SIKKERHET

Det ropes ikke nok «ulv, ulv»

IT-sikkerhet får mer oppmerksomhet i offentligheten enn noen gang, men fortsatt mener jeg vi trenger flere stemmer til å bidra til et av vår tids viktigste opplysningsarbeid.

Illustrasjon.
Illustrasjon. Foto: Colourbox
Thomas Tømmernes, Atea
5. nov. 2018 - 09:49

Denne kommentaren gir uttrykk for skribentens meninger.

Thomas Tømmernes, Head of IT-security, Atea Norway. <i>Foto:  Balder Tømmernes</i>
Thomas Tømmernes, Head of IT-security, Atea Norway. Foto:  Balder Tømmernes

Hver morgen får jeg flere mailer med en mengde linker til dagsferske nyheter fra både inn- og utland. I tillegg abonnerer jeg på mange trusseloppdateringer, søkeord og ikke minst artikler som omhandler fagfeltet mitt, IT-sikkerhet. Kombinasjonen av informasjon jeg mottar gjør meg i stand til å kunne svare på henvendelser fra både kolleger, kontakter, kunder og media.

Og ikke minst holder det meg oppdatert på det som til enhver tid utgjør en trussel for meg privat og for alle dem jeg skal ivareta. Det gjør at jeg kan ta viktige og riktige valg i jobben min som leder av IT-sikkerhetsavdelingen til Atea Norge.

Men alle er ikke i min situasjon, for jeg er det man kaller en nerd. En ekte fagnerd som synes IT-sikkerhet er utrolig spennende.

Føkk janteloven

Veldig mange er totalt uvitende om hva som foregår på IT-sikkerhetsfeltet – og det kan få fatale konsekvenser. Derfor er jeg opptatt av å formidle viktige budskap om IT-sikkerhet til alle som vil lytte – og alle dem som ennå ikke vet at de burde lytte. Jeg skriver kronikker og faginnlegg – som dette, og blogger, Twitter (@TTmmernes) og arrangerer og holder foredrag.

Gjennom jobben min møter jeg utrolig mange flinke folk som også brenner for faget, og som er synlige i media og i offentligheten ellers. De heier jeg frem. Men mange av de jeg møter er dessverre ikke like delingsvillige eller glade i oppmerksomhet. Kanskje synes de det er ubehagelig å stikke hodet frem. Eller kanskje er det janteloven som spiller inn. Denne i mine øyne idiotiske erkenorske normen er jeg redd at går ut over folks samfunnsengasjement. Folk ønsker ikke stempelet som bedreviter. Men hva hvis det gjør at vi går glipp av kritisk informasjon som ville gjort samfunnet vi lever i litt tryggere og mer harmonisk?

Spør du meg bør holdningen være at de som kan og vet litt mer enn andre om viktige temaer plikter å dele kunnskap og kompetanse, slik at det kan hjelpe andre til å unngå uhell, tap eller andre belastninger.

Heldigvis virker den yngre garde mindre preget av redselen for å engasjere seg i det offentlige ordskiftet – en gruppe jeg tidligere har tatt til orde for at min bransje bør være mer åpen for. De er kanskje hakket mer nysgjerrige og uredde og gir mer blanke i hva folk «der ute» mener om dem. De har også fordelen av å ha vokst opp i en tid der vi, takket være teknologiutviklingen, har lettere for å dele ting vi er opptatt av i private kanaler.

Alle datamaskiner er «like»

Teknologiutviklingen har også gjort at faget mitt er mer omtalt enn noen gang, og det er bra. IT-sikkerhet er blitt «allemannseie» – noe som alle på en eller annen måte har et forhold til enten man er toppleder eller jobber «på gulvet», om man bor i byen eller på landet eller om man er fattig eller rik. Grunnen er enkel: Alle datamaskiner som er koblet til nettet ser «like» ut, så hackere og datakriminelle vet ikke nødvendigvis hva de har fått tak i før de er inne på maskinen, systemet eller nettverket.

Så er det gjerne slik at det er de store hendelsene, der hvor kjente virksomheter eller personer blir utsatt for datakriminalitet som svindel og tyveri, som får oppmerksomhet og spalteplass. Likevel gjelder de samme utfordringene oss alle. Tenker du deg om har du sikkert familie, venner eller bekjente som har blitt utsatt for IT-relatert ubehag på en eller annen måte.

De aller vanligste hendelsene både i arbeidslivet og privat er identitetstyverier. Dette betyr at noen klarer å lure til seg brukernavn og passord og fritt kan bevege seg rundt som deg i din digitale verden. Grunnen til at denne angrepsformen er så populær er at resultatene fra et vellykket identitetstyveri kan benyttes til så mange svindelformer. Men siden utfordringene berører oss alle er det mange som bør informeres og burde få opp øynene.

Det er selvfølgelig fare for at folk opplever at det ropes «ULV-ULV», men konsekvensene ved ikke å rope er så mye større enn at ulven innimellom ikke dukker opp. Mengden henvendelser vi får inn til oss i Atea fra folk som har vært utsatt for hendelser, tilsier i alle fall at det ikke ropes nok. Når det er sagt, så skal vi ikke rope for enhver pris. Uvesentlige sårbarheter som ikke har direkte påvirkning på det samfunnet vi lever i blir lett unødig støy for virksomheter og privatpersoner, så det gjelder å finne en balanse – og ikke minst komme med tips og løsninger folk kan ha nytte av.

Kan ikke gjentas nok

I IT-sikkerhetsbransjen benytter vi utrykket kampanjer som et fellesbegrep på nye angrepsformer vi plutselig ser mye av. Eksempelvis har både PostNord og Power ganske nylig vært ute og advart om at IT-kriminelle benytter deres navn, kanaler og dialogform for å svindle til seg brukernavn og passord.

Når en kampanje er ny er den selvfølgelig av stor nyhetsverdi for media – det ser vi til stadighet eksempler på. Men selv om det skrives side opp og side ned om store enkeltangrep i det de skjer, så er jeg redd det ikke er nok til å opplyse folk. Derfor benytter jeg meg også av sosiale kanaler som Twitter og LinkedIn for å dele informasjon og tips rundt de samme kampanjene som går. Tipsene går kanskje igjen, men de er i mine øyne så viktige at de ikke kan gjentas nok ganger.

Og ettersom jeg mener dette er så verdifullt for alle å vite, skal jeg gjøre nettopp det. Gjenta. Så får det heller være om noen kaller meg en bedreviter.

Overlatt til deg selv

Forskjellene på hvilke forholdsregler man bør ta i det profesjonelle arbeidslivet og privat er ganske små. På arbeidsplassen er det ofte begrenset til at «noen» bør ha gjort en analyse av hva man vil sikre og hvordan dette skal gjøres, mens det er mer eller mindre overlatt til deg selv å gjøre tilnærmet de samme vurderingene privat.

Men gjør du følgende, så er du et godt stykke på vei.

  1. Skaff deg 2-faktorautentisering på alle innloggingstjenester der det er mulig.
  2. Sørg for å ha oppdaterte antivirusløsninger på alle enhetene dine. Trend Micro kan være et godt tips til programvare for privatbrukere her. Det holder både maskinen fri for virus, stopper svindelforsøk, varsler om og fjerner angrep og hendelser fortløpende og oppdateres automatisk.
  3. Sørg for å ha brannmur med moderne funksjonalitet. De aller fleste har en ruter – en «boks» som kobler seg opp til internett, og det er gjerne her brannmuren ligger hos bedrifter. Hos privatbrukeren er det veldig forskjellig hva tjenestetilbyderen har av funksjonalitet i ruteren. Det fine er at de fleste antivirusleverandører også har det man kaller personlig brannmur som inneholder funksjonalitet som sikrer enheten din når du er tilkoblet et nettverk med andre enheter (enten det er kjente eller ukjente enheter) og enten det er hjemme eller når du er på farten.
  4. I tillegg bør de alltid skru på automatiske oppdateringer på alle enheter, operativsystemer og programmer. Oppdateringer inneholder som regel sikkerhetsforbedringer i tillegg til ny og bedre funksjonalitet.

Komplekst

Tipsene over er også nyttige for bedrifter, selv om det her er langt mer komplekst. I tillegg til å ha en mye større flåte av maskiner som er utsatt for angrep, må bedrifter også forholde seg til en mengde lover og regler. Det er alltid daglig leder som har ansvaret for bedriftens IT-sikkerhet og må påse at egne data er sikret og ivaretatt etter gjeldende lovverk. Da kan følgende to tips være fine å supplere de fire ovenstående med. 

  1. Sørg for å ha oppdaterte prosesser for hendelseshåndtering.
  2. Utfør regelmessig brukeropplæring og bevisstgjøring for alle ansatte.

Så er mitt klare råd at om en virksomhet ikke har egne dedikerte ressurser på IT-sikkerhet, er det beste å sette bort driften til tjenestetilbydere som spesialiserer seg på dette. Man bør i så fall stille tjenestetilbyderne noen spørsmål om hvordan sikkerheten ivaretas, både fysisk og virtuelt. Be om å få innsikt i rutiner og ikke minst spør om hva du vil få av rapporter. Sistnevnte er utrolig viktig til både revisjoner, internkontroll og for å ha et sted å begynne om bedriften skulle bli utsatt for IT-kriminalitet.

Så krysser jeg fingrene for at ulven ikke dukker opp hos deg, selv om jeg nok en gang har ropt meg hes.

Inntil Skrivelysten tar meg igjen, følg meg på Twitter.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.