Informasjonssikkerhet og cybersikkerhet

Datasikkerhet og hacking

Verden er fæl, og da spesielt Internett-verdenen! Truslene og farene ligger på lur nesten over alt i den globaliserte og digitaliserte verdenen. Det finnes nok av datakriminelle kjeltringer der ute i den store stygge verden. Det er nok av dem som har datainnbrudd / cyberangrep, cyberspionasje, digital svindel og/eller cybersabotasje som sitt levebrød, og som er profesjonelle på dette. Vi vanlige dødelige IKT-brukere – som privatpersoner eller bedrifter – blir deres uskyldige ofre.

Denne artikkelen vil ta for seg tematikken informasjonssikkerhet, datasikkerhet, IKT/IT-sikkerhet og cybersikkerhet. Jeg har tidligere vært innom disse temaene før her i bloggen, men nå blir det altså en helt egen artikkel kun viet disse temaene.

Informasjonssikkerhet er et omfattende og komplisert tema, og det er i praksis et helt eget fagområde for “spesielt interesserte” som vil fordype seg i problematikken. Uansett er dette et temaområde som vi alle bør ha litt overfladisk/allmenn kjennskap til og bevisst forhold til, da det er aktuelt for absolutt alle som nyttiggjør seg av IKT. Dvs. i praksis tilnærmet alle mennesker i Norge.

Noen sentrale begreper

Mange vil fort knytte informasjonssikkerhet opp mot begrepene:

  • Konfidensialitet: Hindre tilgang for uvedkommende.
  • Integritet: Hindre endring/sletting fra uautoriserte personer.
  • Tilgjengelighet: Sikre tilgjengelighet (tilgang) til enhver tid for dem som har rett til/behov for opplysningene.

Eventuelt kan nevnte punkter suppleres med:

  • Robusthet: Virksomheters / organisasjoners og systemers evne til å gjenopprette normaltilstand etter at et avvik eller tilsvarende har funnet sted.
  • Overholdelse: Informasjonsbehandlingen (innsamling, behandling, bruk, formidling, lagring og/eller sletting) må skje i henhold til gjeldende lover og regler + forskrifter.
  • Det økonomiske spiller alltid en rolle. (Kan bli dyrt både å sikre seg for mye og for lite, førstnevnte pga. dyre løsninger og sistnevnte pga. økonomiske tap etter angrep osv.)

En definisjon av informasjonssikkerhet kan være: Å håndtere risiko relatert til virksomhetens informasjonsverdier og behandling av personopplysninger.

I bedriftssammenheng går informasjonssikkerhet hånd i hanske med internkontroll og rutiner rundt dette. Risikovurderinger, ROS-analyser (risiko- og sårbarhetsanalyse) og risikostyring + tiltak er sentralt innenfor dette å sikre god informasjonssikkerhet.

Informasjonssikkerhet og personvern. Kilde: Pixabay.

Ofte benyttes begrepene litt om hverandre. En del sidestiller informasjonssikkerhet med datasikkerhet. Imidlertid er det en forskjell:

Datasikkerhet eller IKT/IT-sikkerhet: I hovedsak fokus på de IKT-tekniske aspekter. F. eks. Brannmurer, gode systemer for tilgangsstyring, tetting av sikkerhetshull via oppdateringer, løsninger for sikker tilgang utenfra, redundans osv.

Informasjonssikkerhet er noe mer omfattende enn “bare” teknologi og datasikkerhet/IKT-sikkerhet. Fokus rettes mot vidtrekkende sikring av informasjonsverdier, og ikke kun mot IKT-teknisk sikring av data. I tillegg til IKT-tekniske aspekter inngår også fysisk sikkerhet (f. eks. alarm/adgangssystem til rom, låsing, sikring mot naturkatastrofer osv.) og organisatorisk sikkerhet (lovverk, styringssystemer, rutiner, regler, avtaler, prosedyrer osv.). Den menneskelige faktor må heller ikke glemmes.  Personvern og beskyttelse av personopplysninger inngår også i informasjonssikkerheten.

Personvern har å gjøre med å sikre personopplysninger slik at uvedkommende ikke får tilgang på dem. Personopplysninger er opplysninger og vurderinger som kan knyttes mot identifiserbare enkeltpersoner. Informasjonssikkerhet omfatter personvern og mer til.

Et annet begrep som kan dras inn her er cybersikkerhet. Cybersikkerhet handler om å sikre fysisk infrastruktur og fysiske ting som er sårbare via IKT. Spesielt er dette aktuelt i disse IoT-tider (tingenes internett) hvor alt er på nett, inkludert sentrale samfunnsmessig viktige funksjoner og styringssystemer slik som vannverk, strømforsyning, kommunikasjonsnett osv.

Spesielt myndigheter og samfunnsmessig kritisk infrastruktur kan bli utsatt for cyberspionasje og/eller cybersabotasje. Ellers er det mange datakriminelle kjeltringer der ute som gjør det meste for lettjente penger.

Datakriminalitet må kunne kalles for en form for hvitsnippforbrytelser. Normalt benyttes dette begrepet i hovedsak som begrep rundt økonomiske lovbrudd/økonomisk kriminalitet (underslag, korrupsjon, skattesnyteri osv.) begått av personer i kraft av stilling, posisjon, nettverk og/eller tillit (ofte personer i overordnede betrodde stillinger, internt i en bedrift). Mye av datakriminaliteten har utgangspunkt i økonomisk vinning, og man bruker datanettverk (Internett) for å utføre angrepene. Noen ganger prøver man også å skape tillit via e-post-korrespondanse eller annen kontaktvirksomhet på forhånd.

Andre begreper som kan blandes inn i diskusjonen: Sikkerhet (generelt), beredskap, risiko, krisehåndtering, sårbarhet, trusler, beskyttelse, sikkerhetstiltak osv. Fire sentrale aktører som jobber med slikt: Politiets sikkerhetstjeneste (PST), Forsvarets Etterretningstjeneste, Nasjonal sikkerhetsmyndighet (NSM) og Direktoratet for samfunnssikkerhet og beredskap (DSB).

Eksempler på trusler

Noen eksempler på trusler som lurer der ute, og som kan være en risiko både for privatpersoner og bedrifter (virksomheter):

  • Dataangrep mot diverse nett-/tjenesteleverandører med fare for at personopplysninger kan komme på avveie (banker, BankID, Netflix, sosiale nettverk, nettjenester osv.).
  • Direktørsvindel (Falske fakturaer som angivelig er godkjent av leder, og som må betales fort av en økonomiansvarlig til det som viser seg å være svindlernes konto.)
  • Utpressing (pengeutpressing, løsepengevirus, seksuell utpressing, hevnporno m. m.)
  • Telefonsvindel (f. eks. “spoofing”), gjerne kombinert med overtakelse/stjeling (forfalskning) av norske telefonnumre for å gi økt troverdighet blant ofrene
  • Skadevare og datavirus
  • Forsatt kommer det farlige lenker og skadevare via e-post, sosiale nettverk eller via besøk på kompromitterte nettsider
  • Hacking og hackerangrep
  • Kjente og ukjente sikkerhetshull i program- og maskinvare utnyttes
  • Falske nettsider for kjente firma (jf. nettfisking)
  • Falske oppdateringer som inneholder skadevare
  • Falske kampanjer via e-post, sosiale nettverk, nettsider osv. hvor det loves gratis eller billige produkter, men hvor man i stedet blir fralurt penger og/eller personopplysninger
  • Løsepengevirus
  • Nettfiske (phishing)
  • DDoS (distribuert tjenestenekt)
  • Identitetstyveri (ID-tyveri)
  • Utnyttelse av sårbarheter i programvare og/eller maskinvare
  • Nigeriasvindel eller Nigeriabrev
  • Microsoft-svindel (falske telefonsamtaler, oppringing fra angivelig Microsoft som påstår at det er problemer på din PC og som vil “hjelpe” deg)
  • BYOD (Bring Your Own Device)
  • Smarte TV-apparater, rutere, smarttelefoner, nettbrett, velferdsteknologi, smarthus-teknologi, SD-anlegg etc. kan hackes, kapres, utsettes for andre former for datainnbrudd eller sabotasje og benyttes i zombie-nettverk (botnett), uten at brukeren/eieren nødvendigvis vet om det
  • Det samme kan finne sted med de nye smarte og automatiske strømmålerne (AMS)
  • Data vi har gitt fra oss – bevisst eller i vanvare/uvitenhet – kan bli solgt eller delt tilnærmet uhemmet videre, jf. det amerikanske presidentvalget, Cambridge Analytica og Facebook-skandalen
  • Data, informasjon, avanserte analyser, maskinlæring og IKT kan benyttes til å påvirke valgkamper og opinionen blant folk
  • F. eks. Apple vet å “låse” og å “holde fast” på sine kunder via sine lukkede løsninger
  • Vårt komplekse digitaliserte samfunn – inkludert det typisk norske – er utsatt for mange trusler og potensielle sårbarheter

Lista er ikke uttømmende. Også noe overlapping mellom noen av punktene.

Hacket

Vi lever i en globalisert og digitalt grenseløs verden. Informasjonssikkerheten til oss her i Norge kan bli truet via hacking og fjernangrep foretatt fra jordens andre side.

 

Fem land – USA, Storbritannia, Canada, Australia og New Zealand – oppfordrer og ber teknologiselskapene om å bygge inn bakdører i krypterte enheter til bruk for myndighetene for å avsløre terrorisme. Foreløpig er det frivillig, men de truer med å gjøre det obligatorisk. Bakdører av denne typen, om enn planlagte, er det stor grunn til å være skeptisk til. De kan fort bli benyttet til andre formål enn de tiltenkte, og det kan også tenkes at de kan bli benyttet/utnyttet av andre ikke-tiltenkte instanser (hackere etc.). Digitalt grenseforsvar eller “tilrettelagt innhenting” kan også fort gå fra å være et gode til å bli misbrukt.

En stor utfordring for tiden er angrep mot og utnyttelse av svakheter i IoT-enheter (tingenes internett). Dette kan være alt fra brødristere, TV-apparater, andre husholdningsapparater, biler, styringssystemer osv. som er på nett. En del av disse nymotens nett-tilknyttede enheter har en lang vei å gå for å bli gode på sikkerhet. I alt for liten grad har det blitt tenkt på sikkerhet under designet og produktutviklingen av mange av disse enhetene.

BYOD (Bring Your Own Device), dvs. privat IKT-utstyr som brukes i bedriftens nettverk, kan være en utfordring sikkerhetsmessig. Utstyret er normalt sett ikke under virksomhetens konfigurasjonskontroll og lever på mange måter sitt eget liv. Pga. eierens manglende kompetanse eller oppmerksomhet rundt datasikkerhet kan utstyret representere en sikkerhetsrisiko. Systemer for beskyttelse mot skadevare og innlegging av nødvendige systemoppdateringer kan være fraværende.

Personvernet er truet!

Støtt og stadig er det saker i media om apper som enten overvåker deg, samler inn alt for mye med personopplysninger eller har ondsinnet kode innebakt. Aktører slik som Google og Apple prøver å rydde opp i dette i sine løsninger (Google Play og App Store), men det er en evigvarende kamp der det innimellom kan glippe litt.

Typisk for tiden er å få falske e-poster eller lenker via sosiale nettverk “fra” bank og skatteetat, eller fra Elkjøp, Netflix, flyselskaper, Apple etc. Man skal få igjen penger på skatten eller få kjøpt et produkt billig (eller gratis), som fordrer innlegging av “litt” opplysninger først. Man kan også bli bedt om å oppdatere sine personopplysninger, profil eller passord på en nettjeneste (webmail osv.), hvor det gjerne spilles på sikkerheten. Svindel og humbug fra ende til annen, men det kan være noe vanskelig å oppdage at det er svindel da nettsider etc. ser ekte ut.

Det står å lese hos Tek.no at nordmenn er rike, godtroende og naive. Vi lar oss lure av ondsinnede e-poster med farlige lenker eller vedlegg i seg. Vi kommer fra et tillitsbasert samfunn hvor vi stoler på andre, og det blir et aldri så lite kulturkrasj når vi møter den store stygge verden på nettet bestående av blant annet proffe svindlere.

Jeg synes det via media støtt og stadig er avsløringer rundt store og vellykkede hackerangrep mot kjente nettjenester, f. eks. Google, Facebook osv. Selv hos store aktører som investerer mye i sikkerhetsløsninger finner det sted vellykkede datainnbrudd, og passord og annen informasjon kommer på avveie. Ingenting er 100 % sikret mot å kunne bli hacket.

En annen side av saken er hvor mye man kan stole på store aktører (multinasjonale konsern) slik som Google, Facebook, Apple, Microsoft, Amazon med flere, da våre personopplysninger og annen informasjon benyttes av slike firmaer som en handelsvare. Til dels driver de nesten til og med spionasje på sine kunder. Teknologigigantene har sin egen agenda som ikke alltid er sammenfallende med kundenes.

Ifølge Amnesty truer forretningsmodellene til Google og Facebook menneskerettighetene, inkludert ytringsfriheten. I bytte mot gratistjenester gir man fra seg personlig informasjon som aktørene benytter til målrettede annonser og reklame (med ensidig vinkling). Til tross for gode tjenester har medaljen altså en negativ bakside. Forretningsmodellen er gjennomgående uforenlig med retten til et privatliv hevdes det.

Det er i en del tilfeller snakk om falske nettsider proft laget (kopiert), hvor det virker som om man skal få noe gratis eller “steinbillig”. Først må man legge inn en haug med personopplysninger, kontonummer og f. eks. passord, som medfører at man i neste runde potensielt blir utsatt for svindel. Uærlige sjeler fanger opp personopplysninger, passord etc. som de senere kan misbruke til f. eks. økonomisk vinning eller ID-tyveri. Selvsagt får man ikke noe som helst gratis eller “steinbillig”, da det er alt for godt til å være sant. Det blir ingen “gratis lunsj” (les: produkt), men kan man bli utsatt for masse kjedelige konsekvenser (tap av identitet og/eller penger).

En del (sårbare) nordmenn – gjerne godt voksne mennesker – har blitt lurt av kjærlighetssvindel. Personer mer eller mindre på jakt etter en kjæreste mottar en venneforespørsel via sosiale medier. Personen i den andre enden framstår som en troverdig person, og det oppstår en avstandsforelskelse. Personen i den andre enden er en tålmodig kjeltring som bruker masse tid på å bygge opp tillit. Chat blir blant annet benyttet til utstrakt kommunikasjon mellom de to.

Deretter begynner pengemaset hvor offeret blir lurt til å overføre store summer angivelig til helsebehandling, reiser, livets opphold eller tilsvarende. Personen i den andre enden har selvsagt hatt en falsk profil, og vedkommende er langt fra den personen som han/hun har utgitt seg for å være. Alt viser seg å være svindel og humbug, et skuespill for å få svindlet til seg penger fra godtruende nordmenn som tror for godt om andre.

Mye av svindelen nevnt ovenfor starter ofte med “phishing”, som på “godt norsk” kan kalles for nettfiske eller phiske (digital snoking). Dette kan finne sted via f. eks. falske nettsider, mottatte e-poster med lenker eller vedlegg i, via chat (lynmeldinger) eller via mobiltelefon (SMS-meldinger osv.). Angriperen utgir seg for å være noen andre enn det de er – gjerne et kjent firma som man har et kundeforhold til (bank, Netflix, Microsoft osv.), med mål om å lure fra offeret brukernavn, passord, koder, kredittkortopplysninger osv.

Ofte blir man via lenker sendt til en falsk nettside (gjerne proft utformet, eller kopiert ned til minste detalj fra den ekte siden) med et “lureskjema” (nettside) som man blir oppfordret til å fylle ut. Man blir f. eks. bedt om å oppdatere sine betalingsopplysninger på en tjeneste eller tilsvarende, men hvor lenken fører til en falsk nettside som gir angriperne alle dataene man fyller ut. F. eks. kan man bli lurt til å oppgi kredittkort-nummer, CVC2-kode, PIN-kode m. m., som igjen gir svindlerne nok opplysninger til at de kan gjennomføre pengesvindel (trekke penger fra konto).

Verdt å sjekke ut:

Vårt samfunn er i ferd med å bli helt gjennom-digitalisert, og nesten all aktivitet er avhengig av IKT (informasjons- og kommunikasjonsteknologi) for å fungere. Fint og flott i seg selv, men dette gjør oss også ekstremt sårbare. Katastrofer eller større angrep som slår mye av teknologien ut vil medføre store problemer for mye av landets infrastruktur. Betalingsløsninger kan slutte å fungere, ikke-fungerende styringssystemer for strøm, vann og avløp kan skape problemer for leveransen av disse produktene og også leger og helse er avhengig av teknologien i sin hverdag. Internett, mobil og TV/radio kan også bli satt ut av spill, noe som vil gi store konsekvenser for de fleste av oss som er helt avhengig av at denne teknologien fungerer i vår hverdag.

Det gjelder også være bevisste når vi skal kvitte oss med fysisk IKT-utstyr. Jeg tenker da på resirkulering og kassering (eventuelt videresalg) av utstyr som har gjort sin misjon. I slike tilfeller er det viktig å tenke på sikker og forsvarlig sletting av data og innstillinger for å unngå identitetstyveri og/eller data på avveie. Utstyret bør leveres inn til et sted som sikrer en forsvarlig håndtering av innlevert utstyr.

Digital svindel eller nettsvindel

Ifølge nyhetsoppslag hos TV 2 29.08.2018 svindles nordmenn for nærmere fem milliarder (5 000 000 000) kroner i året via digitale plattformer. Blant annet svindles det med:

  • Kjærlighetssvindel.
  • Trangen til raske penger, f. eks. investeringsbedrageri. Man blir lurt til å gå inn med penger i et “prosjekt” som skal gi stor og kjapp avkastning. Enkelt og greit for godt til å være sant, noe det også da er.
  • Salg av ting som folk ikke har peiling på, f. eks. kryptovaluta, gull, edle metaller, valutaspekulasjoner m. m. Også her blir man kraftig lurt, dvs. rundlurt.

Norske myndigheter og institusjoner (banker m. m.) regner med å klare å stanse “bare” 590 millioner kroner i år av pengene som er på vei til kriminelle i utlandet. De kriminelle bruker pengene på blant annet våpen, prostitusjon, narkotika og luksus.

Selv har jeg mest sympati /empati med dem som blir lurt for penger via kjærlighetssvindel. Mennesker blir utnyttet i en sårbar situasjon, og det spilles på lykke og følelser i stor grad. Om noen blir svindlet pga. deres pengegriskhet og drømmen om kjappe penger engasjerer meg ikke i like stor grad.

En god del havner altså på limpinnen og blir utsatt for nettsvindel. Nordmenn er muligens noe naive og godtroende i sin framferd på nettet, og i tillegg har de kriminelle blitt mer og mer proffe i sine svindelforsøk. Det finnes mange personer som har det som jobb å svindle andre. En del av svindlerne går grundig til verks med forarbeidet, og de kan drive med tillitsbygging overfor det framtidige offeret over en lengre periode.

I tillegg til alt dette har man jo falske konkurranser på nettet, gjerne via sosiale medier. Tradisjonell datahacking og diverse ulike former for datainnbrudd er stadig “populært” blant svindlere.

 

Trusselbildet ifølge NorSIS

Trusler og trender (i ikke-teknisk språk) mot individer og virksomheter i vår digitale hverdag 2017-18, ifølge NorSIS (Norsk senter for informasjonssikring):

  • Informasjonstyveri
  • Vanvare
  • Løsepengevirus
  • Direktørsvindel
  • Industrispionasje
  • Sabotasje
  • Identitetstyveri
  • Datingsvindel
  • Personutpressing
  • Krenkelser

Kilde: https://norsis.no/trusler-trender-2017-18/

Det blir også nevnt utfordringene for oss alle med dagens IoT-trend (“tingenes internett”). Den store bruken av sosiale medier, og den medfølgende mulighetene for sosial manipulering er en del av dagens virkelighet. Vi lever i det digitaliserte samfunnet med bruk av skyen, masse nettjenester m. m. Alt dette gir muligheter for sårbarheter som kan bli utnyttet til cyberkriminalitet og cyberkriminelle.

NorSIS’ årlige sikkerhetskulturrapport 2019: Økende digital frykt blant nordmenn. Redusert tillit til en rekke nettjenester, inkludert offentlige tjenester, nettbank og betalingskort. Samtidig er folket – forstå det den som kan – mindre bekymret for den store e-postrisikoen.

Februar 2020 presenterte NorSIS rapporten “Trusler og trender 2019-2020“. En god del av “funnene” fra 2017-2018-rapporten går også igjen i den nye, men med noen justeringer og tilføyelser. Noen momenter fra rapporten:

  • Økende digital trussel, samtidig med at forbausende mange tror at de er immune mot angrepene.
  • Vi nordmenn er mer sårbare enn noensinne.
  • Cyberkriminaliteten profesjonaliseres.
  • Angrepene kan koste mye tid og penger for dem som blir rammet.
  • Sannsynligvis betydelige mørketall foreligger.
  • Trend: Angriper (lurer) mennesker fremfor klassiske datainnbrudd på maskinnivå.
  • Mer sosial manipulasjon og målrettede personaliserte angrep.
  • Falske nyheter er en utfordring.

De 10 største digitale truslene akkurat nå ifølge rapporten:

  • Løsepengevirus
  • ID-tyveri
  • Falske trusler og utpressingskrav (som pornosvindel)
  • Phishing (nettfiske)
  • Ekte utpressing og svindel
  • Kontohacking (inkludert svindel med BankID)
  • Datainnbrudd
  • Menneskelige feil
  • Krenkelser
  • Verdikjedeangrep

Kilde: NorSiS | Trusler og trender 2019-2020

 

Utviklingen av Internett

I nettets barndom for oss vanlige brukere (på midtre og siste del av 1990-tallet) framstod det som en desentralisert, frigjørende, demokratisk, usensurert, uregulert og nesten anarkistisk kommunikasjonskanal. Det var høy grad av ytringsfrihet og gode muligheter for den enkelte å gjøre det vedkommende fant for godt. Til tider gikk vel friheten litt vel langt og endte over i misbruk (ulovligheter) riktignok.

Etter hvert har nettet utviklet seg i en negativ retning sett med mine øyne. Det har blitt et globalt nettverk for overvåking, dataangrep og kommersiell utnyttelse. De store konsernene har styringen med agendaen, og oss som hører til grasroten ties mer eller mindre i hel og blir overkjørt av de store.

(Nå må man oppsøke det mørke nettet eller dypnettet for å få full frihet. Imidlertid er vel dette nettet mest for anonyme “kjeltringer” og ulovligheter.)

 

PST: Trusselvurdering 2019

Politiets sikkerhetstjeneste (PST) har presentert sin trusselvurdering for 2019. De største truslene slik PST ser det:

  • Statlig etterretningsvirksomhet mot Norge og norske verdier.
  • Politisk motivert vold (ekstreme islamistiske grupper, terrorangrep).
  • Trusler mot myndighetspersoner.

En del av disse truslene og farene kan finne sted via digitale medier / informasjonsteknologi. PST er spesielt opptatt av muligheten for cybertrusler fra land slik som Kina og Russland.

Etterretningstjenestens sikkerhetsrapport Fokus 2020

Ifølge Digi.no:

De (Digi.no) refererer til Etterretningstjenesten og deres sikkerhetsrapport Fokus 2020. Trusselbildet har blitt mer alvorlig og sammensatt, og det pekes blant annet på mulige trusler fra Russland og Kina. Dessuten kan også Iran (og Midtøsten) nevnes.

Både militære og sivile mål kan være truet, innenfor et vidt spekter av sektorer. Aktørene kan være på jakt etter alt fra tilgang på personopplysninger, helseopplysninger og stjeling av industrihemmeligheter.

IOCTA-rapport fra Europol 2019

Ifølge IOCTA-rapporten 2019 til Europol er utpressingsprogrammer (“ransomware”) fortsatt den største trusselen. Heldigvis har volumet av denne typen angrep gått noe ned, takket være diverse igangsatte tiltak.

Utenom løsepengevirus / utpressingsvare / utpressingsprogramvare er det ifølge rapporten en del tilfeller av kompromittering av data via phishing-angrep, datainnbrudd, datalekkasjer og skadevare designet for innsamling av sensitive data. Ødeleggende / destruktive angrep / sabotasjeangrep mot infrastruktur m. m. er også sentrale deler av det store bildet.

Sikkerhetsselskapet Trend Micro sin 2018-rapport

Sikkerhetsselskapet Trend Micro har publisert sin årlige “Security Roundup”-rapport som omhandler år 2018. Digi.no skriver noen ord om funnene i denne rapporten i sin artikkel:

Norge ligger på femteplass i verden når det gjelder direktørsvindel. Andre trender i 2018 i tillegg til direktørsvindel er: Kryptokapring og nettfiske (“phishing”-angrep). Løsepengevirusene (“ransomware”) på sin side viser en nedadgående tendens.

Google-rapport for Android-plattformen 2018

Ifølge rapport fra Google er en stor sikkerhetstrussel på Android-plattformen klikksvindel. Det er da snakk om bruk av programvare / systemer for å generere / simulere mange klikk på annonser for å påvirke reklameinntektene / reklameutgiftene, enten til seg selv (skape inntekter) eller sine konkurrenter (skape utgifter).

Andre sentrale trusler er trojanere, SMS-svindel og spionasje-funksjonalitet i apper.

Beskyttelse og tiltak

Datakriminaliteten vil neppe avta i tiden framover. Det vil stadig dukke opp nye trusler og angrep. I vårt digitaliserte samfunn hvor vi finner IKT over alt blir man i høyeste grad sårbare. Sårbarheten kan vi ikke springe fra så lenge som vi lever i en globalisert og digitalisert verden, og hvor det er gode penger i å drive med cyberkriminalitet. Forbrytelsene kan foretas via nettet uten å være fysisk til stede der som forbrytelsene reellt finner sted.

Tekniske sikringstiltak er selvsagt viktig. Brannmurer og tetting av sikkerhetshull er eksempler på tekniske tiltak. Imidlertid blir aldre sikkerheten bedre enn det svakeste leddet.

På brukernivå er tofaktorautentisering (totrinnsbekreftelse, noe du vet + noe du har) en fornuftig måte å beskytte seg på. Bevissthet rundt valg av fornuftige passord, skifting av passord, ulike passord til ulike tjenester osv. er også enkle tiltak som minsker risikoen for å bli hacket betraktelig.

Det svakeste leddet er ofte mennesker, og den menneskelige faktor må ikke undervurderes eller glemmes. Mennesker kan lures og manipuleres til å foreta seg ting på innsiden av brannmuren som gjør tekniske sikringstiltak tilnærmet ubrukelige og unyttige. Ofte må det foretas organisatoriske endringer for å få økt sikkerhetsnivået. Informasjonssikkerhet handler om mye mer enn bare teknologien.

Menneskene må “dresseres” skulle jeg til å si. Opplæring i informasjonssikkerhet og holdningskampanjer for å gjøre oss alle mer bevisste kan være nødvendige tiltak. Vår kritiske sans må opptrenes, slik at vi ikke uten videre trykker i vilden sky på alle lenker og e-poster som kommer vår vei.

Barn og unge må ikke glemmes i det store bildet. Holdningskampanjer, opplæring og andre former for bevisstgjøring kan være aktuelt for å få dem til å bli trygge nettbrukere som utviser nettvett.

Oss godt voksne er født inn i verden før teknologien gjorde sitt inntog for fullt. For å bli gode cyberborgere kan det være nødvendig med diverse tiltak som gjør oss bedre i stand til å bruke teknologien på en fornuftig måte og til å ta bedre beslutninger. Nettvett kan være tingen også for godt voksne.

Det kan være lett å tenke seg at dette med bevisstheten rundt informasjonssikkerhet er mest mangelvare hos gamle dinosaurer slik som meg som er oppvokst fra tiden før IKT ble allemannseie. Imidlertid går det fram av en lenke i bunnen av denne artikkelen at unge arbeidstakere under 30 år er den aldersgruppen som samlet sett gjør det dårligst når det gjelder IT-sikkerhetspraksis. Fart, fleksibilitet og produktivitet trumfer det meste, og snarveier tas når det gjelder IKT-sikkerhet. (Selv om denne gruppa – oppflasket på teknologi – absolutt bør vite bedre enn som så.)

Ifølge Nasjonal sikkerhetsmyndighet (NSM) finnes det fire effektive tiltak mot dataangrep, hvor det påstås at disse tiltakene alene stopper opp mot 90 % av dataangrepene:

  1. Oppgrader program- og maskinvare.
  2. Installere sikkerhetsoppdateringer så fort som mulig.
  3. Ikke tildel administrator-rettigheter til sluttbrukere.
  4. Blokker kjøring av ikke-autoriserte programmer (“hvitelisting”).

Kilde: Nasjonal sikkerhetsmyndighet (NSM): Fire tiltak stopper opp mot 90 prosent av dataangrep

Avansert teknologi mot avanserte trusler

Selv om kommentaren til teknologisjef Nils Ove Gamlem i Check Point gjengitt i Digi.no er mer eller mindre reklame for Check Point sine sikkerhetsprodukter gjengir jeg noen punkter fra innlegget, noe omskrevet.

Det har i 2018 vært diverse store kyberangrep som har blitt førstesidestoff i mediene. I den forbindelse setter forfatteren opp en liste over noen kybertrender for år 2019 basert på det tilbakelagte året:

  • Det blir mer og mer “populært” med skadevare som graver etter digitalt gull, dvs. krypto-valuta og krypto-miners som finner sted uoppdaget på vårt utstyr og generere kontinuerlige inntekter for de kriminelle som står bak.
  • Angrep mot mobiltelefoner som er dårlig sikret.
  • Innbrudd rettet mot skytjenester.
  • Maskinlæring og AI kan misbrukes til å utvikle bedre skadevare.
  • Land og stater som angriper og påvirker andre er en bekymringsfull utvikling.
  • Organisasjoner har sviktet rundt dette å ta i bruk bedre sikkerhetsrutiner og produkter for å beskytte sine nettverk og enheter. Blant annet utfordres sikkerheten av IoT, velferdsteknologi, medisinske enheter, selvkjørende kjøretøy og andre mobile enheter.

Check Point sin løsning er nanosikkerhetsagenter.

 

Informasjonssikkerhet og internkontroll er en kontinuerlig prosess som man aldri blir ferdig med. Arbeidet må hele tiden revideres, og nye tiltak må tas i bruk for å stoppe nye typer trusler.

Det kan ofte være aktuelt å leie inn ekstern kompetanse og konsulenter. En utfordring er stor mangel på fagfolk innenfor informasjonssikkerhet. Det er et skrikende marked for enda flere flinke fagfolk og eksperter innenfor informasjonssikkerhet, cybersikkerhet og datasikkerhet.

Bransjespesifikke CERT-team (Computer emergency response team) som kan bistå i kartleggingen og oppryddingen kan også ha noe for seg.

Alt er ikke personopplysninger

Via fokus på personvern, GDPR, personopplysningsloven etc. har det vært et visst fokus på verning av personopplysninger. Spesielt er det en del bevissthet rundt å hindre uvedkommende tilgang på sensitive personopplysninger, slik som f. eks. helseopplysninger.

Innenfor informasjonssikkerhet er personvernet viktig, men det finnes også annen informasjon som må vernes selv om det ikke er snakk om personopplysninger. F. eks. kan det være ønskelig å unngå at følgende typer opplysninger kommer på avveie, blir manipulert eller blir gjort utilgjengelige:

  • Forretningshemmeligheter (f. eks. oppskrifter)
  • Strategier
  • Produktutvikling
  • Beslutninger rundt bruk av virkemidler for å oppnå konkurransefortrinn osv.
  • Kontraktsmessige forhold
  • Styrings-/driftssystemer (PLS-systemer, SD-anlegg osv. som kan bli manipulert eller satt ut av drift, jf. cybersikkerhet)
    Osv.

Også informasjon som ikke er personopplysninger må i en del tilfeller beskyttes. Hvis ting feiler kan man i verste tilfelle risikere at en bedrift går konkurs.

Cybersikkerhet

Cybersikkerhet

Ikke bare-bare for små og mellomstore bedrifter

Små og mellomstore bedrifter (SMB) har ofte ikke nødvendige kompetanse internt når det gjelder informasjonssikkerhet og datainnbrudd m. m. Det kan være begrenset med hjelp som lett kan innhentes.

Noe kompetanse kan leies inn ved behov fra markedet, men her kan det være store utfordringer med å finne de rette som virkelig kan jobben og vet hva de driver med. Politiet har ofte begrensede ressurser og kompetanse til at man kan stole på dem.

Et godt eksempel på utfordringene framgår av denne artikkelen:

Her er det helt sikkert store mørketall. Mange datainnbrudd eller andre brudd mot informasjonssikkerheten blir neppe anmeldt og/eller offentlig “annonsert”. Det er liten åpenhet rundt angrep, og det er noe “flaut” å innrømme at man har blitt utsatt for slikt.

Lover og regelverk

GDPR (General Data Protection Regulation, Personvernforordningen 2016/679) har så vidt blitt nevnt tidligere. Ny “Lov om behandling av personopplysninger (personopplysningsloven)” og tilhørende forskrift + personvernforordningen (EU) har trådt i kraft sommeren 2018. Poenget med dette regelverket er å beskytte/styrke personvernet og harmonisere reglene i hele Europa (EU). Reglene gir en god del føringer med rettigheter og plikter for den enkelte av oss og for de virksomhet som behandler personopplysninger. Det står mer å lese om GDPR i egen artikkel (lenke) om personvern.

Fra 1.1.2019 trer ny sikkerhetslov – Lov om nasjonal sikkerhet (sikkerhetsloven) – + forskrifter i kraft. Denne loven vil blant annet omhandle forhold relatert til informasjonssikkerhet og tilgjengelighet. Hensikten med loven er å ivareta nasjonale sikkerhetsinteresser, hvor blant annet sikring av digital infrastruktur innenfor samfunnskritiske områder inngår.

Straffeloven er selvsagt også aktuell i forbindelse med informasjonssikkerhet og eventuelle datainnbrudd hvor gjerningsmann blir tatt. Lov om opphavsrett til åndsverk mv. (åndsverkloven) kan også komme til anvendelse i enkelte tilfeller, og likeså diverse særlover.

I likhet med folk flest er jeg sløv med å lese brukervilkårene til programvare jeg installerer på min PC eller til nettjenester som jeg tar i bruk. Vilkårene som man fort bare aksepterer uten å ha lest dem (grundig) sier som oftest en god del om leverandørens behandling av opplysninger, informasjonssikkerhet etc. Strengt tatt burde man virkelig sette seg inn i slike ting før den nye teknologien tas i bruk.

Myndighetene som en trussel

Myndighetene og deres aktiviteter kan bidra til å true informasjonssikkerheten/datasikkerheten og personvernet. Den vanlige kvinne og mann kan bli stemplet som en potensiell lovbryter og/eller terrorist som “må” utsettes for overvåkning og kontroll. Dataene som samles inn kan bli misbrukt eller komme på avveie.

Regjeringen vil gi etterretningstjenesten (e-tjenesten) adgang til masseovervåking, noe som utfordrer rettsstaten, menneskerettighetene og personvernet (privatlivet). Hva hjelper det med GDPR (personvernforordningen) og fokus på personvern når etterretningen og myndighetene kan overstyre? Store nettselskaper slik som Google og Facebook finner også sine “smutthull” for å kunne få fatt i og utnytte personopplysninger, uten at myndighetene i nevneverdig grad griper inn.

Det kan blant annet se ut for at ny e-tjenestelov (Lov om Etterretningstjenesten, forslag til ny lov) vil gi Etterretningstjenesten (E-tjenesten) vide fullmakter til å overvåke datatrafikk som krysser den norske grensen. Mer konkret: Regjeringen vil ha endringer i etterretningstjenesten-loven som gir E-tjenesten muligheter for å lovlig lagre metadata fra all digital trafikk som krysser landegrensen. Innføring av digitalt grenseforsvar (DGF) eller “tilrettelagt innhenting” med masseovervåkning av norske borgere går virkelig hardt utover personvernet og privatlivet til oss lovlydige borgere.

Datatilsynet – som er personvernets forkjempere og forsvarere – er som forventet negative. Den massive overvåkningen kan rokke med demokratiet, medfører et for stort inngrep i retten til privatliv og kan være i strid med menneskerettighetene. Både ITavisen og Digi har skrevet om denne saken og om Datatilsynets meninger. Ifølge Digi har Datatilsynets direktør Bjørn Erik Thon uttalt noe tilsvarende dette: – Vanskelig å klemme dette monsteret av en lov innenfor menneske­rettighetene. Vil loven være kroken på døra for bruk av visse typer for kryptering?

Fra USA har vi friskt i minne Snowden-avsløringene rundt overvåkning. Det var (er) ikke måten på hva NSA (National Security Agency) samlet inn av opplysninger om og overvåket uskyldige mennesker som ikke var mistenkt for noe som helst. Å behandle alle slags mennesker som potensielle terrorister og forbrytere er litt av et menneskesyn. Selv er amerikanerne livredde for kinesernes overvåkning, hvor Trump blant annet vil forby – bannlyse – mobiltelefoner og mobilutstyr fra kinesiske produsenter slik som ZTE og Huawei.

Også i Norge advares det mot å bruke Huawei mobiltelefoner, og i enda større grad mot at nevnte leverandør eventuelt får lov til å bygge ut 5G-nett i Norge via leveranser av senderutstyr og annen infrastruktur. PST opplever det som høyst problematisk hvis Huawei får slippe til med utbygningen. Man er redde for leverandørens (eventuelle) nære forbindelser til det kommunistiske (og autoritære / diktatoriske) styret i Kina, og for at Kina skal kunne drive etterretning og overvåkning via utstyret mot blant annet lille Norge.

USA på sin side kommer med det som mest minner om trusler. Det trues eller advares om konsekvenser for EU-land som samarbeider med Huawei eller andre teknologiselskaper fra Kina i forbindelse med innføring av 5G og tilsvarende sentral infrastruktur. Redselen for cyber-spionasje fra myndighetsnivå i Kina er stor.

Mai 2019 kom nyheten om at Trump HELT forbyr amerikanske selskaper å bruke utenlandsk teleutstyr som kan være en “fare for landets sikkerhet”. Dette forbudet klarte han å få i stand via en erklæring om “nasjonal nødssituasjon”, som igjen medførte at han kunne legge ned et forbud for amerikanske selskaper å bruke utenlandsk utstyr som “utgjør en uakseptabel risiko”.

Produsentnavn og land nevnes ikke, men det er ingen tvil om at forbudet blant annet rettes mot Kina-produsenten Huawei. Og alt dette kommer i stand bare pga. ubegrunnede påstander og indisier fra presidenten og hans folk. I USA – hvor de har flinke folk i f. eks. NSA, FBI og CIA – har de ikke klart å framskaffe et eneste håndfast bevis på at Kina VIRKELIG driver med overvåkning og spionasje via f. eks. Huawei-utstyr. Bare ubegrunnet synsing, redsel og storpolitikk som ligger bak dette vaset av et forbud.

Vi må ikke være naive. Det sitter proffe aktører der ute som lever av å hacke og bryte gjennom sikringstiltak / sikkerhetshull. En del av dem har til og med nære knyttinger til myndighetene, eller er til og med finansiert og del av ulike lands statsapparat.

Dataene fra “lovlig” myndighetsstyrt overvåkning kan komme på avveie og i hendene på uønskede aktører, eller de kan bli benyttet til andre formål enn de tiltenkte. Innsamlede data kan lett benyttes til massiv spionasje, overvåkning og rangering av et helt lands befolkning (borgere), jf. Kina sine systemer for “sosial kreditt” basert på massiv overvåkning, store databaser og AI-systemer (kunstig intelligens).

Kina sitt planlagte system for sosiale poeng (sosialt poengsystem) som er under uttesting enkelte steder høres noe skremmende ut, ja. Systemet minner nesten om et dataspill, hvor man får eller kan miste poeng. Det legges opp til et sosial poengsystem eller sosial kreditt, hvor man kan bli straffet for overtredelser eller få plusspoeng for god oppførsel. Overtredelser slik som å gå på rød mann kan medføre at man mister poeng, og hvis tilstrekkelig antall poeng mistes kan dette medføre straffer slik som f. eks. å bli nektet bruk av hurtigtog, fly, reduserte karrieremuligheter eller redusert hastighet på Internett.

I et land som Kina kan digitalt diktatur lett innføres, da de “slipper” å forholde seg til faktorer slik som personvern, informasjonssikkerhet og menneskerettigheter. Sett fra myndighetenes side er nok dette et slikt system en ønskedrøm som går i oppfyllelse. Endelig får de nødvendige verktøy tilgjengelig for å klare å holde full kontroll over sin store befolkningsmengde, og systemet kan også bidra til at opptøyer og forsøk på å splitte landet blir unngått eller stoppet allerede i startfasen.

Innføring og utstrakt bruk av kunstig intelligens (KI) – Artificial Intelligence (AI) – medfører utfordringer, også her i Norge. Det må tenkes på informasjonssikkerheten, hvor man blant annet må unngå at systemene lett lar seg påvirke eller bli hacket. KI-etikk og gode KI-strategier blir sentralt. Hvis ting ikke blir bra gjennomtenkt og regulert kan man få uønskede situasjoner med ikke-ønskede beslutninger. Fordommer, diskriminering og partisk beslutningstaking kan lett bli automatisert inn i slike systemer, hvor systemene bidrar til og kan forsterke samfunnets svakeste sider.

Chip under huden

Noe “helt nytt” er chip under huden, i hånden.  Det blir visstnok mer og mer utbredt med mikrochipper som plasseres under huden i hånden, og spesielt i Sverige har dette “tatt av”. Tilbud om chip under huden blir gjerne gitt av arbeidsgiver, og denne kan i første omgang benyttes blant annet som adgangskort, utskrift og betaling av mat i kantina. Flere bruksområder kommer nok etter hvert.

Verken Datatilsynet, LO eller NHO ser på dette som helt uproblematisk. Slike chipper reiser en hel rekke spørsmål rundt sikkerhet (fare for hacking etc.), personvern, overvåkning, lovlighet og om de bli innført under kollektivt press. (Enkelte blander også noe Bibelsk inn i saken, noe jeg skal la ligge i denne omgang.) Det kan nok være lurt å tenke seg om både to og tre ganger før man aksepterer en slikt inngrep med innplanting av en chip i kroppen.

Arbeidsgiver

En trussel mot informasjonssikkerheten og ikke minst personvernet kan være arbeidsgiveren. Ifølge undersøkelser er det mange næringslivstopper og ledere – 1 av 5 – som leser de ansattes sin epost, selv om dette ikke lovlig uten at en saklig grunn for kontrolltiltak foreligger. Arbeidsgiver sniker, og de stoler ikke på sine ansatte.

Det har også vært diverse saker hvor arbeidsgivere har overvåket de ansatte med ulovlige kameraløsninger, lydopptak osv.

Avslutning

I dagens teknologiske og digitaliserte virkelighet er informasjonssikkerhet et sentralt tema. Vår avhengighet av IKT gjør oss digitalt sårbare. Økt fokus og bevissthet rundt informasjonssikkerhet blir sentralt i fortsettelsen for forhåpentligvis å unngå de verste sikkerhetsbruddene.

Datakriminelle tar ikke ferie, og de vil hele tiden kjøre på med sine forsøk på angrep. Det blir en langvarig kamp eller krig mellom “oss” og “dem”. Tiltak må igangsettes for å beskytte informasjonen vi besitter på en god måte. Beklageligvis vil det aldri la seg gjøre å beskytte informasjonen 100 %, og noen datainnbrudd og informasjon på avveie må vi nok bare lære oss å leve med.

Lenker

Eksterne:

Interne (blogg.brr.no):




Rutere og datasikkerhet privat

Datasikkerhet og hacking

Digi.no har på sin nettside publisert en artikkel med tittelen: “Bredbåndsrutere: Halvparten av bredbåndskundene vet ingenting om rutersikkerhet”. Artikkelen referer til og bygger på en britisk undersøkelse, som altså avslører at “folk flest”, eller i hvert fall halvparten av befolkningen, har liten eller nesten ingen kjennskap til og kunnskaper rundt IT-sikkerhet relatert til sin private Internett-oppkobling og ruter.

Selv om det refereres til en engelsk undersøkelse er det vel liten grunn til å tro at situasjonen er så annerledes i Norge. Mange kobler seg på nett med en ruter uten å tenke noe særlig på datasikkerheten. Ofte beholdes standard passord for administrativ innlogging, ruteren er mulig å administrere fra det store Internett, SSID endres ikke, enkelte setter ikke en gang på kryptering/passord på wifi-tilgangen osv. Og enda sjeldnere er det at brukerne holder fastvaren (firmwaren) til ruteren oppdatert til enhver tids siste tilgjengelige versjon, da mange ikke en gang kjenner til at dette er mulig og nødvendig.

Vi nordmenn elsker teknologi, tekniske duppe-dingser, bredbånd og nettjenester/digitalisering. Samtidig er vi muligens litt naive og godtroende? Det er absolutt god grunn til å rette fokus mot sikkerheten knyttet opp mot våre bredbåndlinjer og rutere.

Litt folkeopplysning om grunnleggende datasikkerhet kunne nok ha vært på sin plass blant den norske befolkningen!

Noen begrepsavklaringer

Det kan være naturlig å forta noen begrepsavklaringer før artikkelen fortsetter:

  • Ruter (engelsk: router): En ruter er en maskin (“boks”) som håndterer forbindelse mellom ulike nettverk, og boksen har ansvaret for å videresende nettverkspakker til rett nett basert på ruting-tabeller. Jf. informasjon hos Wikipedia eller Store norske leksikon. (Noen kaller ruteren feilaktig for et modem, jf. dumme bokser for oppkobling i “gamle” dager.)
  • Gateway (norsk: “inngangsport”): Jf. ruteren. En noe mer avansert boks som gjør det en ruter gjør og litt til. Oversetting mellom ulike protokoller osv. Jf. informasjon hos Wikipedia.
  • Brannmur (engelsk: firewall): Program- eller maskinvare som skal beskytte IKT-utstyret mot omverdenen, kontrollerer trafikken mellom eksternt og internt nett, avvise/stoppe uønsket trafikk/angrep/innbrudd. Jf. informasjon hos Store norske leksikon.
  • Switch (norsk: svitsj): Boks/enhet for nettverksfordeling mellom flere enheter. Styrer/sender trafikken til rett enhet. Jf. informasjon hos Wikipedia.
  • Fastvare (engelsk: firmware): Program/internprogram som startes opp når “boksen” eller enheten blir slått på/startet opp, enhetens operativsystem. “Permanent” innebygget programvare, som blant annet tar seg av styringen av funksjonaliteten til enheten. Jf. informasjon hos Store norske leksikon.
  • Trådløs kryptering: Sikrer kommunikasjonen med bruk av sikkerhetsnøkler. Uten nødvendige nøkler blir overført informasjon helt meningsløs. Jf. informasjon hos Wikipedia.
  • Datasikkerhet, informasjonssikkerhet og IT/IKT-sikkerhet er egentlig tre ulike ord for delvis den samme problematikken. Jf. informasjon hos Wikipedia.
  • Cybersikkerhet dreier seg om sikring av ting (infrastruktur, IKT-utstyr m. m.) som er sårbare for angrep, f. eks. rutere.
  • Informasjonssikkerhet handler til syvende og sist om å sikre konfidensialitet (hindre tilgang for uvedkommende), integritet (hindre endring/sletting fra uautoriserte personer) og tilgjengelighet (sikre tilgjengelighet til enhver tid for dem som har rett til/behov for opplysningene).

Bredbåndkunden eller brukeren

Kundens eller brukeres manglende kjennskap til eller kunnskap rundt datasikkerhet kan absolutt være en utfordring og et problem. Mange brukere har blitt noe mer kritiske til å trykke på ukjente lenker og til å åpne suspekte vedlegg som kommer via e-post, men IKT-teknisk sikkerhet med fornuftig oppsett av ruter, brannmur, trådløst nett etc. står det nok dårligere til med.

Sangen “Ola Nordmann” av gruppa Plumbo: “Det beste som han veit ja det er ny teknologi. Han har iPhone, flatskjerm og Nintendo Wii.”

 

IT-sikkerhet (datasikkerhet/informasjonssikkerhet) er egentlig et helt eget stort fagfelt for spesielt interesserte. Det kan ikke forventes at den enkelte nettbruker har dyp kunnskap innenfor temaet. Fagområdet informasjonssikkerhet er stort og komplekst, og stadig dukker det opp nye former for trusler. Det kan absolutt være utfordrende for meningmannen å beskytte og å administrere sitt IKT-utstyr på en fornuftig måte. Imidlertid kan brukerne læres opp og bevisstgjøres til å kunne nok til å ivareta helt grunnleggende sikkerhet.

Ruteren (hjemmesentralen) min sitt grensesnitt

Det virker som om mange ikke kjenner til nødvendigheten av å holde ruteren sin oppdatert med nyeste mulig fastvare (firmware). Her må det nok folkeopplysning til. Vi har blitt vant med å “patche” Windows (legge inn Windows-oppdateringer), men ikke alle tenker på at tilsvarende bør gjøres på ruteren. Nye versjoner av fastvaren slippes ofte for å tette oppdagede sikkerhetshull.

Den enkelte bør ha helt grunnleggende kunnskap rundt oppsett av ruter og trådløst. Standard administrativt passord (til administrativ web-side) bør endres til et selvvalgt passord med litt kompleksitet, og å ha åpent for administrasjon av ruter fra det store Internett kan i de fleste tilfeller med fordel slås av. Videre må oppsettet av trådløst nett internt i boligen sikres gjennom selvvalgt SSID (nettverksnavn, Service Set IDentifier) og kryptert oppkobling/forbindelse. Tjenester/funksjonalitet på ruteren som ikke benyttes kan slås av (tips: UPnP og WPS), og det er en selvfølge at brannmur bør stå påslått og ikke være konfigurert som en hullete sveitserost. Slike enkelte og banale tiltak øker IT-sikkerheten med mange hakk!

Målet med alle slike tiltak er å hindre uvedkommende tilgang til nettet og dataene man måtte ha liggende. Hacking, kybernettangrep (cybernettangrep) og andre former for datainnbrudd / datakriminalitet eller misbruk av Internett-forbindelsen ønskes unngått. Det er ikke særlig kult med data på avveie eller at Internett-forbindelsen man har blir brukt av uvedkommende til ulovligheter og kriminelle handlinger. Datakommunikasjonen bør absolutt sikres.

Enkelte tenker nok at hjelp fra en datakyndig ungdom (fjortis) er tingen for å få ting satt riktig opp og sikret. Tja. Mange av dagens unge er uredde for teknologien og er flinke innenfor sine interesseområder, men jeg er slettes ikke sikker på at alle av dem er flinke når det gjelder datasikkerhet. En teknologifrelst ungdom er muligens ikke det beste valget man har. Akkurat når det gjelder sikkerhet kan det være en fordel å være litt skeptisk, kritisk, mistroende til verdenen rundt oss og helst litt små-paranoid.

Mer og mer av livene våre og tjenestene vi benytter oss av finnes på og skjer via nettet. Det blir mer og mer nett-tjenester og nettverkstilkoblede enheter. Ikke minst fører tingenes Internett (IoT, Internet of Things) til at denne utviklingen finner sted. Ellers omfavner mange av oss ulike sky-tjenester. Samtidig blir trusselbildet stadig mer komplisert og komplekst, og flere og flere nye (typer) trusler dukker opp. Sannelig ikke helt lett å henge med i denne utviklingen!

En god del av skylden for manglende datasikkerhet rundt i landets husholdninger vil jeg legge over på produsentene av nettverksutstyr og leverandørene av Internett-aksess:

Produsentene har skylda

Noe av skylden for manglende sikkerhet på rutere og Internett-forbindelser kan legges på produsenten av nettverksutstyr slik som rutere (routere). Slettes ikke alle bredbåndsrutere er særlig intuitive og enkle å konfigurere, og enkelte av “boksene” har kompliserte måter for å holde utstyret oppdatert og sikret på. Det kan f. eks. på enkelte enheter være en forholdsvis komplisert, tidkrevende og risikofull affære å oppdatere fastvaren (firmware), så jeg synes ikke det er rart at nesten ingen gjør dette.

Det lanseres støtt og stadig nye rutere. Folk flest bytter ikke ut disse enhetene hele veien. Det er tålig dumt at mange produsenter slutter alt for tidlig å gi ut oppdateringer på utgåtte modeller. Da blir man sittende der med skjegget i postkassen med en usikker enhet som ikke kan oppdateres uten å skifte ut hele boksen.

En del rutere leverer med svært dårlige standardinnstillinger satt på boksen fra fabrikk. Som utgangspunkt burde standardinnstillingene ha vært satt strengere og tryggere enn det som ofte er tilfellet. Intuitive veivisere (oppstart) som man TVINGES til å gå gjennom og som setter bra sikkerhet på boksen kan være en god løsning.

Internett-leverandørene har skylda

Internett-leverandørene (ISP-ene, Internet service provider) frifinnes heller ikke. Det er ikke alltid at disse gjør livet så lett for sine kunder. En del ting er vi IKT-tekniske kunder i enkelte tilfeller forhindret fra å kunne gjøre eller utføre.

Selv er jeg f. eks. Enivest-kunde. Jeg har tilgang og muligheter for å gå inn på min ruter (gateway, “hjemmesentral”), men bare med bruker-tilgang (user-tilgang, ikke admin-tilgang). Jeg kan gjøre endringer i oppsett av trådløst oppsett samt endre passordet for standard-brukeren, men jeg har ikke muligheter for å oppdatere fastvaren (firmware) eller styre brannmur-innstillingene. Slike administrative ting styres av ISP. Pr. nå er fastvaren ikke all verdens gammel og brannmuren ser tilsynelatende ut til å fungere greit. Jeg må bare stole på at Enivest har gode rutiner for å hindre misbruk av den administrative tilgangen de har, og at de vil (automatisk) holde boksen min oppdatert i tiden framover med fastvareoppdateringer.

Oppdatering: Selv med nyere og mer moderne ruter i hus måtte jeg “mase” på kundestøtten hos Enivest for å få oppdatert fastvaren høsten 2019. Jeg tok kontakt etter at det hadde gått godt over året uten noen som helst oppdateringer. Oppdatering ble lagt inn på ruteren etter at jeg hadde dialog med min ISP, så nå i oktober 2019 har i hvert fall ruteren / hjemmesentralen en fastvare (firmware) datert det herrens år 2019. Ifølge Enivest skulle oppdateringer bli rullet ut automatisk til kundene, men dette har tydeligvis ikke skjedd hos meg.

Oppdatering februar 2020: Nok en gang har jeg “klaget min nød” til Enivest om gammel fastvare (firmware) på modemet / ruteren, hvor jeg fikk som svar: “Modem som vi levera blir oppdatert 1-2 gangar i året som er normalt på slikt utstyr, ved oppdatering av modem vil den og bli reset til grunnkonfigurasjon.” Kjempe-beroliget er jeg ikke av dette svaret, da mange sikkerhetshull kan dukke opp på ett år.

Ny oppdatering februar 2020: Opprinnelige ruter havarerte! Ny boks, ruter, modem, hjemmesentral eller gateway som jeg fikk tilsendt til erstatning for den ødelagte fra min ISP var av samme typen som den forrige, dvs. Inteno EG400. Her går ting fra vondt til verre når det gjelder fastvareversjon og oppdateringsrate.

Den nye enheten kjører følgende fastvareversjon:

  • EG400-WU21U_ENIV3.14.1RC7-180604_1415

Dette tolker jeg på følgende måte: EG400 er modellen på boksen, mens ENIV nok er en forkortelse for min ISP, dvs. Enivest. Boksen kjører en fastvareutgave tilpasset dem, som blant annet innebærer at deres logo dukker opp inne på enhetens web-side. Videre står det blant annet 180604, som jeg tolker til å være datoen 04.06.2018. Når dette skrives viser kalenderen sånt ca. medio februar 2020. Fastvaren er da ca. 1 1/2 år gammel! Ikke helt bra sikkerhetsmessig!

Web-grensesnittet på Inteno EG400.

 

Mens jeg ventet på nytt modem februar 2020 hadde jeg i drift en ruter / et modem som jeg fikk låne, som var av en litt nyere modell enn det jeg skriver om nedenfor:

Jeg hadde lenge en eldre ruter (gateway, hjemmesentral) av fabrikatet Tilgin, også denne levert av Enivest og under deres administrasjon. Denne hadde på slutten ikke mottatt oppdateringer på fastvaren på nærmere 3 år. Denne begynte jeg virkelig å føle meg utrygg på. Litt klaging rundt dette medførte at jeg fikk tilsendt en ny og en mer moderne enhet i forbindelse med oppgradering av hastigheten på linja.

I og med at jeg kjører en nettside (testside) fra min stasjonære PC hjemme har jeg laget litt hull i brannmuren. Jeg hadde nemlig muligheter med standard-brukeren å sette på “port forwarding” (portvideresending). Så tcp-port 80 (http) og 443 (https) blir videresendt inn i nettet mot den stasjonære datamaskinen pr. dags dato. Akkurat dette oppsettet er ikke Enivest helt glad for.

Her i bloggen har jeg en artikkel som heter “Tekniske løsninger nettsider + Internett-linje”. Der har jeg, for spesielt interesserte, skrevet litt mer om min Internett-løsning.

Inteno EG400 gateway/router

Pr dags dato har jeg en Inteno EG400 gateway som Enivest har sendt ut til meg, koblet opp mot min fiberlinje for Internett. Ofte brukes begrepet hjemmesentral om slike enheter. Enheten fungerer som gateway, ruter og brannmur, og den har innebygd støtte for telefoni, trådløst og switch-funksjonalitet (4 porter). Get Box Mikro (IPTV) er også koblet opp mot enheten.

Ifølge informasjon på nettet skal enheten ha følgende sikkerhetstiltak:

  • Brannmur (firewall) på Inteno EG400 som ifølge produsent støtter:
    • NAT, DMZ and ALGs
    • Stateful Packet Inspection (SPI) with DOS protection – Ping of Death, SYN Flood LAND
    • Protection against IP and MAC address spoofing
    • UPnP NAT traversal and VPN / IPSec pass-through
  • Trådløst nett er selvsagt kryptert/sikret med WPA2 Personal (PSK), dvs. Wi-Fi Protected Access versjon 2 sammen med “Pre-Shared Key” (forhåndsdelt nøkkel).

Enhetens operativsystem eller fastvare er av typen iopsysWrt, som igjen delvis bygger på OpenWrt. Inteno har hovedkontor i Sverige, men produksjonen av utstyr finner selvsagt sted i Kina.

Inteno EG400 web-side bunntekst.

Avsluttende kommentarer

Datakommunikasjonen og nettverksutstyret, inkluder rutere, må beskyttes. Ingen ønsker å bli utsatt for hacking, datainnbrudd eller lammende angrep. Eventuelle vellykkede forsøk hvor sikkerheten blir kompromittert kan gå på personvernet løst.

Økt bevisstgjøring og økte kunnskaper om datasikkerhet er høyst nødvendig ute blant folk flest! Samtidig er det ikke bare-bare for folk flest å henge med i den rivende teknologiske utviklingen samt ha noenlunde oversikt over alle nye former for trusler som dukker opp langsmed. Det er en utfordrende og omfattende jobb å holde IKT-utstyret og informasjonen beskyttet!

Lenker:




Personvern og datasikkerhet

Personvernet er truet!

Informasjons- og kommunikasjonsteknologi (IKT) kan være et effektivt hjelpemiddel (og i noen tilfeller en tidstyv) i vår hverdag, men teknologien skaper også utfordringer rundt dette som har med personvern og datasikkerhet / informasjonssikkerhet å gjøre. Selv om jeg jobber med IKT og på mange måter er en teknologifreak, ser jeg også en del farer, problemer og utfordringer som teknologien medfører.

Innimellom blir dette med personvern og datasikkerhet nevnt i media, men i forhold til mange andre saker synes jeg mediedekningen er heller moderat på dette området. Kritikk mot helsevesenet, enkeltskjebner, kritikk mot regjeringens politikk, flyktningestrømmen, innvandrings- og asylpolitikken får mye større dekning i media enn personvernet.

Personvern kan defineres som: “.. et krav om selv å kontrollere når, hvordan og hvor mye informasjon om egen person som spres til andre parter.” Vi har alle retten på et privatliv og til å bestemme over våre egne personopplysninger. Personvern handler om beskyttelse av opplysninger (personopplysninger) som kan knyttes til identifiserbare enkeltpersoner.

Ifølge Datatilsynet om hva er personvern: “Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger.” I tillegg kunne beskyttelse mot bruk av metadata ha blitt føyet til i tillegg.

Både via det vi selv foretar oss samt via tabber hos offentlige myndigheter eller i næringslivet hender det at personopplysninger og informasjon om den enkelte spres til personer og instanser som ikke burde hatt denne informasjonen. Innimellom skjer det krenkelser mot personvernet, noen av dem svært grove.

Personvern og datalagring

Personregistre, elektroniske spor og Datatilsynet

Hver enkelt nordmann er registrert i drøssevis ulike personregistre (hundre- eller tusenvis). De fleste tenker i liten grad på at disse opplysningene kan komme på avveie, bli misbrukt eller solgt til ulike tredjeparter. I det siste har det f. eks. vært en oppblomstring av ID-tyverier, hvorav en del av disse skyldes personopplysninger som har kommet på avvei fra elektroniske registre eller pga. den enkeltes uvørenhet på nettet. Vi blir også utsatt for målrettet reklame basert på hva vi har foretatt oss på nettet i form av besøkte nettsider, søk, statuser og likes.

Vi legger fra oss masse elektroniske spor i vår hverdag. Handel på nettet, bruk av betalingskort i butikk eller minibank, surfing på nettet, bruk av nettbank, bruk av mobiltelefon, passering av bompengeringer, videoovervåkning osv. legger igjen elektroniske spor. Stort sett er slike elektroniske spor ufarlige forutsatt at den som registrerer dataene ikke misbruker dem samt har høy datasikkerhet som hindrer data fra å komme på avveie. Imidlertid skjer det innimellom datalekkasjer som gir uvedkommende aktører tilgang på personinformasjon. Spesielt alvorlig er det hvis sensitive data og informasjon, f. eks. helseopplysninger, kommer på avvei.

Mange nettjenester som vi benytter oss av fører til at mange elektroniske spor blir lagt igjen. Datakommunikasjonen kan gå gjennom mange ledd (mange kokker, mye søl!), hvor mange av kommunikasjonsleddene er ukjente for den vanlige bruker. Underveis i overføringskjeden blir ting loggført og det finnes mange muligheter for uønsket tapping av informasjon og overvåkning.

For tiden er det enkelte som ønsker å få avskaffet kontanter (sedler og mynter). Ikke alle er like glade for dette, da dette blant annet kan gi noen utfordringer for personvernet. Bruk av kort medfører at vi legger igjen masse elektroniske spor, og da gjerne enda mer omfattende spor enn ved bruk av rabattkort (bonuskort). Bankkort (minibankkort, kredittkort, betalingskort jf. Visa og MasterCard) brukes over alt på kryss og tvers uavhengig av kjede eller type handel (netthandel, fysisk i butikk osv.). Om vi bør ha tillit til at bankene forvalter informasjonen som elektronisk kortbruk medfører på en god måte kan absolutt diskuteres.

Dette med farene rundt kortbruk som eneste betalingsmåte hvis kontantene forsvinner stod det en glimrende artikkel om på Dinside. Artikkelen er basert på uttalelsene til Hans Christian Færden, grunnlegger av “JA til kontanter”. Utenom personvernet var han innom andre faktorer slik som: Nedetid i bankene, samfunnsikkerhet, bankenes makt (og misbruk av makt) til å stenge kontoer m. m. Fører et kontantløst samfunn til at vi fjerner oss fra demokratiet og går inn i “bankokratiet”? En FrP-kar av alle ting har også skrevet et interessant innlegg: “Stå opp for personvernet – si ja til kontanter“.

Datatilsynet er vaktbikkja som med personopplysningsloven i hånden skal sørge for at aktører som oppbevarer personopplysninger gjør det som er mulig for å sikre et bra personvern. Takk og pris for at nevnte tilsyn og lovverk finnes! Vi trenger noen som beskytter oss mot uheldig spredning av personinformasjon!

En sentral person i norsk sammenheng som var forkjemper for personvernet var Georg Apenes. Han døde 2. oktober 2016. Apenes var sjef for Datatilsynet i en årrekke og kom med mange sentrale innspill og var en god “vaktbikkje” innenfor personvern. Ifølge ham var det nødvendig med muligheten for en privat sfære for å kunne beholde rettsstaten og demokratiet.

Fødselsnummer og brudd på personvernet

Et svakt punkt her i Norge er fødselsnummeret/personnummeret som blir brukt i mange sammenhenger. Dette er en unik identifikator som gjør det veldig lett å koble sammen informasjon fra forskjellige dataregistre. Heldigvis finnes det regelverk som skal hindre ukritiske koblinger av registre og data. Lov om behandling av personopplysninger (personopplysningsloven) § 12 skal sikre at fødselsnummer kun blir benyttet når det er saklig grunn for det.

I medier hører man “støtt og stadig” om brudd på personvernet. Kundelister med personopplysninger kommer på avveie, universiteter og høgskoler klarer å publisere studentlister på nett med fulle fødselsnummer, postlister og innsynsløsninger på nett inneholder sensitive data/gradert informasjon osv. I tillegg blir informasjon gjort tilgjengelig etter hacking-inngrep/datainnbrudd. Mange hverdagslige krenkelser av personvernet finner altså sted, gjerne pga. menneskelige feil.

Facebook og andre sosiale media

Enkelte personer er lite kritiske til hva de skriver på Facebook (og andre sosiale nettverk) eller hvilke bilder de legger ut. Ulike app-er som samler inn masse ulike personopplysninger tillates og tester som har som formål å “stjele” personopplysninger kjøres helt ukritisk. En del bloggere tenker heller ikke særlig langt. Uheldig informasjon som legges ut, f. eks. festbilder eller nakenbilder, kan skape problemer i framtiden når man skal søke på jobb eller tilsvarende. Nettet blir også brukt til å mobbe eller til å drite hverandre ut ved å publisere støtende informasjon om andre.

En annen utfordring med Facebook er deres tilsynelatende vilkårlige sensur og håndhevelse av retningslinjer. Enkelte former for bilder og ytringer tillates ikke, mens andre ting som det virkelig er grunn til å reagere på (sett med norske øyne) passerer sensuren uten problemer. Dette går på ytringsfriheten, folkeopplysningen og demokratiet løst. Noe helt annet er at selskaper slik som Facebook bedriver kreativ regnskapsføring/bokføring for å unngå betaling av skatt.

Personvern er en ting. Med hjelp av teknologien og da spesielt via sosiale medier kan demokratiet være truet pga. påvirkning og manipulering. Det finnes sterke krefter som vil demokratiet vondt. Digitale algoritmer (roboter) kan forenkle komplekse politiske spørsmål, og folks oppfatninger og valg blir utsatt for manipulering. Digitale trusler foreligger, roboter “overtar” makta. Facebook-parlamentet kan bli en realitet.

I tillegg finnes det mer manuelle metoder, f. eks. trollfabrikker som også bruker Facebook, sosiale medier og Internett til å sette dagsordenen og drive sterk grad av påvirkning.

Facebook og deres partnere truer personvernet (Privacy): Mars 2018 stod det i media om at privat informasjon om femtimillioner Facebook-brukere er på avveie/misbrukt. Privat informasjon har blitt hentet ut fra Facebook av Cambridge Analytica uten å hente spesifikt samtykke fra brukerne og i strid med reglene til Facebook. Det er neppe snakk om innbrudd eller hacking, men utnyttelse av de muligheter som ligger i Facebook. Visstnok skal Facebook ha foretatt noen forbedringer og innstramminger slik at det samme ikke kan skje på nytt i like stor alvorlighetsgrad.

Personvern og verning om privatlivets fred er vel ikke Facebook sin spesialitet. Der i gården leves det av å samle inn og å selge personopplysninger. Til tider virker det som om de har gått litt vel langt med å dele personopplysninger med både seriøse og useriøse aktører, alt for pengenes og inntjeningens skyld. Mye av dette skjer uten at brukerne er fullt klar over hva som skjer. 

Nettskepsis styres av moralsk panikk

  • Har lest uttalelser av typen at hele nettskepsisen som enkelte har styres av moralsk panikk.
  • Spesielt Facebook-avsløringene hvor personlig informasjon fra millioner av mennesker har blitt misbrukt av Cambridge Analytica har skapt panikk.
  • Mål med informasjonsbruken: Påvirke det amerikanske presidentvalget, dvs. påvirke på en forholdsvis skjult måte demokratiske prosesser rundt et valg.
  • Folk sletter sine Facebook-kontoer i ren redsel.
  • Selv har jeg ingen planer om å forlate Facebook, men jeg er litt kritisk til hva jeg legger ut her.
  • Alle søk, delinger og likes vi foretar oss fanges opp av Facebook, blir loggført og lagret.
  • Smarte algoritmer benyttes til å bearbeide informasjonen og til å presentere selektert informasjon rettet mot den enkeltes interesser. Dette vil gi oss informasjon og reklame med større relevans.
  • Nye nyhetsaktører er på banen. Det er viktigere enn noen gang å vurdere troverdigheten til aktørene, og ikke minst å bedrive kildekritikk aktivt.
  • Skolene har også et stort ansvar å lære opp kommende generasjoner i dette. Problemet er at skolene ikke alltid henger med i den teknologiske utviklingen.
  • Sosiale medier og andre nettressurser kan i verste tilfelle true privatlivet og personvernet dramatisk. Demokratiet kan også bli truet.
  • Litt kritisk sans og bevissthet fra oss brukere/mennesker kan være på sin plass!

 

Mange apper knyttet opp mot Facebook opererer med alt for store tilganger på data. Mange kjører ukritisk i gang med diverse tester, spill og små-apper inne i Facebook uten å tenke på konsekvenser og på hvilke data man gir appene sjansen til å hente ut. Dessuten kan eksterne apper som man logger seg inn i via Facebook sitt system for identifisering også få tilgang på masse Facebook-data, noe vi gladelig sier ja til under første gangs oppsett/oppkobling.

Facebook vet ufattelig mye om den enkelte og vedkommende sin vennekrets. Når og hvor ting skjer, hvilke linker som trykkes på, likes som gis, samtaler som gjennomføres osv. osv. Ja, Facebook truer virkelig den enkeltes personvern med sin massive innsamling av data.

Nett og nettjenester

Nettjenester slik som Google (søk og andre tjenester), Apple (Apple ID og tjenester der denne benyttes m. m.) og Facebook samler inn ufattelige mengder med informasjon om våre surfevaner, interesser osv. Vi får servert reklame tilpasset våre interesser og leverandørene har god tilgang på personopplysninger om den enkelte. Vi ofrer gladelig noe av personvernet for å få tilgang på gratis nettjenester som vi finner interessante.

Store internasjonale datagiganter / teknologigiganter slik som Google, Facebook, Apple, Microsoft og Amazon kan virkelig true vårt personvern. Flere av disse aktørene mer eller mindre bruker personopplysninger som en handelsvare. Også utveksling av data med OECD samt diverse mektige aktører innenfor internasjonale handelsavtaler kan true personvernet. I Norge har Datatilsynet våknet opp, hvor de blant annet ønsker å se på lovligheten av bruken av Google / Chrome OS / Chromebook i skolene (se lenker i bunnen av min Chromebook-artikkel).

Personvern

Det media i en viss grad har klart å formidle er alle farene som ligger og lurer ute på nettet. Det har vært flere tilfeller der virus og trojanere samt sikkerhetshull i Windows har blitt benyttet til diverse svindelforsøk. Likevel ser det ut for at enkelte ikke lærer og ikke tar dette som har med datasikkerhet på alvor. Det finnes ennå PC-brukere som ikke forstår at de må ha et antivirusprogram (samt beskyttelse mot spionprogramvare) som er oppdatert på sin PC samt viktigheten av å kjøre Windows Update og tilsvarende oppdateringer (Flash, Adobe Reader, Java osv.). Bruk av “brannmur” på sin PC / nett er et must i den mindre snille verdenen vi bor i!

Av og til begynner jeg å lure på om nordmenn er en gjeng med naive nisser med nissehua godt dratt ned over ører og øyne. Folk kan være svært naive i sin bruk av Internett. Stadig blir enkelte nordmenn lurt av sjekketjenester der det sitter en kjeltring i andre enden, folk tror de har vunnet store pengesummer og gir gladelig fra seg personopplysninger for å innkassere pengene (som ikke finnes) og folk går på det gamle trikset med at man får en e-post fra “banken” med beskjed om å oppgi PIN-kode etc. Resultatet er at man blir svindlet for penger eller utsatt for ID-tyveri.

Noen hundretusen nordmenn har blitt utsatt for identitetstyveri (ID-tyveri) i løpet av de siste årene. Noen av disse tyveriene skyldes naivitet og skjødesløshet, men det er heller ikke tvil om at kjeltringene har blitt mer og mer proffe og utkrøpne. De fleste av oss kan oppleve å bli utsatt for identitetstyver.

Svindelforsøk pr. e-post i form av Nigeriabrev går tydeligvis heller ikke av moten. Likeså er det en del annen nettfisking (“phishing”) som innimellom krever sine ofre. Enkelte går på limpinnen etter å ha mottatt beskjed om å ha vunnet en stor gevinst i et lotteri. Diverse personopplysninger må oversendes for å få utbetalt den store gevinsten, og da er det gjort! Man blir svindlet og personvernet har blitt dypt krenket.

Mye kunne også ha vært skrevet om uvøren oppbevaring og utlevering av brukernavn og passord, for enkle passord som lett lar seg knekke osv. Selv har jeg opplevd å finne datamaskiner der brukernavn og passord er klistret opp på skjermen med merketape. Et IKT-system blir ikke sterkere enn det svakeste leddet. Om teknologien i seg selv holder mål klarer ofte vi brukere å rote det til. Vi har gjort oss veldig avhengig av IKT i vår hverdag, noe som gjør oss svært sårbare når teknologien svikter. Ofte skyldes problemene som oppstår med IKT brukerfeil.

Den 21. oktober 2016 var det et massivt dataangrep som medførte at masse nettjenester ble gjort utilgjengelige. Ifølge nyhetene fra var dette det første store Tingenes Internett-angrep. Webkameraer, videospillere, sensorer, målere etc. ble hacket og satt til å kjøre massiv trafikk mot DNS-tjenere i form av et DDOS-angrep. Sikkerheten innebygd i en del av Tingenes Internett-enhetene skal visstnok være svært dårlig. Samfunnet basert på IKT er virkelig sårbart mot ondsinnede teknologikrefter!

Cybersikkerhet

Man kommer vel nesten ikke unna dette begrepet heller i en slik artikkel som dette. Cybersikkerhet dreier seg om sikring av ting (infrastruktur, utstyr m. m.) som er sårbare via IKT. Det er mange cybertrusler som truer cybersikkerheten. Masse teknologi er knyttet opp mot Internett, og all denne teknologien og teknologibruken gjør oss sårbare for angrep via nettet.

En utfordring er at god cybersikkerhet kan true personvernet. Overvåkning og loggføring innføres (proaktive tiltak) for å få kontroll med sikkerheten, noe som fort kan gå på bekostning av personvernet. Personvern og cybersikkerhet kan ofte være to motstridende hensyn. Å finne en fornuftig og god balansegang er ikke alltid så enkelt.

God brukervennlighet og sikkerhetstiltak er heller ikke alltid bestevenner. Gode tekniske sikringstiltak kan gjøre IKT-løsningene vanskeligere og mer tungvinte å benytte seg av. Masse autorisering og “mas” for å få tilgang på dataene man ønsker å jobbe med.

Stor digital sårbarhet i Norge

Det hevdes at den digitale sårbarheten er stor i Norge. Norge blir mer og mer sårbart når det gjelder IKT-sikkerhet og sikkerhetskompetanse. Blant annet er det forholdsvis akutt mangel på kryptologer. Det pekes på tre hovedutfordringer:

  • Behov for flere studieplasser innen IKT og IKT-sikkerhet.
  • Behov for digital kompetanseheving for dem som allerede jobber.
  • Behov for økt bevissthet rund IKT-sikkerhet blant folk flest.

Overdramatisering av truslene

Nettsiden Digi.no gjengir diverse interessante uttalelser fra Hans Christian Pretorius som jobber hos Nasjonal sikkerhetsmyndighet (NSM). Han hevder blant annet fritt gjengitt:

  • Det ropes for mye ulv, ulv!
  • Norge har aldri blitt angrepet (ødelegge, skade), men vi har blitt utsatt for spionasje og kriminelle handlinger.
  • Det skjer angrep, men ting overdramatiseres.
  • Behov for mer presisjon rundt beskrivelsene av truslene.
  • Drittlei av å høre om Stuxnet.
  • Zerodays sårbarheter/nulldagssårbarheter fokuseres det for mye på. Utnyttelsen av slike er tilnærmet null.
  • Det er som oftest kjente sårbarheter som blir utnyttet.
  • Fortsatt viktig med sikkerhetsoppdateringer / patcher / feilfikser.

Det er ikke tvil om at det finnes mange trusler mot datasikkerheten “der ute”. Stadig blir både bedrifter og privatpersoner utsatt for mer eller mindre målrettede angrep, data kommer på avveie, tjenestenektangrep gjør ressurser utilgjengelige i perioder og personvernet blir truet. En form for cyberkrig raser, men å stadig rope varsko her og utbrodere truslene med store bokstaver kan virke mot sin hensikt. Til slutt tas ikke truslene på alvor pga. vi har hørt alt for mye mas og store ord om tidligere mindre vesentlige angrepsforsøk.

Datalagringsdirektivet og tilsvarende avtaler/lovforslag

En sak i de senere år som jeg hadde trodd skulle ha skapt mye debatt er datalagringsdirektivet (DLD). Innimellom har direktivet vært nevnt i media, men den helt store samfunnsdebatten og diskusjonen har ikke oppstått i kjølvannet av denne saken. Selv mener jeg at direktivet griper såpass inn i den enkeltes liv og personvern at man bør gjøre seg opp en mening om direktivet. Jeg er skeptisk til direktivet da jeg synes de negative konsekvensene for personvernet er større enn gevinstene som oppnås. Nå har HELDIGVIS EU-domstolen konkludert med at datalagringsdirektivet er ulovlig, så vi får håpe at den ballen legges totalt død for alltid.

Onsdag 21. desember 2016 kom følgende gladnyhet“Datatilsynets direktør Bjørn Erik Thon er klinkende klar – EU-domstolens kjennelse onsdag om at masselagring av data er ulovlig, er en svært viktig dom og en seier for personvernet.” Det må foreligge konkret mistanke om alvorlige lovbrudd for å kunne masselagre data av typen f. eks. tekstmeldinger og trafikkdata.

Mars 2020 slår statsminister Erna Solberg på stortromma. Hun ønsker at IP-adresser og datatrafikk skal lagres lengre enn de gjør i dag (21 dager). Datalagringsdirektivet i lett-utgave det hun nå presenterer? Små-skeptisk, ja!

Tidligere ble det i USA presentert et lovforslag rundt Stop Online Piracy Act (SOPA) (og PIPA, Protect IP Act). Den opprinnelige hensikten er å forhindre ulovlig spredningen av opphavsrettslig materiale på Internett og stoppe falske varer, men jeg kan godt forstå dem som er negative til forslaget. Det kan nok fort oppleves som aktiv sensur som (delvis) hindrer ytringsfriheten og nettets frihet, samt at overvåkningen delvis vil krenke personvernet. Da mange tjenester og datasentraler ligger i USA vil jo amerikanske beslutninger også påvirke oss i Europa. DNS-blokkering m. m. er også aktuelt som tiltak i Norge. Ifølge Wikipedia har prosessen stoppet opp: “Den 20. januar 2012 erklærte Lamar Smith at utredning av lovforslaget om SOPA, såvel som lovforslaget om PROTECT IP Act, var trukket tilbake på ubestemt tid.”

Det ble også en periode snakket om avtalen ACTA (Anti-Counterfeiting Trade Agreement), nok en noe kontroversiell avtale rundt håndhevelse av immaterielle rettigheter og opphavsrett. Dette er en WTO-avtale som mange land ønsket å slutte seg til. Denne avtalen vil etter en dels syn innskrenke ytringsfriheten og det frie Internett. Imidlertid ble denne avtalen forkastet av Europaparlamentet etter massive protester.

Frihandelsavtalen for tjenester (TISA, Trade in Services Agreement) og frihandels- og investeringssamarbeid (TTIP, Transatlantic Trade and Investment Partnership) som det foregår lukkede forhandlinger om støttes av dagens regjering. Det skulle ikke undre meg om slike avtaler også kan true personvernet på en eller annen grad hvis de blir gjennomført.

Offentlige myndigheter

Politiets sikkerhetstjeneste (PST), politiet og Nasjonal Sikkerhetsmyndighet (NSM) er stadig på banen og ønsker større muligheter for å overvåke og å drive med dataavlesning (les: hacking) med den hensikt å oppklare/avverge organisert kriminalitet og/eller terror. Fine og edle formål i seg selv, men også dette kan være noe truende mot personvernet. Dette at uskyldige folk kan oppleve å bli overvåket er ikke jeg tilhenger av. Man bør være uskyldig til det motsatte bevist og ikke motsatt.

Oppdatering september 2016: Politiet og PST har blitt gitt lov til å bedrive dataavlesing. Igjen er begrunnelsen jakt på terrorister og kriminelle. Pga. kryptering etc. holder det ikke lenger med bare gammeldags avlytting av kommunikasjonen. Nå har myndighetene blitt gitt lov i enkelte sammenhenger å “hacke” enheter for å få tilgang på informasjon før kryptert forsendelse finner sted. Tidligere justis- og beredskapsminister Anders Anundsen bedyrer at dette ikke utfordrer personvernet eller truer rettssikkerheten. Skeptisk!

Politiet ønsker å få det slik at de med loven i hånden kan tvinge personer mistenkt for kriminelle forhold til å låse opp mobiltelefoner og andre tilsvarende elektroniske enheter. Disse er ofte beskyttet med fingeravtrykk, og pr. dags dato kan ikke politiet kreve at eieren av enheten låser den opp med sin finger.

Sjefen for etterretningstjenesten, Kjell Grandhagen, er ikke snau i sine uttalelser desember 2015. Han vil ha tilnærmet frie tøyler til å overvåke all tele- og datatrafikk. Dette begrunnes med kampen mot terror, organisert kriminalitet osv. Dette bryter totalt med grunnleggende personvern og tillit. Hvis det lages bakdører som gir etterretningstjenesten tilgang til å kunne snoke og avlytte vil også denne bakdøra fort kunne benyttes av mer tvilsomme aktører som ønsker tilgang på data.

Regjeringen vil gi etterretningstjenesten (e-tjenesten) adgang til masseovervåking, noe som utfordrer rettsstaten, menneskerettighetene og personvernet (privatlivet). Forslaget om ny lov for Etterretningstjenesten har blitt oversendt til Stortinget for endelig behandling april 2020. Regjeringen ønsker og legger opp til at E-tjenesten kan fange opp og lagre metadata som krysser grensen til Norge i 18 måneder.

Ifølge et utvalg nedsatt av Forsvarsdepartement (Lysne II-utvalget) bør E-tjenesten få overvåke innholdet i all internett- og telefontrafikk som krysser Norges landegrense, dvs. digitalt grenseforsvar (DGF). Dette vil omfatte alle nordmenn, uavhengig om den enkelte er mistenkt eller ei for noe kriminelt. Tydeligvis er det enkelte som ser fanden på veggen og vil bruke alle tilgjengelige midler med begrunnelse at man ønsker å unngå kyberangrep og terrorisme. Demokratiske rettigheter og personvern ofres gladelig av politikerne i kampen mot terror. Det er fare for formålsutglidning og misbruk, og det er vanskelig å se at forholdet mellom kost og nytte er balansert.

Som forventet (og takk og pris!) er Datatilsynet i sin høringsuttalelse negative (klart nei) til et digitalt grenseforsvar slik som Lysne II-utvalget skisserer. Ifølge Datatilsynet er utvalgets forslag både i strid med menneskerettighetene og Grunnloven. Dessuten rokker forslaget hvis det blir vedtatt ved grunnleggende verdier. Tiltakene med storstilt datainnsamling er også lite målrettet. På mange måter framstår planene om et digitalt grenseforsvar som datalagringsdirektivet i ny innpakning. Hvis DGF blir innført vil det ramme vidt, bredt og lite målrettet.

DGF er, navnet til tross, ikke et grenseforsvar. Systemet består i å ta kopi av alle dataene som flyter over grensene våre. Det er et datalagringssystem. Men da regjeringen i 2016 utredet og nå foreslår å innføre dette systemet, valgte de å kalle det noe annet.

Kilde: Morgenbladet: Vi kan ikke se den grense inni nettet (Sigve Indregard)

 

I forslag til ny lov om Etterretningstjenester sendt ut på høring november 2018 legges det opp til at Etterretningstjenesten (E-tjenesten) skal få viljen sin og få innfridd sine ønsker. I lovforslaget gis E-tjenesten vide fullmakter til å overvåke all datatrafikk som krysser den norske grensen (inn/ut av landet). Myndighetene truer informasjonssikkerheten og personvernet, og de stempler den vanlige kvinne og mann som en potensiell lovbryter eller terrorist med denne massive overvåkningen i det “godes” tjeneste. Innsamlede data kan bli misbrukt eller komme på avveie.

At alle nordmenn mistenkes for å være kriminelle til det motsatte er bevis er etter mitt syn et svært negativt menneskesyn, og en form masseovervåkning som jeg finner som lite ønskelig. Overvåkningen truer vår frihet.Vi kan ende opp med storebror ser deg samfunn (Orwellsk overvåkingsstat) tilsvarende lukkede land som vi ikke liker å sammenlikne oss med. Nå gjenstår det å se om utvalgets forslag + lovforslaget blir vedtatt politisk. Med dagens regjering kan det vel tenkes at galskapen til og med blir vedtatt.

Helt enkelt er det ikke dette med grenseforsvar. Vi har nok om vi liker det eller ei behov for et effektivt digitalt forsvar, og det er behov for å modernisere lovverket rundt etterretning og etterretningstjenesten. Det som er problematisk er grensegangene mellom hemmelig overvåkning, internasjonalt forsvar og samarbeidet, personvern og ønsket til normale folk å kunne opptre med anonymitet i en del situasjoner.

Det digitale grenseforsvaret og den massive overvåkningen dette forsvaret medfører kan true ytringsfriheten. Det meste av vår datatrafikk krysser landegrensene på et eller annet tidspunkt, og via grenseforsvaret blir vi alle mistenkeliggjort og stemplet som potensielle kriminelle lovbrytere. Mer overvåkning kan føre til at vi i større grad enn i dag sensurerer oss selv, og på den måten innskrenker ytringsfriheten. Vi får et et overvåkningssamfunn som ingen ønsker å ha – utenom myndighetene, overvåkningen og militæret da.

Personvern, masseovervåkning og digitalt grenseforsvar (DGF) er beklageligvis temaer som i liten grad opptar normale innbyggere samt politikere. Mange er likegyldige, mens andre godtar alle former for overvåkning så lenge det kan bidra til å bekjempe terrorisme og kriminalitet. Litt mer nyansering og kritisk tenkning rundt slike problemstillinger hadde ikke vært å forakte.

Forslaget om et utstrakt grenseforsvar viser hvordan målet helliger middelet. Når samfunnssikkerhet settes opp mot privatlivet og personvern er det fort samfunnssikkerheten som vinner. Når det er snakk om å ta potensielle kjeltringer eller terrorister som truer rikets sikkerhet tillates de fleste midler brukt. Å få til en bra grensegang mellom sikkerhet og vern rundt privatlivet er slettes ikke lett.

Bakdører bygget inn i teknologiprodukter – tiltenkte og ikke-tiltenkte – kan være en stor trussel mot sikkerheten og personvernet. Dette at enkelte lands myndigheter ivrer for innføringen av slike bakdører i terrorbekjempelsens navn beroliger ikke meg. Slike bakdører kan fort bli utnyttet til andre formål enn de tiltenkte.

Rett skal være rett: En stor og alvorlig trussel mot Norge (og andre land!) er digital etterretning og spionasje utført av ulike utenlandske aktører, inkludert myndigheter og terrororganisasjoner. E-tjenesten med venner prøver å bekjempe slik virksomhet, men alt vil ikke la seg stoppe.

Nå er det ting som tyder på at E-tjenesten allerede i ganske stor detaljgrad overvåker nordmenns telefonsamtaler og sosiale medier-bruk fra Eggemoen utenfor Hønefoss, Ringerike kommune.

Storesøster ser deg

Svein Egil Omdal, journalist i Stavanger Aftenblad, har skrevet et interessant fripenn-innlegg. Blant annet er han innom at ny og effektiv teknologi er i ferd med å gjøre opprør mot makten og overvåkningen tilnærmet umulig. (Hans beundring av partiet Venstre velger jeg å hoppe bukk over.)

Det snakkes om innføring av digitalt grenseforsvar. Vår frihet innskrenkes jevnt og trutt med stadig mer overvåkning. Det skjer stadig avveininger mellom sikkerhet kontra personvern, hvor ofte den angivelige sikkerheten gjerne vinner. Innsamlet informasjon kan være gjenstand både for vanlig bruk og misbruk.

Etter å ha framsatt en del eksempler på situasjoner hvor personvernet er truet pga. avansert overvåkning basert på ny og effektiv teknologi avslutter han med:

  • “Alt dette blir gjort i aller beste hensikt. Det trengs derfor flere som innser at veien til det undertrykkende samfunn er brolagt med gode begrunnelser.”

Kilde: Stavanger Aftenblad (Svein Egil Omdal): Storesøster ser deg

 

I forbindelse med FrP sitt landsmøte våren 2017 dukket saken om lagring av IP-adresser i 1/2 år opp (i dag maksimalt 21 dager). Justisminister Per-Willy Amundsen med flertallsstøtte i partiet ønsker seks måneders lagring av IP-adressen (hvem som var knyttet til en konkret IP-adresse på et gitt tidspunkt). Justisminister Per-Willy Amundsen (Frp) sier han ikke har noen forståelse for at noen skal ha behov for å skjule IP-adressen sin. Med andre ord skal alle bli mistenkeliggjort, eller sagt på en annen måte: Alle er kjeltringer til det motsatte er bevist. Målet er å beskytte mot terror, overgrep, pedofili osv., og det virker som om målet helliger middelet. Nå er dette pr. dags dato kun et forslag fra FrP og ikke gjennomført politikk.

Nå har også Tollvesenet kastet seg inn i “kampen” med ønsker om å overvåke all biltrafikk som krysser grensen til Norge. Tollvesenet ønsker å få lov til å fotografere og registrere alle biler som krysser landegrensen med lagring av dataene i 1/2 år. Datatilsynet sier på sin side at dette er masseovervåking av uskyldige mennesker, og at de er bekymret for at opplysningene skal bli brukt av andre offentlige etater.

Personvernet under press

Personvernet er støtt og stadig under press fra mange kanter. Det er mange gode argumenter for å samle inn, bearbeide og oppbevare større og større mengder med personopplysninger. Imidlertid går dette gjerne på bekostning av personvernet og privatlivets fred. Jeg som innbygger ønsker ikke at samfunnet skal bli slik at alle i utgangspunktet blir mistenkeliggjort for ulovligheter som medfører behov for økt overvåkning. Selv er jeg mer tilhenger av at det må foreligge en konkret grunn til mistanke før personovervåkning settes inn som virkemiddel. Til det motsatte er bevis er vi alle gode medborgere som ikke trenger å bli overvåket og kontrollert.

BlackVue dashcam

Bilkamera eller dashbordkamera begynner å bli ganske normalt å ha i bilen, ikke minst for å kunne dokumentere og bevise sin uskyld i eventuelle kollisjoner og/eller forsikringssaker. Vel og bra i seg selv.

Høsten 2018 har det vært litt berettiget fokus mot bilkameraene fra BlackVue. Disse røper – som et standardvalg – bilens posisjon (GPS), fart, retning og presenterer video- og lydopptak i sanntid uten at sjåførene vet om det til hvem som helst. Disse tingene blir delt offentlig. Via en nettside med kart på kan man søke opp og gå inn på hvilken som helst bil.

Dette er selvsagt helt krise for personvernet. Slik overvåkning vil folk flest ikke ha noe av, uten å ha gitt sitt helt klare og spesifikke samtykke. Det er helt hull i hodet at den koreanske produsenten legger opp til at dette skal være standardvalget på deres leverte utstyr. Etter at fokus har blitt rettet mot saken – via media – blir det selvsagt en ordning på disse problemene.

Etter TV 2 sine avsløringer har dashcam-giganten BlackVue valgt å legge seg paddeflate, og de ber brukerne sine om unnskyldning. Det gjøres nå endringer slik at man selv aktivt må velge å dele videostrømmen offentlig via innstillinger. Standardinnstillingen blir at denne delingen er skrudd av.

Lenker:

 

Alle trenger og bør ha ønsker om å få beskyttet sitt privatliv og sine personopplysninger. Enkelte hevder at de har “ingenting å skjule”. Dette er en kraftig forenkling og en misforståelse. I Norge som er et fritt land går det greit enn så lenge, men det er slettes ikke bra i totalitære land at alle personopplysningene er i hendene på myndighetene med medfølgende straffereaksjoner osv.

Personopplysninger som benyttes til tilpasset markedsføring er irriterende nok i seg selv. En mye verre ting er muligheten for hackere til å få tilgang på lagret informasjon. Ikke minst vil tingenes internett med alt fra strømmålere til alle slags sensorer på nett gi utfordringer for personvernet. Automatiske strømmålere med rapportering tilbake til energiverket har vekket litt debatt, og da mest pga. påståtte helseproblemer (stråling). Det finnes også dem som mener av personvernet er truet, gjennom at energileverandøren via de automatiske rapporteringene får mye innsikt i den enkeltes hverdagsmønster og liv.

 

Smartklokker for barn/GPS-klokker for barn

Ifølge artikkel på Datatilsynets nettside:

“Forbrukerrådet har avdekket alvorlige sikkerhetsbrister i smartklokker/mobilklokker for barn. Fremmede kan enkelt ta kontroll over klokken og bruke den til å spore og avlytte barnet.» Klokkene har “alvorlige sikkerhetshull, upålitelige trygghetsfunksjoner og manglende forbrukervern”.

“Disse klokkene hører ikke hjemme i butikkhyllene, og enda mindre på en barnearm.”

Problemene gjelder ikke bare for smartklokker. Samme utfordringer finnes med diverse andre Internett-tilkoblede produkter og “Internet of things” (IoT)/tingenes internett generelt. Andre produktkategorier med tilsvarende utfordringer: Leketøy, babycall-utstyr, overvåkingskameraer, helseutstyr og lignende.

Datatilsynet griper inn desember 2017. Gator får pålegg om å stanse all behandling av personoppplysninger om sine kunder pga. ikke god nok informasjonssikkerhet i smartklokkene de leverer. Lignende vedtak blir også gitt overfor PepCall AS og GPS for barn – Smartprodukt AS. Behandlingen og flyten av personopplysninger virker å være helt ute av kontroll for enkelte av produsentene/leverandørene.

For egen regning: For en del produsenter er nok de kommersielle interessene betydelig viktigere enn personvern, forbrukervern og data-/informasjonssikkerhet.

Kilder:

 

Undersøkelse viser at mange kunder frykter for personvernet ved bruk av fordelsapper hos matvarekjedene, f. eks. Rema 1000 sin Æ-app. Det fryktes for at matvarekjedene misbruker innsamlede personopplysninger. Hele 69 % av de som har lastet ned appene er i en viss grad bekymret for eget personvern.

Det skjer masse innsamling, lagring og bearbeiding av personopplysninger, både i privat og offentlig (statlig) regi. En god del av overvåkningen er både i gråsonen og til tider langt over på feil side av det akseptable.

Både personvernet og informasjonssikkerheten trues av spionasje, utenlandske statsmakters etterretning, dataangrep og sabotasje. Mye finner sted i kulissene som kan være truende og kompromitterende mot personvernet. Informasjon er makt og innflytelse.

Den kjappe teknologiske utviklingen har åpnet nye muligheter. Økt utbredelse av AI (kunstig intelligens), “big data” og dyp dataanalyse av digitale spor som vi etterlater oss truer personvernet. Noen går så langt og sier at personvernet (allerede) har tapt.

NorSIS: Trusler og trender 2017-18

Norsk senter for informasjonssikring (NorSIS) presenterer hvert år en vurdering av trusselbildet innen IKT-sikkerhet. Den nyeste vurderingen når dette skrives er: “Trusler og trender 2017–18 – Trusler i vår digitale hverdag – mot individer og virksomheter.” NorSIS har valgt ut ti trusler som rammer norske privatpersoner og virksomheter:

  1. Informasjonstyveri
  2. Vanvare (personlig ubetenksomhet m. m.)
  3. Løsepengevirus
  4. Direktørsvindel
  5. Industrispionasje
  6. Sabotasje
  7. Identitetstyveri
  8. Datingsvindel
  9. Personutpressing
  10. Krenkelser

Disse ti truslene truer definitivt også personvernet.

Personvernet i krisesituasjoner

Korona-pandemien (COVID-19) våren 2020 har framstått som en trussel mot et forsvarlig personvern. I desperasjon har det blitt foreslått og tatt i bruk løsninger som samler inn over en lav sko personopplysninger. I desperasjonen for å stoppe virusspredningen har det kommet på banen en del alternativer der personvernet har måttet vike plass eller i hvert fall tilsidesatt i en birolle. Sjeldent har vel uttrykket målet helliger middelet passet bedre inn.

Meg på Facebook om korona & personvern (smittestopp-appen).

 

Selvsagt har siste kommentator ovenfor et poeng. Vi gir jo noen og enhver av oss gledelig ifra oss store datamengder – inkludert personopplysninger – til aktører slik som Google, Facebook, Apple, Microsoft, Amazon + flere. Videre legger vi igjen elektroniske spor så det holder både ved bruk av mobiltelefoner og Internett generelt.  Likevel er jeg noe redd at det nå legges en mal for framtiden med svekket personvern som en konsekvens av redselen under koronavirus-pandemien. Redselen eller frykten for en liknende situasjon kan bli en unnskyldning for svekket personvern i kampen mot pandemi eller tilsvarende krisesituasjoner.

App-en til FHI og systemet bak har kommet på banen i løpet av veldig kort tid. Tenker at andre faktorer enn personvern og sikkerhet har veiet tyngst i den hastige prosessen. Jeg er skeptisk til at personvernet og informasjonssikkerheten (datasikkerheten) er bra nok ivaretatt. Noe nytt er også dette at lokaliseringsdata kobles mot helsedata, og at alt dette lagres via skyen (skytjeneste) i utlandet (Irland).

Litt mer om saken ble diskutert på min Facebook-vegg:

Korona & personvern del II

Korona & personvern del II: Meg + svar på Facebook om korona & personvern (smittestopp-appen).

 

Det loves dyrt og hellig at lagringen av data kun skal finne sted i en kortere periode, og at man når som helst kan trekke sitt samtykke + data tilbake. De som har programmert løsningen er også en kjent og seriøs aktør fra Norge.

Datatilsynet har på sett og vis godkjent og “gått god” for app-en, men bare pga. inntruffet situasjon. Direktør i Datatilsynet Bjørn Erik Thon har uttalt at de aldri ville godkjent en slik applikasjon i vanlig “fredstid”. Å kartlegge befolkningen på en slik måte som “Smittestopp”-appen til Folkehelseinstituttet (FHI) er normalt sett strengt forbudt.

Nei, jeg er nok fortsatt noe skeptisk og kaster meg ikke på bruken av dette systemet nå i første omgang. Den delen av dugnaden velger jeg å stå over. Men på sikt kan det jo tenkes jeg endrer syn, hvem vet… Setter heller min lit til ekstrem religiøsitet for å unngå korona-smitte, f. eks. gaver til TV Visjon Norge (IRONI!).

Smittesporings-appen er en ting. Ellers har både offentlige virksomheter, næringsliv og innbyggere “fort og galt” tatt i bruk en drøss av nye digitale løsninger for video m. m. Ikke alltid tenkes det noe særlig over konsekvensene av slike valg. Både informasjonssikkerheten og personvernet kan bli truet, da slettes ikke alle app-er, programmer eller løsninger bare er “gode” og sikre. Både informasjonssikkerheten og personvernet kan bli truet av “dårlige” løsninger. Når det gjelder virksomheter må det tenkes på forhold slik som databehandleravtaler, risiko- og sårbarhetsanalyser (ROS-analyse) og vurdering av personvernkonsekvenser (DPIA), selv om til og med Datatilsynet midlertidig har “slakket litt på kravene” pga. krisen vi er inne i.

Konklusjon og avsluttende kommentarer

Jeg savner litt mer debatt og fokus på dette som har med personvern og datasikkerhet / informasjonssikkerhet å gjøre. Vi nordmenn bør bli litt mer bevisste og kritiske til de farer som lurer innenfor bruk og utnyttelse av IKT. I dagens samfunn med fokus på analyser av “big data” blir det litt vel enkelt å overdrive innsamlingen og bearbeidingen av personopplysninger som i neste omgang kan medføre krenkelser av personvernet eller den personlige integriteten. Oss innbyggeres blåøydhet på området (vi bryr oss ikke om temaet!) kan fort straffe seg med at vi får et skremmende samfunn hvor storebror ser alt hva vi foretar oss! Blir Norge et Orwellske samfunn hvor alt vi foretar oss blir overvåket og styrt av myndighetene? Blir Norge til slutt et land av den typen som vi ikke ønsker å sammenlikne oss med, f. eks. Nord-Korea (eller Kina)?

Hoveddelene av denne artikkelen ble skrevet før PRISM-, Edward Snowden (Snowden-saken)– og NSA-avsløringene. NSA (National Security Agency) har gjennom PRISM-programmet (NSA sitt topphemmelig elektronisk overvåkingsprogram/spionasjeprogram) kunnet overvåke det meste av data- og datatrafikk, både i USA og ellers i verden. USA har til og med spionert på europeiske toppledere, f. eks. Angela Merkel. Disse avsløringene som har nok vekket interessen for personvern hos enkelte. Greit at det kommer noe bra ut av nevnte sak!

Lenker:

Korona og personvernet:

Lenker relatert til det digitale grenseforsvaret (DGF):