DEBATT

Nasjonale trusselvurderingar 2024: Er vi alle innsidarar?

Det er spesielt ein ting som skurrar i nasjonale trusselvurderingar.

Kronikken er skrevet av Bjørn Tore Hellesøy som privatperson. Bildet er fra kommandosentralen til Nasjonalt cybersikkerhetssenter (NCSC), som overvåker digitale angrep og trusler mot norske interesser.
Kronikken er skrevet av Bjørn Tore Hellesøy som privatperson. Bildet er fra kommandosentralen til Nasjonalt cybersikkerhetssenter (NCSC), som overvåker digitale angrep og trusler mot norske interesser. Illustrasjonsfoto: Marius Jørgenrud
Bjørn Tore Hellesøy, sikkerhetsanalytiker i KraftCERT
28. feb. 2024 - 10:28

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

EOS-tenestene har nyleg lagt fram sine nasjonale trusselvurderingar. Tonen er alvorleg. I Aftenposten blir det hevda at no er vanlege folk mål for framande makter, og bilar som er «rart parkert» bør meldast inn til tryggingsmyndigheitene. I NSMs rapport Risiko 2024 står noko som treff oss alle: «Det er naivt å tro at det ikke finnes innsidere i betrodde stillinger også her i Norge, enten de er bevisste eller ubevisste innsidere», og det blir hevda norske verksemder har lav kunnskap om innsidarar. Fleire spørsmål melder seg.

Innsidar

Innsidevirksomhet handlar ifølge tryggingsmyndigheitene om «personer som kan komme til å utnytte sine legitime tilganger til virksomhetens verdier for uautoriserte formål», og ein innsidar kan altså vere bevisst eller ubevisst. Myndigheitenes temarapport om Innsiderisiko inneheld fleire interessante påstandar. For eksempel at menneske som opplever skilsmisse eller sjukdom, har ein sårbarheit som kan utnyttast av framande makter, og kan «lede til både bevisst og ubevisst innsidevirksomhet». Andre sårbarheiter som nemnast er svak økonomi og misnøye med arbeidsgjevar. Ganske normale ting ved sjølve livet, vil mange meine.

Det første hovedspørsmålet som dukkar opp, er: Er det riktig? Kor sterkt er kunnskapsgrunnlaget? Er det basert på anekdotar eller store empiriske studiar? FFI-rapporten Hva vet vi om innsiderisiko? konkluderer med at det er lite forsking på feltet. Det andre spørsmålet er: Kva betyr det i praksis? Kan vi la nyskilte eller folk med svak økonomi ha viktige oppgåver i samfunnet? Bør dei vere på jobb utan tilsyn?

Martin Albert-Hoff, avdelingsdirektør i NSM for Nasjonalt cybersikkerhetssenter (NCSC).
Les også

Skal dele ut 20 millioner for å bedre cybersikkerheten

Ubevisst?

Begrepet ubevisst innsider er spesielt interessant og blir forklart som «en som uforvarende videreformidler informasjon som ikke skulle vært videreformidlet, eller skjødesløst lar være å forholde seg til sikkerhetskrav og sikkerhetsoppdateringer». Eller nokon «som uforvarende åpner et vedlegg med skadevare», ifølge ein annan rapport frå i haust. Dei, eller vi, «ubevisste» skal stå for over halvparten av «innsidehendelser mot digitale verdier». Med andre ord: Gjer du ein feil, er du ein innsidar. Ein innsidar er ein svikar. Men treng det vere slik?

Kontrasten er iallfall stor mot kunnskapsutvikling innan andre samfunnsområder, og då særleg innan helse, miljø og tryggleik (HMS), med fagmiljø som ligg fleire tiår framfor store delar av det stadig veksande security-miljøet. I Norsk Industris rettleiar Sikkerhet, ledelse og læring (2023) legg ein til grunn at menneske gjer feil. Men ein ser ikkje på feil eller avvik som årsaker, men som teikn på underliggjande problem.

Kai Røen roser kommunene for å prioritere IT-sikkerhet til tross for økonomiske utfordringer.
Les også

Sikre e-posten: Ber virksomheter skru av passord og flerfaktor

Konsekvensar?

Kan det ha konsekvensar at tryggingstenester og -miljø ser oss arbeidstakarar som ein trussel og ein kilde til feil?

For det første er det ei lite føremålstenleg tilnærming til det stadig viktigare samspelet mellom menneske og teknologi, der feil kan skje. At vi alle kan gjere feil er godt kjent, men mange faktorar påverkar menneskelege val og handlingar, også tilhøve som kan gjerast noko med.

For det andre kan det også utfordre lange samfunnstradisjonar. Dersom ingen er til å lite på, blir det vanskeleg med informasjonsdeling og medverknad, til dømes kan fagforeningar bli haldne utanfor tryggingsarbeid på grunn av hemmeleghald.

For det tredje kan det ha konsekvensar for breie tryggleikstiltak. Nye lover viser at norske myndigheiter er villige til å gå langt i overvaking av den norske befolkning, med tryggleik som grunngjeving.

Og det er ikkje sikkert det blir betre tryggleik. Mange kan også sjå potensielle nedsider ved å mistenke ein kollega for å vere ein innsidar i tillitslandet Noreg. Mennesket er mykje meir enn ein kilde til sårbarheiter og feil. Det trengs meir balanse i synet, spesielt i urolege tider.

SpAIware: Her demonstrerer Johann Rehberger hvordan han fikk Chat GPT til å stjele data uten å vite det selv.
Les også

Falske minner i Chat GPT kan åpne for varige datalekkasjer

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
4 fordeler med å bruke Tekjobb til rekruttering
Les mer
4 fordeler med å bruke Tekjobb til rekruttering
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra