliserte samfunn – inkludert det typisk norske – er utsatt for mange trusler og potensielle sårbarheter.
- I dagens verden: Spionasje, påvirkningskampanjer og etterretning (eventuelt også terror) fra aktører knyttet opp mot utenlandske myndigheter.
- Krig kan også føres på en ny måte: Cyberkrig og cyberkrigføring.
- Troll-fabrikker, falske nyheter, påvirkningskampanjer og propaganda (jf. Russland) kan også inngå i denne lista.
- Nye og relativt ukjente utfordringer oppstår i forbindelse med innføringen av kunstig intelligens (KI/AI).
Lista er ikke uttømmende. Også noe overlapping mellom noen av punktene.
Fem land – USA, Storbritannia, Canada, Australia og New Zealand – oppfordrer og ber teknologiselskapene om å bygge inn bakdører i krypterte enheter til bruk for myndighetene for å avsløre terrorisme. Foreløpig er det frivillig, men de truer med å gjøre det obligatorisk. Bakdører av denne typen, om enn planlagte, er det stor grunn til å være skeptisk til. De kan fort bli benyttet til andre formål enn de tiltenkte, og det kan også tenkes at de kan bli benyttet/utnyttet av andre ikke-tiltenkte instanser (hackere etc.). Digitalt grenseforsvar eller «tilrettelagt innhenting» kan også fort gå fra å være et gode til å bli misbrukt.
En stor utfordring for tiden er angrep mot og utnyttelse av svakheter i IoT-enheter (tingenes internett). Dette kan være alt fra brødristere, TV-apparater, andre husholdningsapparater, biler, styringssystemer osv. som er på nett. En del av disse nymotens nett-tilknyttede enheter har en lang vei å gå for å bli gode på sikkerhet. I alt for liten grad har det blitt tenkt på sikkerhet under designet og produktutviklingen av mange av disse enhetene.
BYOD (Bring Your Own Device), dvs. privat IKT-utstyr som brukes i bedriftens nettverk, kan være en utfordring sikkerhetsmessig. Utstyret er normalt sett ikke under virksomhetens konfigurasjonskontroll og lever på mange måter sitt eget liv. Pga. eierens manglende kompetanse eller oppmerksomhet rundt datasikkerhet kan utstyret representere en sikkerhetsrisiko. Systemer for beskyttelse mot skadevare og innlegging av nødvendige systemoppdateringer kan være fraværende.
Støtt og stadig er det saker i media om apper som enten overvåker deg, samler inn alt for mye med personopplysninger eller har ondsinnet kode innebakt. Aktører slik som Google og Apple prøver å rydde opp i dette i sine løsninger (Google Play og App Store), men det er en evigvarende kamp der det innimellom kan glippe litt.
Typisk for tiden er å få falske e-poster eller lenker via sosiale nettverk «fra» bank og skatteetat, eller fra Elkjøp, Netflix, flyselskaper, Apple etc. Man skal få igjen penger på skatten eller få kjøpt et produkt billig (eller gratis), som fordrer innlegging av «litt» opplysninger først. Man kan også bli bedt om å oppdatere sine personopplysninger, profil eller passord på en nettjeneste (webmail osv.), hvor det gjerne spilles på sikkerheten. Svindel og humbug fra ende til annen, men det kan være noe vanskelig å oppdage at det er svindel da nettsider etc. ser ekte ut.
Hva skal man f. eks. mene om sosiale medier (SoMe) med opprinnelse i Kina eller Russland? Det har blitt skrevet mye om TikTok (kinesisk opprinnelse) og Telegram (russisk opprinnelse) våren 2023, og jeg har også skrevet noen ord om dette i innlegget «Personvern, informasjonssikkerhet, internkontroll«. Det kan hevdes at de to nevnte tjenestene kan true rikets sikkerhet, og de kan gi myndighetene i Russland og Kina tilgang på personopplysninger fra Vesten som vi ikke ønsker at de skal få i hende.
Det står å lese hos Tek.no at nordmenn er rike, godtroende og naive. Vi lar oss lure av ondsinnede e-poster med farlige lenker eller vedlegg i seg. Vi kommer fra et tillitsbasert samfunn hvor vi stoler på andre, og det blir et aldri så lite kulturkrasj når vi møter den store stygge verden på nettet bestående av blant annet proffe svindlere. Noen ganger blir vår høye grad av tillit til andre vår fiende.
Nordmenn og Norge framstår rett og slett som et yndet mål for svindelforsøk og hacking i og med vår gode økonomi og pga. vår naive tilnærming til verden rundt oss gjennom svært høy grad av tillit til våre medmennesker. Nordmenn er lukerative og relativt enkle mål for angrep.
Tvilsomme e-post-lenker og ikke godt nok beskyttede nettverkstjenester eksponert ut mot det åpne Internett (f. eks. RDP) kan være innfallsporten for datakriminelle. Svakheter i f. eks. lagringssystemer (SAN), brannmurer og virtuelle server-hoster kan også bli utnyttet av ondsinnede kriminelle.
Jeg synes det via media støtt og stadig er avsløringer rundt store og vellykkede hackerangrep mot kjente nettjenester, f. eks. Google, Facebook osv. Selv hos store aktører som investerer mye i sikkerhetsløsninger finner det sted vellykkede datainnbrudd, og passord og annen informasjon kommer på avveie. Ingenting er 100 % sikret mot å kunne bli hacket. Selv om mer og mer kjøres i skyen har man ingen garanti for at alle sikkerhetsproblemer forsvinner («fordufter»).
En annen side av saken er hvor mye man kan stole på store aktører (multinasjonale konsern) – «Big Tech»-selskaper – slik som Alphabet (Google), Meta (Facebook), Apple, Microsoft, Amazon med flere, da våre personopplysninger og annen informasjon benyttes av slike firmaer som en handelsvare. Til dels driver de nesten til og med spionasje på sine kunder. Teknologigigantene har sin egen agenda som ikke alltid er sammenfallende med kundenes.
Jeg har ikke lest boka, men burde nok ha gjort det:
Ifølge omtalen tar boka for seg gratistjenester av typen nevnt ovenfor, og ser på hvordan selskapene som «takk» forsyner seg med enorme mengder data om vår oppførsel og preferanser. Dataene selger de ganske så uforstyrret videre til høystbydende.
Ifølge Amnesty truer forretningsmodellene til Google og Facebook menneskerettighetene, inkludert ytringsfriheten. I bytte mot gratistjenester gir man fra seg personlig informasjon som aktørene benytter til målrettede annonser og reklame (med ensidig vinkling). Til tross for gode tjenester har medaljen altså en negativ bakside. Forretningsmodellen er gjennomgående uforenlig med retten til et privatliv hevdes det.
Det er i en del tilfeller snakk om falske nettsider proft laget (kopiert), hvor det virker som om man skal få noe gratis eller «steinbillig». Først må man legge inn en haug med personopplysninger, kontonummer og f. eks. passord, som medfører at man i neste runde potensielt blir utsatt for svindel. Uærlige sjeler fanger opp personopplysninger, passord etc. som de senere kan misbruke til f. eks. økonomisk vinning eller ID-tyveri. Selvsagt får man ikke noe som helst gratis eller «steinbillig», da det er alt for godt til å være sant. Det blir ingen «gratis lunsj» (les: produkt), men kan man bli utsatt for masse kjedelige konsekvenser (tap av identitet og/eller penger).
Beklageligvis har sosiale medier og nettet (Internett) for øvrig blitt et yndet sted for svindel. Det gjennomføres daglig mange forsøk på svindel, snusk og bedrageri. Beklageligvis går en del på limpinnen, slik at den lønnsomme aktiviteten fortsetter. Nettsvindel er lettjente penger med lav risiko for svindlerne / kjeltringene (vanskelig å spore), hvor ofrene er naive mennesker som lar seg lure. Noen ganger blir man svindlet for penger, mens man i andre tilfeller blir svindlet for personopplysninger (ID osv.) som i noen tilfeller kan være verdt sin vekt i gull.
En del (sårbare) nordmenn – gjerne godt voksne mennesker – har blitt lurt av kjærlighetssvindel. Personer mer eller mindre på jakt etter en kjæreste mottar en venneforespørsel via sosiale medier. Personen i den andre enden framstår som en troverdig person, og det oppstår en avstandsforelskelse. Personen i den andre enden er en tålmodig kjeltring som bruker masse tid på å bygge opp tillit. Chat blir blant annet benyttet til utstrakt kommunikasjon mellom de to.
Deretter begynner pengemaset hvor offeret blir lurt til å overføre store summer angivelig til helsebehandling, reiser, livets opphold eller tilsvarende. Personen i den andre enden har selvsagt hatt en falsk profil, og vedkommende er langt fra den personen som han/hun har utgitt seg for å være. Alt viser seg å være svindel og humbug, et skuespill for å få svindlet til seg penger fra godtruende nordmenn som tror for godt om andre.
Mye av svindelen nevnt ovenfor starter ofte med «phishing», som på «godt norsk» kan kalles for nettfiske eller phiske (digital snoking). Dette kan finne sted via f. eks. falske nettsider, mottatte e-poster med lenker eller vedlegg i, via chat (lynmeldinger) eller via mobiltelefon (SMS-meldinger osv.). Angriperen utgir seg for å være noen andre enn det de er – gjerne et kjent firma som man har et kundeforhold til (bank, Netflix, Microsoft osv.), med mål om å lure fra offeret brukernavn, passord, koder, kredittkortopplysninger osv. Enda verre enn «vanlig» phishing er spearphishing (målrettet phishing / nettfisking, hvor de har kartlagt en del og «kjenner» offeret).
Ofte blir man via lenker sendt til en falsk nettside (gjerne proft utformet, eller kopiert ned til minste detalj fra den ekte siden) med et «lureskjema» (nettside) som man blir oppfordret til å fylle ut. Man blir f. eks. bedt om å oppdatere sine betalingsopplysninger på en tjeneste eller tilsvarende, men hvor lenken fører til en falsk nettside som gir angriperne alle dataene man fyller ut. F. eks. kan man bli lurt til å oppgi kredittkort-nummer, CVC2-kode, PIN-kode m. m., som igjen gir svindlerne nok opplysninger til at de kan gjennomføre pengesvindel (trekke penger fra konto).
Verdt å sjekke ut:
- Google: Phishing Quiz (opplæringsquiz)
- Omtale: DinSide: Google phishing quiz: Nå vil Google trene deg opp til å avsløre svindlerne
Vårt samfunn er i ferd med å bli helt gjennom-digitalisert, og nesten all aktivitet er avhengig av IKT (informasjons- og kommunikasjonsteknologi) for å fungere. Fint og flott i seg selv, men dette gjør oss også ekstremt sårbare. Katastrofer eller større angrep som slår mye av teknologien ut vil medføre store problemer for mye av landets infrastruktur. Betalingsløsninger kan slutte å fungere, ikke-fungerende styringssystemer for strøm, vann og avløp kan skape problemer for leveransen av disse produktene og også leger og helse er avhengig av teknologien i sin hverdag. Internett, mobil og TV/radio kan også bli satt ut av spill, noe som vil gi store konsekvenser for de fleste av oss som er helt avhengig av at denne teknologien fungerer i vår hverdag.
Det gjelder også være bevisste når vi skal kvitte oss med fysisk IKT-utstyr. Jeg tenker da på resirkulering og kassering (eventuelt videresalg) av utstyr som har gjort sin misjon. I slike tilfeller er det viktig å tenke på sikker og forsvarlig sletting av data og innstillinger for å unngå identitetstyveri og/eller data på avveie. Utstyret bør leveres inn til et sted som sikrer en forsvarlig håndtering av innlevert utstyr.
Digital svindel eller nettsvindel
Ifølge nyhetsoppslag hos TV 2 29.08.2018 svindles nordmenn for nærmere fem milliarder (5 000 000 000) kroner i året via digitale plattformer. Blant annet svindles det med:
- Kjærlighetssvindel.
- Trangen til raske penger, f. eks. investeringsbedrageri. Man blir lurt til å gå inn med penger i et «prosjekt» som skal gi stor og kjapp avkastning. Enkelt og greit for godt til å være sant, noe det også da er.
- Salg av ting som folk ikke har peiling på, f. eks. kryptovaluta, gull, edle metaller, valutaspekulasjoner m. m. Også her blir man kraftig lurt, dvs. rundlurt.
Norske myndigheter og institusjoner (banker m. m.) regner med å klare å stanse «bare» 590 millioner kroner i år av pengene som er på vei til kriminelle i utlandet. De kriminelle bruker pengene på blant annet våpen, prostitusjon, narkotika og luksus.
Selv har jeg mest sympati /empati med dem som blir lurt for penger via kjærlighetssvindel. Mennesker blir utnyttet i en sårbar situasjon, og det spilles på lykke og følelser i stor grad. Om noen blir svindlet pga. deres pengegriskhet og drømmen om kjappe penger engasjerer meg ikke i like stor grad.
En god del havner altså på limpinnen og blir utsatt for nettsvindel. Nordmenn er muligens noe naive og godtroende i sin framferd på nettet, og i tillegg har de kriminelle blitt mer og mer proffe i sine svindelforsøk. Det finnes mange personer som har det som jobb å svindle andre. En del av svindlerne går grundig til verks med forarbeidet, og de kan drive med tillitsbygging overfor det framtidige offeret over en lengre periode.
I tillegg til alt dette har man jo falske konkurranser på nettet, gjerne via sosiale medier. Tradisjonell datahacking (h4xX0r) og diverse ulike former for datainnbrudd er stadig «populært» – og organisert – blant svindlere og påvirkere.
Trusselbildet ifølge NorSIS
Trusler og trender (i ikke-teknisk språk) mot individer og virksomheter i vår digitale hverdag 2017-18, ifølge NorSIS (Norsk senter for informasjonssikring):
- Informasjonstyveri
- Vanvare
- Løsepengevirus
- Direktørsvindel
- Industrispionasje
- Sabotasje
- Identitetstyveri
- Datingsvindel
- Personutpressing
- Krenkelser
Kilde: https://norsis.no/trusler-trender-2017-18/
Det blir også nevnt utfordringene for oss alle med dagens IoT-trend («tingenes internett»). Den store bruken av sosiale medier, og den medfølgende mulighetene for sosial manipulering er en del av dagens virkelighet. Vi lever i det digitaliserte samfunnet med bruk av skyen, masse nettjenester m. m. Alt dette gir muligheter for sårbarheter som kan bli utnyttet til cyberkriminalitet og cyberkriminelle.
NorSIS’ årlige sikkerhetskulturrapport 2019: Økende digital frykt blant nordmenn. Redusert tillit til en rekke nettjenester, inkludert offentlige tjenester, nettbank og betalingskort. Samtidig er folket – forstå det den som kan – mindre bekymret for den store e-postrisikoen.
Februar 2020 presenterte NorSIS rapporten «Trusler og trender 2019-2020«. En god del av «funnene» fra 2017-2018-rapporten går også igjen i den nye, men med noen justeringer og tilføyelser. Noen momenter fra rapporten:
- Økende digital trussel, samtidig med at forbausende mange tror at de er immune mot angrepene.
- Vi nordmenn er mer sårbare enn noensinne.
- Cyberkriminaliteten profesjonaliseres.
- Angrepene kan koste mye tid og penger for dem som blir rammet.
- Sannsynligvis betydelige mørketall foreligger.
- Trend: Angriper (lurer) mennesker fremfor klassiske datainnbrudd på maskinnivå.
- Mer sosial manipulasjon og målrettede personaliserte angrep.
- Falske nyheter er en utfordring.
De 10 største digitale truslene akkurat nå ifølge rapporten:
- Løsepengevirus
- ID-tyveri
- Falske trusler og utpressingskrav (som pornosvindel)
- Phishing (nettfiske)
- Ekte utpressing og svindel
- Kontohacking (inkludert svindel med BankID)
- Datainnbrudd
- Menneskelige feil
- Krenkelser
- Verdikjedeangrep
Kilde: NorSiS | Trusler og trender 2019-2020
NorSis-trusselrapport: Trusler og trender 2021
Årets viktigste digitale trusler:
- Løsepengevirus, kontokapring, verdikjedeangrep og svindel.
De tre viktigste tiltakene:
- Jevnlige sikkerhetskopier, oppdatere systemer og programmer og bruk totrinnspålogging der hvor det er mulig.
Utviklingen av Internett
I nettets barndom for oss vanlige brukere (på midtre og siste del av 1990-tallet) framstod det som en desentralisert, frigjørende, demokratisk, usensurert, uregulert og nesten anarkistisk kommunikasjonskanal. Det var høy grad av ytringsfrihet og gode muligheter for den enkelte å gjøre det vedkommende fant for godt. Til tider gikk vel friheten litt vel langt og endte over i misbruk (ulovligheter) riktignok.
Etter hvert har nettet utviklet seg i en negativ retning sett med mine øyne. Det har blitt et globalt nettverk for overvåking, dataangrep og kommersiell utnyttelse. De store konsernene har styringen med agendaen, og oss som hører til grasroten ties mer eller mindre i hel og blir overkjørt av de store.
(Nå må man oppsøke det mørke nettet eller dypnettet for å få full frihet. Imidlertid er vel dette nettet mest for anonyme «kjeltringer» og ulovligheter.)
PST: Trusselvurdering 2019
Politiets sikkerhetstjeneste (PST) har presentert sin trusselvurdering for 2019. De største truslene slik PST ser det:
- Statlig etterretningsvirksomhet mot Norge og norske verdier.
- Politisk motivert vold (ekstreme islamistiske grupper, terrorangrep).
- Trusler mot myndighetspersoner.
En del av disse truslene og farene kan finne sted via digitale medier / informasjonsteknologi. PST er spesielt opptatt av muligheten for cybertrusler fra land slik som Kina og Russland.
Etterretningstjenestens sikkerhetsrapport Fokus 2020
Ifølge Digi.no:
De (Digi.no) refererer til Etterretningstjenesten og deres sikkerhetsrapport Fokus 2020. Trusselbildet har blitt mer alvorlig og sammensatt, og det pekes blant annet på mulige trusler fra Russland og Kina. Dessuten kan også Iran (og Midtøsten) nevnes.
Både militære og sivile mål kan være truet, innenfor et vidt spekter av sektorer. Aktørene kan være på jakt etter alt fra tilgang på personopplysninger, helseopplysninger og stjeling av industrihemmeligheter.
IOCTA-rapport fra Europol 2019
Ifølge IOCTA-rapporten 2019 til Europol er utpressingsprogrammer («ransomware») fortsatt den største trusselen. Heldigvis har volumet av denne typen angrep gått noe ned, takket være diverse igangsatte tiltak.
Utenom løsepengevirus / utpressingsvare / utpressingsprogramvare er det ifølge rapporten en del tilfeller av kompromittering av data via phishing-angrep, datainnbrudd, datalekkasjer og skadevare designet for innsamling av sensitive data. Ødeleggende / destruktive angrep / sabotasjeangrep mot infrastruktur m. m. er også sentrale deler av det store bildet.
Sikkerhetsselskapet Trend Micro sin 2018-rapport
Sikkerhetsselskapet Trend Micro har publisert sin årlige «Security Roundup»-rapport som omhandler år 2018. Digi.no skriver noen ord om funnene i denne rapporten i sin artikkel:
Norge ligger på femteplass i verden når det gjelder direktørsvindel. Andre trender i 2018 i tillegg til direktørsvindel er: Kryptokapring og nettfiske («phishing»-angrep). Løsepengevirusene («ransomware») på sin side viser en nedadgående tendens.
Google-rapport for Android-plattformen 2018
Ifølge rapport fra Google er en stor sikkerhetstrussel på Android-plattformen klikksvindel. Det er da snakk om bruk av programvare / systemer for å generere / simulere mange klikk på annonser for å påvirke reklameinntektene / reklameutgiftene, enten til seg selv (skape inntekter) eller sine konkurrenter (skape utgifter).
Andre sentrale trusler er trojanere, SMS-svindel og spionasje-funksjonalitet i apper.
Nettavisen sin liste
Nettavisen har juli 2021 presentert følgende liste over aktuelle svindelformer som man må være obs på:
- Bitcoinsvindel
- Olga-svindel
- Skatteetaten-svindel
- Microsoftsvindel
- Kredittkortsvindel og falske e-poster (inkludert BankID-svindel)
- Falske nettbutikker
- Abonnementsfeller (“premier” er i virkeligheten dyre abonnementer)
- Lotterigevinster og «pengebrev»
År 2021
Digi.no melder i en artikkel: «Norske IT-angrep i 2021: Året endte med en bølge av løsepengevirus«. Alt fra kommuner/fylkeskommuner til hotellkjede og aviser ble rammet av slike angrep, og disse angrepene skapte store problemer og utfordringer for de som ble rammet. HELDIGVIS har vel de fleste rammede valgt å IKKE betale kravene om løsepenger, hvor betaling kunne ha bidratt til å gjøre det enda mer lukrativt å drive på med slik kriminalitet mot norske potensielle ofre. Aktiviteten med løsepengevirus var virkelig høy år 2021.
Trusselvurderinger 2022 fra E-tjenesten, PST og NSM
Etterretningstjenesten, Politiets sikkerhetstjeneste (PST) og Nasjonal sikkerhetsmyndighet (NSM) la i fellesskap fram sine åpne trussel- og risikovurderinger fredag 11.02.2022. Noen momenter fritt gjengitt:
- Vårt digitaliserte samfunn gjør oss sårbare.
- Økende cyberrisiko mot Norge.
- Cyberoperatører fra Kina og Russland driver med avanserte angrep, og spionasje (stor etterretningstrussel) og påvirkning i stor grad.
- Diverse ekstremister og spioner er på nettet, og medfører at vi må være (ekstra) årvåkne.
- Høyreekstrem eller ekstrem islamistisk overbevisning er en relativt stor trussel (terror osv.).
- Kanskje bør vi få økt nasjonal kontroll over datasentre for å gardere seg mot noen av truslene.
- Bruken av ransomware (løsepengevirus) øker mot norske aktører.
- Heldigvis har bevisstheten om cybersikkerhet økt i vårt samfunn.
- Forverring i dataangrep og politiker-trusler
- Økt trussel fra personer som radikaliseres av konspirasjonsteorier.
- Flere store dataangrep mot norske interesser fant sted i 2021.
Vi står i år 2022 og videre over i år 2023 (sannsynligvis) overfor et krevende risikobilde – med økt risiko og økt usikkerhet – relatert til cyberangrep og høyst reelle trusler mot informasjonssikkerheten. Noen trusler NSM nevner som aktuelle i tiden vi lever i er digital utpressing, tjenestenektangrep, kartleggingsaktivitet og spionasje.
Denne NSM-rapporten (NSM = Nasjonal sikkerhetsmyndighet) kan være verdt å lese:
«Siden sist» har det kommet en ny rapport fra NSM i 2023, og enda en nyere i 2024:
- NSM: Risiko 2023 | Økt uforutsigbarhet krever høyere beredskap
- NSM: Risiko 2024: Nasjonal sikkerhet – et felles ansvar
Norske virksomheter må pga. økt uforutsigbarhet forberede seg bedre og ha høyere beredskap, hvor de må bli flinkere til å beskytte seg mot spionasje, sabotasje, terror og andre trusler. Vi møter et stadig endret risikobilde med økt digital sårbarhet. Beredskap og samarbeid på tvers av sektor bli nødvendig, og man må være obs på at et svakt ledd i kjeden godt kan være en (mindre) underleverandør. Økt teknologibruk = Økt sårbarhet, som igjen medfører økte krav til beskyttende tiltak!
Noen nevnte cybersårbarheter: Phishing, nulldagssårbarheter, tjenestenektangrep, sårbarheter i proprietær programvare, innsideaktivitet, sårbart privat utstyr («hjemmekontor») og spearphishing. De er også innom utfordringene med kunstig intelligens (KI/AI).
PST (Politiets sikkerhetstjeneste) har også presentert sin 2023-rapport, etterfulgt av 2024-utgaven:
Noen momenter jeg hang meg opp i fra denne rapporten:
- Russiske etterretningstjenester utgjøre den største trusselen i Norge år 2023.
- Det er mulig at både ekstreme islamister og høyreekstremister vil forsøke å gjennomføre terrorhandlinger i Norge i 2023.
- Det vurderes som lite sannsynlig at myndighetspersoner vil rammes av alvorlige voldshandlinger i Norge i 2023.
Og til slutt i «trekløver-vurderingene»:
- Etterretningstjenesten (forsvaret): Fokus 2023: Etterretningstjenestens åpne vurdering av aktuelle sikkerhetsutfordringer for Norge.
- Etterretningstjenesten (E-tjenesten): Fokus 2024: Etterretningstjenestens vurdering av aktuelle sikkerhetsutfordringer | Viten om verden for vern av Norge.
Ikke direkte IKT-relatert (mer rettet mot beredskap osv.), så jeg står over å kommentere den noe nærmere.
NRK har også lansert sin egen trusselvurdering:
Også av interesse:
Beskyttelse og tiltak
Datakriminaliteten vil neppe avta i tiden framover. Det vil stadig dukke opp nye trusler og angrep. I vårt digitaliserte samfunn hvor vi finner IKT over alt blir man i høyeste grad sårbare. Sårbarheten kan vi ikke springe fra så lenge som vi lever i en globalisert og digitalisert verden, og hvor det er gode penger i å drive med cyberkriminalitet. Forbrytelsene kan foretas via nettet uten å være fysisk til stede der som forbrytelsene reelt finner sted.
Noen beskyttelsestiltak som vel må være obligatoriske for enhver bedrift og delvis også for privatpersoner (hjemme): Ha gode systemer for antivirus, brannmurer, annen endepunktbeskyttelse (mot malware osv.), annen sikring av nettverk + servere / lagring, spam-filter, gode rutiner inkludert passordrutiner (best practice), patching av «bokser» og systemer og til slutt bra opplæring i sikkerhet av sluttbrukere.
Tekniske sikringstiltak er selvsagt viktig. Brannmurer og tetting av sikkerhetshull (patching og fastvare/firmware-oppgraderinger) er eksempler på tekniske tiltak, og likeså å ta i bruk tilnærmingen «Zero trust security model». Antivirus og andre filtreringstiltak kan også inngå i dette punktet. En god ide er nok også å jevnlig (helst hele tiden) å gjennomføre manuelle eller automatiske penetrasjonstester, og å ikke minst ha gode planer for hva man gjør og hvem som gjør hva hvis uhellet først er ute. Imidlertid blir aldri sikkerheten bedre enn det svakeste leddet.
På brukernivå er tofaktorautentisering (totrinnsbekreftelse, noe du vet + noe du har) en fornuftig måte å beskytte seg på. Bevissthet rundt valg av fornuftige passord, skifting av passord, ulike passord til ulike tjenester osv. er også enkle tiltak som minsker risikoen for å bli hacket betraktelig.
Det svakeste leddet er ofte mennesker, og den menneskelige faktor (mennesker og fol) må ikke undervurderes eller glemmes. Mennesker kan lures og manipuleres til å foreta seg ting på innsiden av brannmuren som gjør tekniske sikringstiltak tilnærmet ubrukelige og unyttige. Ofte må det foretas organisatoriske endringer for å få økt sikkerhetsnivået. Informasjonssikkerhet handler om mye mer enn bare teknologien.
Menneskene må «dresseres» skulle jeg til å si. Opplæring i informasjonssikkerhet og holdningskampanjer for å gjøre oss alle mer bevisste kan være nødvendige tiltak. Vår kritiske sans må opptrenes, slik at vi ikke uten videre trykker i vilden sky på alle lenker og e-poster som kommer vår vei.
Barn og unge må ikke glemmes i det store bildet. Holdningskampanjer, opplæring og andre former for bevisstgjøring kan være aktuelt for å få dem til å bli trygge nettbrukere som utviser nettvett.
Oss godt voksne er født inn i verden før teknologien gjorde sitt inntog for fullt. For å bli gode cyberborgere kan det være nødvendig med diverse tiltak som gjør oss bedre i stand til å bruke teknologien på en fornuftig måte og til å ta bedre beslutninger. Nettvett kan være tingen også for godt voksne.
Det kan være lett å tenke seg at dette med bevisstheten rundt informasjonssikkerhet er mest mangelvare hos gamle dinosaurer slik som meg som er oppvokst fra tiden før IKT ble allemannseie. Imidlertid går det fram av en lenke i bunnen av denne artikkelen at unge arbeidstakere under 30 år er den aldersgruppen som samlet sett gjør det dårligst når det gjelder IT-sikkerhetspraksis. Fart, fleksibilitet og produktivitet trumfer det meste, og snarveier tas når det gjelder IKT-sikkerhet. (Selv om denne gruppa – oppflasket på teknologi – absolutt bør vite bedre enn som så.)
Ifølge Nasjonal sikkerhetsmyndighet (NSM) finnes det fire effektive tiltak mot dataangrep, hvor det påstås at disse tiltakene alene stopper opp mot 90 % av dataangrepene:
- Oppgrader program- og maskinvare.
- Installere sikkerhetsoppdateringer så fort som mulig.
- Ikke tildel administrator-rettigheter til sluttbrukere.
- Blokker kjøring av ikke-autoriserte programmer («hvitelisting»).
Kilde: Nasjonal sikkerhetsmyndighet (NSM): Fire tiltak stopper opp mot 90 prosent av dataangrep
Avansert teknologi mot avanserte trusler
Selv om kommentaren til teknologisjef Nils Ove Gamlem i Check Point gjengitt i Digi.no er mer eller mindre reklame for Check Point sine sikkerhetsprodukter gjengir jeg noen punkter fra innlegget, noe omskrevet.
Det har i 2018 vært diverse store kyberangrep som har blitt førstesidestoff i mediene. I den forbindelse setter forfatteren opp en liste over noen kybertrender for år 2019 basert på det tilbakelagte året:
- Det blir mer og mer «populært» med skadevare som graver etter digitalt gull, dvs. krypto-valuta og krypto-miners som finner sted uoppdaget på vårt utstyr og generere kontinuerlige inntekter for de kriminelle som står bak.
- Angrep mot mobiltelefoner som er dårlig sikret.
- Innbrudd rettet mot skytjenester.
- Maskinlæring og AI kan misbrukes til å utvikle bedre skadevare.
- Land og stater som angriper og påvirker andre er en bekymringsfull utvikling.
- Organisasjoner har sviktet rundt dette å ta i bruk bedre sikkerhetsrutiner og produkter for å beskytte sine nettverk og enheter. Blant annet utfordres sikkerheten av IoT, velferdsteknologi, medisinske enheter, selvkjørende kjøretøy og andre mobile enheter.
Check Point sin løsning er nanosikkerhetsagenter.
Informasjonssikkerhet og internkontroll er en kontinuerlig prosess som man aldri blir ferdig med. Arbeidet må hele tiden revideres, og nye tiltak må tas i bruk for å stoppe nye typer trusler.
Informasjonssikkerhet, digital beredskap og personvern er omfattende temaer. Det er komplekst og ressurskrevende (økonomi, personell og kompetanse) å beskytte og å sikre seg tilstrekkelig. Truslene er økende, og gjennomførte angrep blir mer og mer avanserte og også mer hyppige.
Det kan ofte være aktuelt å leie inn ekstern kompetanse og konsulenter. En utfordring er stor mangel på fagfolk innenfor informasjonssikkerhet. Det er et skrikende marked for enda flere flinke fagfolk og eksperter innenfor informasjonssikkerhet, cybersikkerhet og datasikkerhet.
Bransjespesifikke CERT-team (Computer Emergency Response Team, et databeredskapsteam er en ekspertgruppe som håndterer datasikkerhetshendelser) som kan bistå i kartleggingen og oppryddingen kan også ha noe for seg. Innimellom benyttes begrepet CSIRT (Cyber Security Incident Response Team, databeredskapsteam) mer eller mindre som et synonym til CERT. Å ha koblinger mot en sikkerhetsoperasjonssentral – SOC (Security Operations Center) – kan også være til god hjelp hvis dataangrep og cyberkriminalitet inntreffer. Å bekjempe alvorlige sikkerhetstrusler krever samarbeid.
Alt er ikke personopplysninger
Via fokus på personvern, GDPR, personopplysningsloven etc. har det vært et visst fokus på verning av personopplysninger. Spesielt er det en del bevissthet rundt å hindre uvedkommende tilgang på sensitive personopplysninger, slik som f. eks. helseopplysninger.
Innenfor informasjonssikkerhet er personvernet viktig, men det finnes også annen informasjon som må vernes selv om det ikke er snakk om personopplysninger. F. eks. kan det være ønskelig å unngå at følgende typer opplysninger kommer på avveie, blir manipulert eller blir gjort utilgjengelige:
- Forretningshemmeligheter (f. eks. oppskrifter)
- Strategier
- Produktutvikling
- Beslutninger rundt bruk av virkemidler for å oppnå konkurransefortrinn osv.
- Kontraktsmessige forhold
- Styrings-/driftssystemer (PLS-systemer, SD-anlegg osv. som kan bli manipulert eller satt ut av drift, jf. cybersikkerhet)
Osv.
Også informasjon som ikke er personopplysninger må i en del tilfeller beskyttes. Hvis ting feiler kan man i verste tilfelle risikere at en bedrift går konkurs.
Ikke bare-bare for små og mellomstore bedrifter
Små og mellomstore bedrifter (SMB) har ofte ikke nødvendige kompetanse internt når det gjelder informasjonssikkerhet og datainnbrudd m. m. Det kan være begrenset med hjelp som lett kan innhentes.
Noe kompetanse kan leies inn ved behov fra markedet, men her kan det være store utfordringer med å finne de rette som virkelig kan jobben og vet hva de driver med. Politiet har ofte begrensede ressurser og kompetanse til at man kan stole på dem.
Et godt eksempel på utfordringene framgår av denne artikkelen:
Her er det helt sikkert store mørketall når det gjelder datainnbrudd og brudd på informasjonssikkerheten, og det for både privatpersoner, små, mellomstore og store bedrifter. Mange datainnbrudd eller andre brudd mot informasjonssikkerheten blir neppe anmeldt og/eller offentlig «annonsert». Det er liten åpenhet rundt angrep, og det er noe «flaut» å innrømme at man har blitt utsatt for slikt.
Lover og regelverk
GDPR (General Data Protection Regulation, Personvernforordningen 2016/679) har så vidt blitt nevnt tidligere. Ny «Lov om behandling av personopplysninger (personopplysningsloven)» og tilhørende forskrift + personvernforordningen (EU) har trådt i kraft sommeren 2018. Poenget med dette regelverket er å beskytte/styrke personvernet og harmonisere reglene i hele Europa (EU). Reglene gir en god del føringer med rettigheter og plikter for den enkelte av oss og for de virksomhet som behandler personopplysninger. Det står mer å lese om GDPR i egen artikkel (lenke) om personvern.
Ny sikkerhetslov – Lov om nasjonal sikkerhet (sikkerhetsloven) (m/forskrifter) – trådte i kraft fra 01.01.2019. Denne loven omhandler blant annet forhold relatert til informasjonssikkerhet og tilgjengelighet. Hensikten med loven er å ivareta nasjonale sikkerhetsinteresser, hvor blant annet sikring av digital infrastruktur og skjermingsverdig informasjon innenfor samfunnskritiske områder inngår.
I tillegg kommer NIS og NIS 2-direktivene fra EU «vår» vei sånt etter hvert. Hensikten med NIS-direktivene er å styrke cybersikkerheten i medlemslandene innenfor EU/EØS, hvor direktivene pålegger kritiske sektorer som energi, transport, helse og finans å implementere nødvendige tiltak for å beskytte sine nettverks- og informasjonssystemer.
Straffeloven er selvsagt også aktuell i forbindelse med informasjonssikkerhet og eventuelle datainnbrudd hvor gjerningsmann blir tatt. Lov om opphavsrett til åndsverk mv. (åndsverkloven) kan også komme til anvendelse i enkelte tilfeller, og likeså diverse særlover.
I likhet med folk flest er jeg sløv med å lese brukervilkårene til programvare jeg installerer på min PC eller til nettjenester som jeg tar i bruk. Vilkårene som man fort bare aksepterer uten å ha lest dem (grundig) sier som oftest en god del om leverandørens behandling av opplysninger, informasjonssikkerhet etc. Strengt tatt burde man virkelig sette seg inn i slike ting før den nye teknologien tas i bruk.
Myndighetene som en trussel
Myndighetene og deres aktiviteter kan bidra til å true informasjonssikkerheten/datasikkerheten og personvernet. Den vanlige kvinne og mann kan bli stemplet som en potensiell lovbryter og/eller terrorist som «må» utsettes for overvåkning og kontroll. Dataene som samles inn kan bli misbrukt eller komme på avveie.
Regjeringen vil gi etterretningstjenesten (e-tjenesten) adgang til masseovervåking, noe som utfordrer rettsstaten, menneskerettighetene og personvernet (privatlivet). Hva hjelper det med GDPR (personvernforordningen) og fokus på personvern når etterretningen og myndighetene kan overstyre? Store nettselskaper slik som Google og Facebook finner også sine «smutthull» for å kunne få fatt i og utnytte personopplysninger, uten at myndighetene i nevneverdig grad griper inn.
Det kan blant annet se ut for at ny e-tjenestelov (Lov om Etterretningstjenesten, forslag til ny lov) vil gi Etterretningstjenesten (E-tjenesten) vide fullmakter til å overvåke datatrafikk som krysser den norske grensen. Mer konkret: Regjeringen vil ha endringer i etterretningstjenesten-loven som gir E-tjenesten muligheter for å lovlig lagre metadata fra all digital trafikk som krysser landegrensen. Innføring av digitalt grenseforsvar (DGF) eller «tilrettelagt innhenting» med masseovervåkning av norske borgere går virkelig hardt utover personvernet og privatlivet til oss lovlydige borgere.
Uansett juni 2020: Stortinget sier ja til masselagring av nordmenns nett-trafikk, og den nye loven som muliggjør og tillater masseovervåkning blir innført. Bredt politisk flertall sørger for massiv overvåkning av nordmenns nettbruk.
Datatilsynet – som er personvernets forkjempere og forsvarere – er som forventet negative. Den massive overvåkningen kan rokke med demokratiet, medfører et for stort inngrep i retten til privatliv og kan være i strid med menneskerettighetene. Både ITavisen og Digi har skrevet om denne saken og om Datatilsynets meninger. Ifølge Digi har Datatilsynets direktør Bjørn Erik Thon uttalt noe tilsvarende dette: – Vanskelig å klemme dette monsteret av en lov innenfor menneskerettighetene. Vil loven være kroken på døra for bruk av visse typer for kryptering?
Fra USA har vi friskt i minne Snowden-avsløringene rundt overvåkning. Det var (er) ikke måten på hva NSA (National Security Agency) samlet inn av opplysninger om og overvåket uskyldige mennesker som ikke var mistenkt for noe som helst. Å behandle alle slags mennesker som potensielle terrorister og forbrytere er litt av et menneskesyn. Selv er amerikanerne livredde for kinesernes overvåkning, hvor Trump blant annet vil forby – bannlyse – mobiltelefoner og mobilutstyr fra kinesiske produsenter slik som ZTE og Huawei.
Også i Norge advares det mot å bruke Huawei mobiltelefoner, og i enda større grad mot at nevnte leverandør eventuelt får lov til å bygge ut 5G-nett i Norge via leveranser av senderutstyr og annen infrastruktur. PST opplever det som høyst problematisk hvis Huawei får slippe til med utbygningen. Man er redde for leverandørens (eventuelle) nære forbindelser til det kommunistiske (og autoritære / diktatoriske) styret i Kina, og for at Kina skal kunne drive etterretning og overvåkning via utstyret mot blant annet lille Norge.
USA på sin side kommer med det som mest minner om trusler. Det trues eller advares om konsekvenser for EU-land som samarbeider med Huawei eller andre teknologiselskaper fra Kina i forbindelse med innføring av 5G og tilsvarende sentral infrastruktur. Redselen for cyber-spionasje fra myndighetsnivå i Kina er stor.
Mai 2019 kom nyheten om at Trump HELT forbyr amerikanske selskaper å bruke utenlandsk teleutstyr som kan være en «fare for landets sikkerhet». Dette forbudet klarte han å få i stand via en erklæring om «nasjonal nødssituasjon», som igjen medførte at han kunne legge ned et forbud for amerikanske selskaper å bruke utenlandsk utstyr som «utgjør en uakseptabel risiko».
Produsentnavn og land nevnes ikke, men det er ingen tvil om at forbudet blant annet rettes mot Kina-produsenten Huawei. Og alt dette kommer i stand bare pga. ubegrunnede påstander og indisier fra presidenten og hans folk. I USA – hvor de har flinke folk i f. eks. NSA, FBI og CIA – har de ikke klart å framskaffe et eneste håndfast bevis på at Kina VIRKELIG driver med overvåkning og spionasje via f. eks. Huawei-utstyr. Bare ubegrunnet synsing, redsel og storpolitikk som ligger bak dette vaset av et forbud.
Vi må ikke være naive. Det sitter proffe aktører der ute som lever av å hacke og bryte gjennom sikringstiltak / sikkerhetshull. En del av dem har til og med nære knyttinger til myndighetene, eller er til og med finansiert og del av ulike lands statsapparat.
Dataene fra «lovlig» myndighetsstyrt overvåkning kan komme på avveie og i hendene på uønskede aktører, eller de kan bli benyttet til andre formål enn de tiltenkte. Innsamlede data kan lett benyttes til massiv spionasje, overvåkning og rangering av et helt lands befolkning (borgere), jf. Kina sine systemer for «sosial kreditt» basert på massiv overvåkning, store databaser og AI-systemer (kunstig intelligens).
Kina sitt planlagte system for sosiale poeng (sosialt poengsystem) som er under uttesting enkelte steder høres noe skremmende ut, ja. Systemet minner nesten om et dataspill, hvor man får eller kan miste poeng. Det legges opp til et sosial poengsystem eller sosial kreditt, hvor man kan bli straffet for overtredelser eller få plusspoeng for god oppførsel. Overtredelser slik som å gå på rød mann kan medføre at man mister poeng, og hvis tilstrekkelig antall poeng mistes kan dette medføre straffer slik som f. eks. å bli nektet bruk av hurtigtog, fly, reduserte karrieremuligheter eller redusert hastighet på Internett.
I et land som Kina kan digitalt diktatur lett innføres, da de «slipper» å forholde seg til faktorer slik som personvern, informasjonssikkerhet og menneskerettigheter. Sett fra myndighetenes side er nok dette et slikt system en ønskedrøm som går i oppfyllelse. Endelig får de nødvendige verktøy tilgjengelig for å klare å holde full kontroll over sin store befolkningsmengde, og systemet kan også bidra til at opptøyer og forsøk på å splitte landet blir unngått eller stoppet allerede i startfasen.
Innføring og utstrakt bruk av kunstig intelligens (KI) – Artificial Intelligence (AI) – medfører utfordringer, også her i Norge. Det må tenkes på informasjonssikkerheten, hvor man blant annet må unngå at systemene lett lar seg påvirke eller bli hacket. KI-etikk og gode KI-strategier blir sentralt. Hvis ting ikke blir bra gjennomtenkt og regulert kan man få uønskede situasjoner med ikke-ønskede beslutninger. Fordommer, diskriminering og partisk beslutningstaking kan lett bli automatisert inn i slike systemer, hvor systemene bidrar til og kan forsterke samfunnets svakeste sider.
Innimellom gjør EU noe bra! For tiden (medio 2022) jobbes det innenfor EU-systemet med å komme med reguleringer og regler relatert til bruken av kunstig intelligens (KI). Det er veldig fornuftig at det kommer noen felleseuropeiske regler på området, for å unngå at KI blir misbrukt.
Chip under huden
Noe «helt nytt» er chip under huden, i hånden. Det blir visstnok mer og mer utbredt med mikrochipper som plasseres under huden i hånden, og spesielt i Sverige har dette «tatt av». Tilbud om chip under huden blir gjerne gitt av arbeidsgiver, og denne kan i første omgang benyttes blant annet som adgangskort, utskrift og betaling av mat i kantina. Flere bruksområder kommer nok etter hvert.
Verken Datatilsynet, LO eller NHO ser på dette som helt uproblematisk. Slike chipper reiser en hel rekke spørsmål rundt sikkerhet (fare for hacking etc.), personvern, overvåkning, lovlighet og om de bli innført under kollektivt press. (Enkelte blander også noe Bibelsk inn i saken, noe jeg skal la ligge i denne omgang.) Det kan nok være lurt å tenke seg om både to og tre ganger før man aksepterer en slikt inngrep med innplanting av en chip i kroppen.
Arbeidsgiver
En trussel mot informasjonssikkerheten og ikke minst personvernet kan være arbeidsgiveren. Ifølge undersøkelser er det mange næringslivstopper og ledere – 1 av 5 – som leser de ansattes sin epost, selv om dette ikke lovlig uten at en saklig grunn for kontrolltiltak foreligger. Arbeidsgiver sniker, og de stoler ikke på sine ansatte.
Det har også vært diverse saker hvor arbeidsgivere har overvåket de ansatte med ulovlige kameraløsninger, lydopptak osv.
Mennesket
Mennesket i seg selv som benytter seg av IKT-utstyr – privat eller i jobbsammenheng – kan utgjøre en stor trussel mot informasjonssikkerheten. Enkelte kan ubevisst eller bevisst prøve å omgå systemer og sikkerhet, alt for å gjøre tingene litt enklere for seg selv. Beklageligvis kan «tunge» sikkerhetstiltak gå på kompromiss med brukervennligheten / brukeropplevelsen, fleksibiliteten og tilgjengeliggjøringen.
Noen flere konkrete trusler
«Olga-svindel»
Metoden kalles for «Olga-svindel», da de potensielle ofrene gjerne er eldre kvinner med «gammeldagse» navn (gammeldame-navn). De eldre personene blir kontaktet pr. telefon av svindlerne som utgir seg for å f. eks. representere en seriøs bank eller tilsvarende finansfirma. Ofrene får beskjed om at deres lån er klart for utbetaling, hvor de potensielle ofrene ikke kjenner til eller har søkt om noe lån.
Svindlerne tilbyr å «hjelpe til» med å få stoppet utbetalingen av lånet / kansellere lånet, og de setter gjerne telefonsamtale over til «banken». De blir i virkeligheten satt over til en annen svindler, som prøver å få fatt i sensitiv informasjon fra offeret, f. eks. BankID-opplysninger (innlogging). Hvis svindlerne sine bakmenn har virket overtalende nok til at de har klart å skaffe seg nødvendig informasjon er neste steg: Tømme vedkommende offer sin bankkonto for penger.
Kriser og utnyttelse av kriser
Dette har vi fått sett under korona-pandemien, hvor det gjøres forsøk på sosial manipulering hvor det spilles på redselen / frykten folk har for å bli syke / rammet. Svindlerne ringer sine ofre pr. telefon, og får dem til å «bestille» korona-tester, ikke-eksisterende tjenester, vaksiner, aksjer i vaksinefirmaer osv. Ofte blir de oppringte lurt til å gi fra seg personopplysninger, f. eks. BankID-opplysninger for innlogging. Resultatet er at man blir tappet for penger fra sin bankkonto.
År 2021 har vist oss hvor sårbare vi er, også på IKT-området. Koronapandemien, chip-mangel, logistikk-/transportproblemer, kontainer-skip på tvers av Suez-kanalen osv. har gitt mange utfordringer for verdikjedene, IKT-leveransene (primært av maskinvare) og IKT-tjenestene. Og i tillegg har man alle dem som har blitt rammet av hacking og tilsvarende dataangrep.
Cyberkrig
Den moderne form for fjernkrigføring er cyberkrig, jf. Russland sine handlinger relatert til deres okkupasjon av deler av Ukraina år 2022. Informasjonskrig, cyberangrep og cyberkrig benyttes mer og mer strategisk av enkelte stormakter (blant annet Russland og Kina). Konvensjonell krigføring består, men ofte kan dataangrep av ulike former og formater være nesten så virkefullt for å lamme og påvirke et annet land / nasjon.
Digitalisering og den digitale transformasjonen
IKT og digitalisering kan være nyttige hjelpemidler for å rasjonalisere, effektivisere og for å kunne tilby bedre tjenester. Imidlertid har digitaliseringen til tider funnet sted i et svært høyt tempo, noe som igjen har medført at vurderinger knyttet opp mot informasjonssikkerhet, digital sikkerhet og personvern har kommet litt i bakleksa. Å få innført nye og brukervennlige digitale løsninger som løser diverse problemer og behov har vært viktigere enn sikkerheten. For å opprettholde høy tillit til bruken av IKT-løsninger er det svært viktig at slike sikkerhetsaspekter kommer mer på dagsordenen. Utenom selve bevisstgjøringen må nødvendige tiltak iverksettes for å trygge / sikre alle dataene og informasjonen IKT-systemene behandler. Muligens må det til et større nasjonalt løft til på området, og alle nordmenns bevissthetsnivå overfor trusler og utfordringer på det digitale området må bedres.
Avslutning
I dagens teknologiske og digitaliserte virkelighet er informasjonssikkerhet et sentralt tema. Vår avhengighet av IKT gjør oss digitalt sårbare. Økt fokus og bevissthet rundt informasjonssikkerhet blir sentralt i fortsettelsen for forhåpentligvis å unngå de verste sikkerhetsbruddene.
Datakriminelle tar ikke ferie, og de vil hele tiden kjøre på med sine forsøk på angrep. Det blir en langvarig kamp eller krig mellom «oss» og «dem». Tiltak må igangsettes for å beskytte informasjonen vi besitter på en god måte. Beklageligvis vil det aldri la seg gjøre å beskytte informasjonen 100 %, og noen datainnbrudd og informasjon på avveie må vi nok bare lære oss å leve med.
Lenker
Eksterne:
- Wikipedia: Datasikkerhet (og informasjonssikkerhet)
- Store Norske Leksikon: Informasjonssikkerhet
- NorSIS (Norsk senter for informasjonssikring)
- Nasjonal sikkerhetsmyndighet (NSM)
- Politiets sikkerhetstjeneste (PST)
- blogg.brr.no: Det gode mennesket, finnes det?
- EOS-utvalget (Stortingets kontrollutvalg for etterretnings-, overvåkings- og sikkerhetstjeneste)
- Senter for cyber- og informasjonssikkerhet/Centre for Cyber and Information Security (NTNU CCIS)
- Computerworld kommentar: -Tingenes internett er et mareritt (Jan Birkeland)
- Telenor bedrift: Ikke glem sikkerheten på tingenes internett
- Digi debatt: Manglende åpenhet om uønskede digitale hendelser har ført oss inn i en ond sirkel (Roar Thon, NSM)
- Digi.no: PST, Säpo og SUPO sier kybertruslene øker raskere enn forsvaret: – Vi er sårbare
- TV 2: William sendte svindelmail til flere tusen venner – uten at han visste det selv (nettsvindel rammer stadig flere)
- Digi.no: Overvåking av datatrafikk: Ny e-lov foreslår å gi e-tjenesten mulighet til å tappe signaler direkte fra norske nettilbydere
- Digi.no: Paris-erklæring: 50 land enige om å bekjempe datakrim. USA, Russland og Kina sa nei takk
- Digi.no: Kyber-sabotasje – Det er bare et spørsmål om tid før hackere kan ødelegge hele nasjoner
- NRK nyheter: PST advarer: – Vær oppmerksom på Huawei – peker på Kina og Russland som cybertrusler
- E24: PST: – Problematisk om Huawei får bygge ut 5G-nett i Norge
- DinSide (NTB): Huawei og 5G – Sikkerhetseksperter mener USA overdriver Huawei-trusselen
- NRK: Kinesiske Huawei taper ansikt i mobilskandale
- NRK Urix: Digitalt diktatur: Kina planlegger sosialt poengsystem (sosial kreditt) – Går du på rødt lys, blir du uthengt på storskjerm
- DinSide: Sikkerhet på Internett – Nordmenn er elendige på passord – Får stryk i sikkerhetsundersøkelse
- Digi: Undersøkelse: Hver fjerde norske bedrift gjør ingenting for å beskytte seg mot IT-angrep
- Digi: Kina hacket Visma for å stjele kundehemmeligheter
- ABC Nyheter: Teknologi – Tenk deg om to og tre ganger før du takker ja til mikrochip i hånden
- MSN økonomi: Mathias (26) ble utsatt for ID-tyveri: Tok opp 1,2 mill. i forbrukslån på én uke
- NRK: E-tjenesten: Trusselen er størst fra Russland og Kina
- TV 2: Ambulansefly kunne ikke lande etter GPS-utfall
- Digi.no: E-sjefen: – Det blir fest i Russland og Kina hvis Norge dropper datalagring
- Digi.no: – IT-sikkerhet er fortsatt et felles ansvar
- Digi.no: Sikkerhet i nettskyen – Mange tror leverandøren har hele ansvaret når det går galt. Det får ekspert til å rope varsko
- Digi.no (Christian Frøystad, SINTEF): Personsikkerhet og personvern er ikke det samme (om ny e-tjenestelov, personvern, personsikkerhet, justisminister Tor Mikkel Wara og digitalt forsvar/grenseforsvar)
- Digi.no: Med smarthuset vidåpent på nett – Mange glemmer tilsynelatende alt om IT-sikkerhet når de får seg nye leketøy (OpenHab)
- Digi.no: Tingenes internett: – Noen enheter er så usikre at det ikke kan skyldes en feil – Sikkerhetstest av utbredte IoT-produkter avslører skremmende mangler
- IKT og skole: Sikkerhet er en tungvint ting
- NRK kronikk (Marte Eidsand Kjørven): Digitaliseringens pris (om misbruk av BankID)
- Nettavisen: Skatteetaten advarer: – Ikke la deg lure! (Din identitet på nett er gull verdt, ikke la deg lure av falske meldinger i forbindelse med at skattemeldingen blir gjort tilgjengelig.)
- One Voice AS (programvareløsninger innen beredskap og krisehåndtering): «Kompleksitet er den største sårbarheten i det norske digitale samfunnet i dag»
- Digi: Her er Check Points 10 sikkerhetsvettregler for påsketuren
- Nettavisen Nyheter: Hacking – Obamas IT-ekspert: Faren for dataangrep i Norge har aldri vært større
- TV 2: Den digitale trusselen – den største utfordringen mot Norge
- Telenor: Digital Sikkerhet 2020 | De lange linjene (rapport). Stikkord: Behovet for et sikkerhetssamarbeid på tvers av sektorer, manglende totalberedskap (samordning).
- P4: Norge mest utsatt for hacking
- P4 nyheter: Unge deler passord med andre
- NorSIS: Høringsuttalelse om nye læreplaner grunnopplæring (digital sikkerhetskultur og informasjonssikkerhet bør få en tydelig plass i flere fag og på flere alderstrinn)
- NRK Sogn og Fjordane: 200 personar er råka av nettsvindel (nettbankkundar, BankID)
- TV 2: Slår alarm om svindlere: Først tømte svindlerne kontoen – så lånte de en halv million kroner som Kjell (75) må betale tilbake (nettbanksvindlere / misbruk via BankID)
- Nettavisen Nyheter: Internett: Passordene til norske statsråder og forsvarstopper er tilgjengelig på nett | Over 600.000 norske passord er eksponert på internett
- Computerworld: Hundretusener av nordmenns passord lekket på nett | Over 600.000 passord gjort tilgjengelig på internett
- Digi: IOCTA-rapport | Europol: – Dette er de største truslene på nett
- NRK Hordaland: El-butikkens råd: – Aldri legg fra deg pc-en på åpne mottak
- Digi.no: Undersøkelse: Et paradoks at mange unge har dårlig IT-sikkerhetspraksis | Fart, fleksibilitet og produktivitet trumfer det meste
- Dinside: Oppdatert legitimasjon (re-legitimering)| Finanstilsynet: – Bankene bør ikke bruke slike løsninger | Det er ikke bra at bankene ber om legitimasjon og personopplysninger på samme måte som svindlere
- NorSIS: NorSIS’ årlige sikkerhetskulturrapport 2019
- Digi.no: Cyberangrep | Flere store teknologiselskaper i Europa alvorlig rammet av cyberangrep (Sannsynligvis kryptovirus i alle de tre tilfellene)
- Digi.no: Nordmenn verst i Norden til å blindt akseptere brukervilkår | I Norge aksepterer vi brukervilkår og deler persondata til nordisk gullmedalje
- Dagbladet meninger: Forslag til ny lov om Etterretningstjenesten: Den siste skansen
- Danske Bank: Kripos svarer | Slik kan du unngå å bli svindlet på nett
- Digi.no: – Vær ekstra forsiktig med PDF-filer | Palo Alto Networks har registrert en tidobling i bruken av PDF-dokumenter for å lure folk til å klikke på skadelige lenker.
- Digi.no: Nettleserleverandører sier «Floc off» til Googles alternativ til sporingscookier | Mener Federated Learning Cohorts (Floc) er enda verre enn tredjepartscookies.
- Digi.no: Google kommer med nytt alternativ til tredjeparts-cookies | Etter massiv kritikk av forrige forsøk, og midt i debatten om Google Analytics, gjør Google et nytt forsøk på å løse informasjonskapsel-floka.
- Digi.no: NSM etterlyser bedre kontroll av datasentre | Helseopplysninger eller bankinformasjon kan komme på avveie hvis ikke datasentre i Norge blir bedre kontrollert, frykter Nasjonal sikkerhetsmyndighet (NSM)
- Digi.no: Medier: Hemmelig gruppe hevder å ha påvirket valg på fire kontinenter | En hemmelig israelsk gruppe tilbyr å manipulere valg over hele verden med hacking og falske kontoer i sosiale medier, ifølge en rekke kjente medier.
- ABC Nyheter: Svindlene å se opp for i 2024 | Dette er svindelmetodene som blir mest brukt i år, tror ekspertene.
- TV 2: Urovekkende tall i svindel-undersøkelse: – Kriminelle har blitt utrolig dyktige
- Digi.no: Ferske tall fra Medietilsynet: — Mange nordmenn vet ikke hvem som har tilgang til det de legger ut (opphavsrett og bildedeling på Facebook, tilganger osv.)
- M24 debatt (Svein Vathne): NTB Scanpix er i ferd med å starte en «War on Memes» (om bildebruk og opphavsrett + firmaet Copyright Agent)
- Dagbladet Meninger (John Olav Egeland): Datakjempene stjeler våre liv (Google, Microsoft, Facebook, Apple osv.)
- DSB: Nordmenn mest bekymret for cyberangrep (ifølge Befolkningsundersøkelsen 2020)
- Dinside: Advarer mot 5G (Ifølge PST: Antall oppkoblede enheter øker faren for nettangrep)
- Dinside: Slik blir du lurt i 2020 (svindelmetodene som ekspertene tror vil dominere)
- Digi.no: Sikkerhetsekspert: – IoT er som asbest. Om 20 år vil folk lure på hva vi drev med
- TV 2: Bedriften slo på dataskjermen – der sto en skremmende beskjed (om løsepengevirus)
- Nettavisen Økonomi: Finn.no slår svindel-alarm: Ber deg la være å betale
Et lite opphold, før lenkene fortsetter:
- TV 2: Microsoft advarer | Slik opererer de kriminelle
- TV 2: Krisesituasjon og falske nyheter | Sikkerhetsdirektør bekymret: – I verste fall kan liv gå tapt
- P 4 Nyheter: Etterlyser app-forbud: – På vei mot et overvåkingssamfunn (Ifølge Teknologirådet, gjelder primært teknologien for ansiktsgjenkjenning)
- NRK Satiriks: Sønn hjem til Bergen for å fikse kommunens IT-system
- DinSide Data: NorSIS advarer: Hjemmekontor sårbare for angrep
- Nettavisen Økonomi: Telenor melder om rekordhøy svindeltrafikk: – Vi er alle i en sårbar situasjon
- Nettvett.no: De ti største digital truslene: Slik beskytter du deg (mars 2020)
- Nettvett.no: Vanlige typer svindel i omløp (oppdatert april 2020)
- Dagbladet: EOS-utvalget med PST-kritikk – Gufs fra fortida | Politikere ble registrert av PST for å være med i vennskapsgruppe
- Computerworld: Ny rapport: Dramatisk økning i angrep mot finansinstitusjoner | Løsepenge-angrep mot finanssektoren skal ha ni-doblet seg under koronakrisen
- NRK Innlandet: Lillian vart svindla for over 300.000 og synest banken har vore lite hjelpsame – må pantsette huset
- Nettavisen Økonomi: «Olga-svindel» | Telenor stopper 200.000 telefonsvindelforsøk daglig
- P 4 nyheter: UP advarer mot svindel (fartsbøter angivelig fra ATK-senteret, falske)
- rbnett.no: Politiet advarer mot ny svindelmetode: ATK-senteret (Automatisk trafikkontroll) på Hustad brukt i ny svindelmetode
- NRK Innlandet: Bankenes svindelkamp: – Blir aldri flinke nok til å verne oss mot kjeltringer (Norske banker har en veldig krevende oppgave med å forhindre svindel. Bare DNBs kunder ble forsøkt svindlet for 1,2 milliarder kroner i 2019.)
- Dinside: Passordsikkerhet – Svindlerne ler av oss | Undersøkelse viser at langt over halvparten av oss har samme passord flere steder
- NRK Urix korrespondentbrev (Anders Magnus): TikTok – så kan du være i lomma på en fremmed makt
- Digi.no: NorSIS ber nordmenn droppe 1234 som passord | Stadig flere passord kommer på avveie.
- NRK: Advarer mot en ny type koronasvindel | Svindlere utnytter koronafrykten i landet, og prøver å få nordmenn til å oppgi personopplysninger.
- Personvernbloggen Datatilsynet (Andreas Jensen Gjellesvik): Koronasvindlerne
- NRK Oslo og Viken: Stor eldresvindelring rullet opp i Fredrikstad | Fra dette hotellrommet i Oslo skal mennene ha svindlet eldre kvinner for 13 millioner («Olga-svindel»)
- Digi.no debatt (Kai Roer): – Offentlige virksomheter må skjerpe sikkerhetskulturen
- Dinside data: Over 200 000 fralurt passord | NorSIS har et klart passordråd til nordmenn
- NRK: DN: Stortinget frykter utpressing etter datainnbrudd
- Dagsavisen (NTB): Hjemmekontor øker risikoen for svindel – 300.000 nordmenn svindlet på ett år
- NRK: NSM åtvarar om utanlandske skytenester: Vil sikre nasjonal kontroll
- TV 2 Nyheter: Derfor legges du til av ukjente kontoer i sosiale medier
- TV 2 Underholdning (God kveld Norge): Misbrukt i Facebook-svindel: – Måtte de brenne i helvete! | Flere kjendiser har opplevd at falske kontoer har blitt opprettet i deres navn på sosiale medier for å svindle venner og følgere
- Digi.no: E-loven og innsamling i bulk | EU-dom slår fast at masseovervåkning er ulovlig: – Den nye loven Stortinget vedtok må skrotes før den trer i kraft – Regjeringen må stanse innføringen, sier Datatilsynet.
- Digi.no: Regjeringen utsetter E-lovens tilrettelagte innhenting | utsettes etter at EU-domstolen fastslo at masseovervåkning er ulovlig.
- NRK: Telenor utsett for stort dataåtak: Forsøkt pressa for millionsum
- Digi.no: Sikkerhetsselskap: – Mer enn halvparten av bedrifter har over to år gamle sårbarheter som ennå ikke er fikset | Bitdefender har lagt frem ny rapport.
- Digi.no: Ny rapport: Myter og misoppfatninger bidrar til for få kvinner i IKT-sikkerhet
- Computerworld Norge: Arbeidstakere varsler ikke når de gjør feil på nett | – Må fjerne skamfølelsen, sier NorSIS.
- Digi.no: Virusangrepet (utpressingsvirus) mot IT-giganten Sopra Steria kostet en halv milliard kroner
- TV 2: Teknologieksperten gikk i nettsvindlernes felle – slik unngår du å bli lurt
- Digi.no: Kraftig økning i investeringssvindel (kryptovaluta, eiendom og fondsplasseringer)
- Digi.no: Posten forventer historiske pakkemengder, og advarer mot utspekulerte svindlere (Posten-phishing)
- Digi.no: NorSIS advarer mot vaksinesvindel
- ITavisen: Stor-selskap går sammen mot kidnappingsvare: dette er «The Ransomware Task Force» (RTF)
- Digi.no: Sikkerhetsgiganter slår seg sammen: Vil få has på utpressingsvirus | Microsoft, McAfee og en rekke andre danner Ransomware Task Force.
- Digi.no: Sunburst kategori 3 | Cyberangrep mot Solarwinds Orion hos Danmarks største avfallsselskap | Flere norske kunder av Solarwinds har også vært synlige i søkemotoren Shodan
- Digi.no: Advarer om destruktivt angrep mot kommune (Østre Toten kommune): Alt innhold skal være kryptert, og alle sikkerhetskopier sletta – Angriperne har fått tak i alle våre data, og vi er svært bekymra.
- NRK Innlandet: Sensitiv pasientinformasjon kan være på avveie etter dataangrep | Datasystemet til Østre Toten kommune er angrepet og gjort utilgjengelig for alle ansatte. – Personnummer og helsedata kan være på avveie
- NSM (Nasjonal sikkerhetsmyndighet): Varsel om løsepengevirus
- Digi.no: NSM advarer kommuner og offentlig sektor om løsepengevirus
- TV 2 Nyheter: Hvis Ingrid (25) fra Danske Bank ringer deg, kan du ha gått i fella | Ifølge svindeljeger Ingrid Grav er det særlig tre svindelmetoder (phishing-e-poster, investeringsvindel inkludert Bitcoin og kjærlighetssvindel) du bør passe deg for i 2021.
- Dinside: «Wangiri»-svindel: Dette skjer hvis du svarer eller ringer opp igjen | Norsis melder at det har oppstått et par nye bølger av telefonsvindel hvor du får en kort oppringning fra et utenlandsk nummer.
- TV 2 Nyheter: Utfører dataangrep og krever løsepenger: – Sykehus er populære mål | Skoler, helsevesen og virksomheter knyttet til bekjempelse av covid-19 regnes som enkle mål for dataangrep.
- TV 2 Nyheter: ID-tyveri | Over 100.000 rammet de siste årene: – Risikerer økonomisk tap
- NRK Innlandet: Første dom i sak om Olga-svindel: Banken vant
- Digi.no: Datainnbrudd | Stortinget rammet av Exchange-angrep | Kan få alvorlige konsekvenser for demokratiske prosesser, sier stortingspresidenten.
- TV 2 Nyheter: Dataangrepet mot Stortinget | IT-ekspert etter dataangrepet: – Tilliten til demokratiet kan ha blitt svekket
- Digi.no: IT-sikkerhet | Mangelfull datasikkerhet i to av fem kommuner
- Computerworld Norge: Enkelt å redusere risikoen for de viktigste it-sikkerhetstruslene | Ny Norsis-rapport (mars 2021).
- NorSIS: Ny NorSIS-trusselrapport: Her er de viktigste digitale truslene i 2021 og slik beskytter du deg
- Digi.no: Bare 92 prosent har sikret Exchange mot ProxyLogon-angrepene
- Digi.no: Eksplosiv vekst i skadevare til Mac: Har økt med 1000 prosent | Men det er ennå langt igjen til Windows-plattformen.
- Digi.no: IT-sikkerhet i norske bedrifter | NorSIS: Mange vet ikke engang om de har totrinnspålogging til jobbens IT-systemer
- Digi.no: IT-kriminalitet | Rapport: 2020 var et ekstremår for datainnbrudd
- TV 2 Nyheter: Stoppet svindelforsøk for 700 millioner kroner | Lav rente gjorde at mange nordmenn i koronaåret 2020 ble fristet til å satse pengene på falske sparetilbud og «lukrative investeringer».
- TV 2 Nyheter: Svindeljeger: – Disse metodene bør alle ha lært å avsløre | Nordmenn utsettes stadig for svindelforsøk, og noen blir også lurt.
- Vårt Land kommentar (Berit Aalborg): Mer overvåkning er kanskje et nødvendig onde i naive Norge | I Norge er vi opptatt av personlig frihet. Men vi er også naive. Over tiår har vi derfor vært utsatt for påvirkning utenfra. Det er på tide at vi tar denne trusselen på alvor – også i lovverket.
- Digi.no: Phishing | Norsis advarer mot nye svindelforsøk via Dropbox
- Digi.no: Massiv lekkasje: – Data fra nesten alle Linkedin-brukere er til salgs på nettet | Over 700 millioner brukere skal være rammet.
- Nettavisen Økonomi: Voldsom vekst i svindelforsøk: Her er åtte svindelknep du må være obs på (digital svindel)
- NRK Rogaland: Skolekorps svindlet for alle dugnadspengene: – Jeg ble kvalm (direktør- og fakturabedrageri)
- Nettavisen Nyheter: Ekspert slår alarm om ny svindeltrend: – Umulig å sikre seg mot det («spoofing» og «swatting»)
- Digi.no: Løsepenge-utbetalingene etter digital utpressing når nye høyder | Gjennomsnittlig betaler ofrene nesten dobbelt så mye som i fjor.
- Digi.no: Norge rammet av Android-skadevare som sprer seg via SMS-meldinger og falske apper | Flubot ligger på toppen av Check Points skadevareliste i Norge.
- NRK Innlandet: Politiet advarer mot falske konkurranser i sosiale medier | Flere hundre trodde de hadde vunnet en støvsuger til 5000 kroner, men Facebook-siden viste seg å være falsk. Nå ber politiet folk være varsomme.
- TV 2 Nyheter: Lures for flere hundre tusen kroner – så ringer svindlerne igjen | Med utspekulerte metoder klarer svindlere å lure de samme ofrene flere ganger.
- Digi.no: Cyberkriminelle følger pengene: Vekst i ulovlig kryptoutvinning
- Dinside: Svindel på Facebook | Frykter starten på ny svindelbølge
- TV 2 Nyheter: Raymond måtte stoppe sendingene da hackere slo til mot nærradioen | Nettkriminaliteten har økt med 72 prosent i Norge sammenlignet med samme tid i fjor
- Digi.no: Østre Toten kommune | Kommunen får millionbot (4 millioner, ilagt av Datatilsynet) etter dataangrepet som allerede har kostet dem 32 millioner
- Nettavisen Økonomi: Rekordmange blir forsøkt svindlet: – Målrettet mot enkeltpersoner | På én dag i oktober 2021 var det nesten like mange som ble forsøkt svindlet som totalt antall registrerte saker i hele 2020.
- Digi.no: 2FA | Hackere bruker bot-er til å stjele koder til totrinnsverifisering | Ny, skummel trend på gang.
- Nettavisen Økonomi: Advarer mot svindelmetodene som florerer nå: – Skaper falsk trygghet | Svindlerne blir smartere og smartere
- Digi.no: Telenor advarer mot massivt svindelforsøk på SMS | Ressurssterke utenlandske kriminelle står trolig bak det Telenor betegner som et massivt angrep mot norske mobilabonnenter ved hjelp av falske tekstmeldinger.
- TV 2 nyheter: Gigantangrep mot norske telefonabonnenter | Ressurssterke utenlandske kriminelle står trolig bak det Telenor betegner som et massivt angrep som pågår akkurat nå (24.11.2021).
- NRK: Flere tusen virksomheter rammet av alvorlig sikkerhetshull | Brønnøysundregistrene er en av svært mange virksomheter som er rammet av et alvorlig sikkerhetshull i et dataverktøy for logging (Apache Log4j og Java).
- Digi.no: Hackingen av Nordic Choice: Kundeinformasjon kan være på avveie
- NRK: Nordic Choice-angrepet: Hackere har lekket informasjon om ansatte
- Digi: Amedia utsatt for alvorlig dataangrep | Natt til tirsdag (28. desember 2021) ble flere av Amedias sentrale datasystemer satt ut av drift. Ingen papiraviser blir publisert onsdag.
- Digi.no: Nordic Choice | Hotellgiganten utsatt for verdikjedeangrep: – Skadevaren er ikke bygd for å rulles tilbake | Det er nesten umulig å beskytte seg mot sånne angrep, mener teknologidirektør Kari Anna Fiskvik.
- NRK Nordland: Nordic Choice: Oppdaget at mystisk fil var sendt til hackerne | Her krever kriminelle 44 millioner etter alvorlig dataangrep mot hotellkjede
- CW Norge: Norsis-direktør: Kritikken mot Amedia er fullstendig feilslått (“victim blaming” etter dataangrepet)
- Digi.no: Hackere fikk enkelt tilgang til over én million brukerkontoer takket være en svært utbredt passord(u)vane (gjenbruk av passord som tidligere har blitt stjålet)
- ABC Nyheter: Støre slår cyberalarm: – Vi må være mer våkne | Statsminister Jonas Gahr Støre (Ap) mener Norge har et stort forbedringspotensial når det gjelder datasikkerhet.
- Digi.no: NSM: – Norge må ha kontroll på våre viktigste, kommersielle datasentre | Det digitale rom får mye oppmerksomhet i de hemmelige tjenestenes åpne trusselvurderinger.
- Nettavisen Nyheter: Trusselvurderinger: PST advarer mot ny ideologisk miks | Ser forverring i dataangrep og politiker-trusler og peker på trusselen fra personer som radikaliseres av konspirasjonsteorier.
- VG.no: Enormt omfang av mobilsvindel: − Gir en digital angst | Telenor omtaler det som et gigantisk problem og etterlyser nå at svindel og nettkriminalitet håndteres som et samfunnsproblem.
- Regjeringen.no: Råder kommunene til å se på it-sikkerhetstiltak | Russlands invasjon av Ukraina har økt usikkerheten rundt trusselnivået i det digitale rom
- Digi.no: Nordmenn får tømt bankkontoen i bank-ID-svindel | – Det er ikke lenger slik at det er eldre og personer med dårlige IKT-kunnskaper som bedras, det er deg og meg
- Persondata inkludert personnummer til 3,3 millioner nordmenn kan være på avveie, ID-tyverier neste!: Digi.no: Dataangrep mot Norkart | Persondata på avveie.
- Digi.no: Regner med russiske cyberangrep mot Vesten: – Vi bør være urolige | Russiske hackere vil slå tilbake mot Vesten, og Sveriges tilnærmelser overfor Nato gjør landet utsatt.
- Digi.no: Sikkerhetsarkitekt: – Alt er bare dritt (masse dataangrep, stadig mer sofistikert angrep, mer penger involvert, cyberpandemi)
- Digi.no: Sikkerhetssjef i Google Cloud mener skytjenester fører til høyere sikkerhet | Overgang til skytjenester kan gjøre det lettere å bli kvitt sikkerhetsproblemer i gammel programvare.
- Dinside: Telenor svindel | Svindel: – Bedre og bedre | Du gjør jobben for de kriminelle med denne svindelmetoden.
- Digi.no: Datatilsynet om ny EU-dom mot masseinnsamling av data: – E-tjenestens planer tilfredsstiller ikke kravene
- NorSIS (Norsk senter for informasjonssikring): Nasjonal sikkerhetsmåned 2022 (oktober hvert år)
- NITO: Unge er dårligst på IKT-sikkerhet
- E24: Datainnbrudd hos Domeneshop: 300.000 passord på avveie | Domeneshop melder om et datainnbrudd, hvor passord er på avveie.
- Digi.no: Domeneshop «snakker ut» om hackerangrepet og hvorfor de selv brukte toveis kryptering av passord | – Det er klart vi tar selvkritikk for det som har skjedd.
- Nettavisen Nyheter: Norge på telefonsvindeltoppen i Norden | Nordmenn er fortsatt det heteste målet i Norden for telefonsvindlere. Det viser tall fra Telia.
- DinSide Økonomi: Ny svindel | Norske selskaper utnyttes av folk med ondsinnede hensikter (Falske “konkurranser” og «fansider» for Rema 1000 m/flere)
- DinSide Økonomi: Advarer: – Vær kritisk | Nå blir det sendt ut en e-post hvor avsender utgir seg for å være Bank Norwegian. – Svindlerne blir stadig mer avanserte, skriver Håkon Hovde i Bank Norwegian.
- Digi.no: Nito: – Unge er dårligst på IKT-sikkerhet | Folk mellom 15 og 29 år følger i liten grad ekspertenes råd om datasikkerhet, ifølge en undersøkelse.
- Digi.no: Norske virksomheter må ha høyere beredskap, viser en fersk rapport (Risiko 2023) fra NSM | Nasjonal sikkerhetsmyndighet (NSM) mener norske virksomheter må bli flinkere til å beskytte seg mot spionasje, sabotasje, terror og andre trusler.
- TV 2 Nyheter: Tidligere spionsjef: Mener Norge er sårbare: – Alle vil bli truffet | NORSKE TILSTANDER: Vår gjennomdigitaliserte infrastruktur kan gjøre det enkelt å slå ut sentrale tjenester, sier tidligere etterretningsoffiser.
- Digi.no: Datatilsynet har konkludert: Bruk av Google Analytics er i strid med GDPR
- Digi.no: Datatilsynet om Google Analytics: – Hodepinen er løst | Nye regler for overføring av personopplysninger til fra Europa til USA gjør det igjen lovlig å bruke Google Analytics.
- Digi.no: Stortinget sier ja til masseovervåking i regi av PST | Med støtte fra Høyre får regjeringen flertall for forslaget om å gi PST mulighet til å overvåke, lagre og analysere alt som skjer på det åpne internettet i Norge.
- TV 2 Nyheter: Advarer mot nye svindelgrep: – Det vil føles helt naturlig å kjøpe det | Stadig bedre kunstig intelligens gjør de kriminelle smartere. Har du tenkt på at du kan bli manipulert?
- Digi.no: Kvinner blir frastjålet ansikt og kropp til syntetisk porno (deepfake pornografi)
- E24 (NTB): Norges Bank: Betalingssystemet må bli bedre rustet mot cyberangrep | Motstandskraften mot cyberangrep må økes, slår Norges Bank fast i sin rapport om finansiell infrastruktur og betalingssystemer i Norge.
- Digi.no: Flertall på Stortinget: E-tjenesten kan starte masseovervåking i Norge | Et flertall på Stortinget sikrer at den militære E-tjenesten kan starte det som kalles tilrettelagt innhenting av datakommunikasjon.
- Digi.no: Tusenvis av angripere hacket maskinen uten å vite at det var en felle | Noen av angriperne var så inkompetente at de ikke engang klarte å finne porno på internett.
- Digi.no: Stor økning mot norske mål: Gammelt dribletriks (infisert minnepenn) blir stadig mer utbredt | Angrep mot norske, digitale mål har økt med 14 prosent i andre kvartal. 2023 har dermed stø kurs mot å bli et toppår for cyberangrep.
- TV 2 Nyheter: Klar ferieadvarsel: – Kan ramme alle | Datakriminelle vet å utnytte nordmenn på høstferie. Sikkerhetsekspert advarer mot svært dramatiske følger.
- Børsen: NSM slår alarm: – Det haster | Trusselen i cyberdomenet er noe hele samfunnet må forholde seg til, viser ny rapport.
- Digi.no: Cyberkrim: Kripos: – Vi ser en økning i datakriminalitet med krav om løsepenger | Økningen norsk politi har sett, støttes av to internasjonale rapporter som begge viser at det er mer bruk av løsepengevirus.
- ABC nyheter: Ny EU-lov om kunstig intelligens – forbyr masseovervåking
- TU: Forsvaret har ingen begrensninger for kinesiske biler på norske baser: – Kan brukes som våpen av Kina | Ekspert mener norske myndigheter bør innføre tiltak.
- NSM: Veileder i verdivurdering av informasjon | Skjermingsverdig informasjon (jf. Sikkerhetsloven)
- Regjeringen.no: NIS2-direktivet
Crowdstrike-saken juli 2024:
- TV 2 Nyheter: Omfattende dataproblemer i hele verden | Selve feilen er løst, men fortsatt vil problemene merkes.
- TV 2 Nyheter: Datatrøbbel i hele verden: Derfor er ikke Norge like hardt rammet | Ekspert mener uansett at datatrøbbelet avslører en sårbarhet vi også har.
- Digi.no: Crowdstrike om datatrøbbelet: Problemet er funnet – rettes nå | Crowdstrike-direktør George Kurtz sier til den amerikanske kanalen NBC at problemet som førte til at store deler av verden slet med datatrøbbel, er løst.
Av kommunal interesse:
- Digi Vestland: Faggruppe for informasjonstryggleik og personvern
- KiNS
- KS: Informasjonssikkerhet og personvern
- Normen – ehelse – Direktoratet for e-helse
- Datatilsynet
- Digi.no: Undersøkelse blant kommuner: Én av tre har blitt utsatt for dataangrep | Én av tre kommuner oppgir i en fersk undersøkelse at de har blitt utsatt for dataangrep. Mange er mer bekymret for sikkerheten nå enn før.
Stor redsel mot teknologi fra Kina, inkludert for Hikvision kameraer som min arbeidsgiver (Kinn kommune) benytter seg av:
År 2021:
- Digi.no: Lei årskavalkade: 38 kjente dataangrep rammet norske virksomheter i 2021 | Løsepengevirusene dominerer i Digi.nos gjennomgang av dataangrepene mot norske virksomheter i fjor.
- Digi.no: Norske IT-angrep i 2021: Året endte med en bølge av løsepengevirus | Nasjonal sikkerhetsmyndighet advarte mot økning i dataangrep i forbindelse med julen. Det slo til så det sang.
Podkast:
- Darknet Diaries – True stories from the dark side of the Internet
- Spotify (HP Norge): Sikkerhetsbruddet
Interne (blogg.brr.no):
- Rutere og datasikkerhet privat
- Personvern, informasjonssikkerhet, internkontroll (bedrift)
- Personvern og datasikkerhet
- Nettvett og digital mobbing – barn og unge
- Updating is free of charge
- E-post fra Russland
- Morsomme og irriterende søppelpost
- Digitalisering av kommunal sektor
- Løsepengevirus
- Konspirasjonsteorier i kristen og verdslig regi