– Det beste sikkerhetsutstyret sitter mellom øra
–Ledere og ansatte i så godt som alle bedrifter har for liten bevissthetpå hvor viktig deres egen data- og nettatferd er for bedriftensinformasjonssikkerhet. Altfor mange går rundt og tror at «sikkerheter noe andre skal fikse for oss».
Dette sa fagdirektør Roar Thon i Nasjonalsikkerhetsmyndighet (NSM) da han holdt sin forelesning «Din digitaleatferd – viktig for deg og din arbeidsgiver», på Juristkongressen.
Thon pekte på at hackere og andre såkaltetrusselaktører som vil trenge seg inn i datasystemene til bedrifter,institusjoner og organisasjoner ofte bruker epost i dataangrepet.
– På verdensbasis sendes det ut 205 milliardereposter hver eneste dag, så epost er i seg selv en gedigen leveringsmaskin.I denne mengden er det selvfølgelig mye fine og viktige ting somvi må åpne. Trusselaktørene forsøker å gjøre eposten så relevantefor oss som mulig, og det som er kjennetegnet ved eposter fra trusselsaktøreneer selve åpningen av vedlegget eller linken. Det er da det digitaleangrepet starter, sa Thon.
Han viste til storangrepet mot flerebedrifter her i landet for noen år siden.
– Da Norge ble utsatt for det media valgteå kalle Norgeshistoriens største dataangrep var det over 500 norskeselskaper innenfor olje, gass og energisektoren som ble rammet,og det skjedde ved hjelp av eposter i fem forskjellige variantersendt til omlag 600 nøkkelpersoner. Det var ikke tilfeldig hvemde 600 menneskene var. Her hadde noen brukt tid på å finne ut påforhånd om disse menneskene. De bruker det de kan få vite om oss,som er åpent tilgjengelig. Og man er i stand til å skreddersy detganske bra, så epostenes innhold treffer oss slik at når vi åpnerdem så gjør vi faktisk en del av de tingene vi er avhengige av ågjøre, sa Thon.
Han mener sikkerhetsselskaper som oppfordrettil å ikke åpne vedlegg eller linker fra folk man ikke kjenner,ga håpløse råd.
– Vi kommer ikke bort fra det faktumat de aller fleste av oss har som jobb å motta epost. Å åpne vedleggog linker og å videresende. I dette ligger det en betydelig risiko.Det enkleste sikkerhetsmessige tiltaket for epost ville være å slutteå bruke det. Men vi har ikke noe som egentlig kan erstatte det –i hvert fall ikke på kort sikt, sa Thon.
Kommertil å bli lurt
Fagdirektøren pekte på at bedriftenemå bli bedre på å sikre epostbruken rent teknologisk, og at brukernemå få bedre kunnskap.
– Men uansett hvor mye kunnskap vi gir,så kommer folk til å klikke. Vi må forstå at vi kommer til å blilurt. En strategi er å ha bedre tiltak rent teknologisk på hvordanvi håndterer det når vi faktisk blir lurt, sa Thon.
Han mener man også på et tidspunkt måansvarliggjøre brukerne.
– Man må ikke se på dette som utelukkendeet teknologisk spørsmål slik at det bare er toppleder som skal fiksedet og alt annet skal gå av seg selv. Det er dessverre ikke så enkelt,sa Thon.
I tillegg til datainntrenging fortaltehan om svindelforsøk.
– Blant faktorer trusselaktørene ogsåspiller på er vår fristelse, vår medfølelse og frykt. Og vi gårpå med hud og hår, sa Thon.
– Men det er håpløst når politiet gårut i media advarer og sier at folk ikke skal ta telefonen dersomet aktuelt nummer ringer. Det løser ingenting – det nummeret erendret omtrent før artikkelen kommer på trykk. Trusselaktørene tilpasserseg. Og det er jo ikke sånn at vi automatisk blir lurt hvis vi løfterav røret. Det kreves faktisk en dialog og en samtale der, sa Thon.
Han mener nordmenns holdninger til andreogså er en faktor som gjør oss sårbare.
– En grunnleggende utfordring er denhøye grad av tillit vi har her i landet, til hverandre og omgivelsene,til kolleger og til myndigheter. Undersøkelser viser at vi i Skandinaviascorer høyt på dette i Europa. Vi har skrudd sammen samfunnet vårtbasert på det, noe som jo er en kjempepositivt. Problemet er atsituasjonen blir annerledes i det digitale møtet med krefter somer betydelig mer kyniske en oss, sa Thon som mener våre evner tilå være fare reduseres foran datamaskinen, smarttelefonen eller paden.
– I det digitale rom bruker vi menneskeri realiteten bare to av sansene våre, syn og hørsel. Jeg håper vibruker hodet også – men det er ikke definert som sans. Vi misterfaktisk evnen vår til å ta på ting, lukte på det, og smake på det,noe som vi ellers kan ta i bruk for å være fare. Vi blir derforganske blinde i forhold til å detektere farer når vi setter ossned foran disse maskinene våre, sa Thon som advarte mot å bare sendefolk på kurs, og tro at informasjonssikkerheten i bedriften blir bedreivaretatt.
– Det nytter ikke å gi folk kunnskaphvis det ikke fører til noe. Vi bør se en endring totalt sett iatferd. Selskaper setter alle ansatte skolebenken for å lære ominformasjonssikkerhet, men ofte måles effekten i oppmøte. Ingenspør hva undervisningen førte til – hadde den overhodet noen effekt,sa Thon som gikk til NSM i 2003 etter mange år som etterforskeri politiet.
Han holder nå rundt 100 foredrag om informasjonssikkerheti året.
– Noe av det aller beste sikkerhetsutstyretsom er oppfunnet sitter mellom øra på folk. Rimelig i drift er detogså. Dersom man ønsker å øke sikkerheten i bedriften sin, skalman kanskje ikke automatisk begynne å mase etter mer teknologi ogflere ansatte – det kan være at man trenger de to tingene også –men det er erfaringsmessig betydelig mye å hente på å aktiviseredet som er mellom øra på de som allerede er der, sa Thon.