Nei, ofre for cyberkrim er ikke naive og godtroende

Det kan ikke være opp til den vanlige bruker å bygge et forsvar mot datakriminelle, skriver Harald Næss i Nasjonal sikkerhetsmyndighet.

FEIL Å SNAKKE NED OFRENE: Det er svært uheldig at vi fra autoritært hold stigmatiserer ofre for datakriminalitet, skriver Harald Næss. Foto: NTB
Debattinnlegg

For en tid siden kunne vi lese om jobbsøkere til UD som hadde lagt inn sine data via en søker-portal. Dessverre hadde en trusselaktør kompromittert jobbportalen – og via falske script ble jobbsøkere bedt om å oppgi informasjon og bekrefte sin identitet. Slik ble uskyldige brukere fralurt personlige data og bankID-login detaljer. Det resulterte i at detaljert informasjon om fremtidig ansatte i UD trolig er på avveie, og noen av dem fikk også uønsket aktivitet mot bankkonto.

Var disse brukerene naive og godtroende? Eller var administrator-brukerene av jobbportalen naive og godtroende, slik det ble utlagt av en informatikkprofessor som uttalte seg?

Ingen kan beskylde dem for å være «naive og godtroende»

Etter min mening er svaret i begge tilfeller nei, og det er svært uheldig at vi fra autoritært hold stigmatiserer ofre for datakriminalitet. Å «snakke ned» ofrene bidrar ikke til den nødvendige åpenheten vi må ha i kampen mot cybertrusler, dessuten er det slik at selv de mest kompetente kan bli rammet: Det omfattende «Solar Winds» angrepet traff 18.000 virksomheter, inklusive sikkerhetsselskaper, IT-industri og offentlige myndigheter blant annet i USA. Ingen kan beskylde dem for å være «naive og godtroende».

Vårt tids datakriminelle har høy kompetanse, de har ofte mye ressurser og er brutalt kyniske

Vi trenger åpenhet for å bli mere bevisste om trusselbildet i det digitale rom, og vi må forstå at alle kan bli rammet. Åpenhet er også svært viktig for å lære av hendelser.

Vårt tids datakriminelle har høy kompetanse, de har ofte mye ressurser og er brutalt kyniske. Derfor kan det ikke være opp til den vanlige bruker å bygge et forsvar mot dette. Her er det eieren av IT-systemene som sitter på nøkkelen og som må treffe de riktige tiltakene for å sikre at nettsider eller portaler ikke lar seg kompromittere.

Harald Næss. Foto: Eivind Yggeseth

Hvis din virksomhet eier et nettsted eller en søkeportal, så er det ditt ansvar å forvalte de data som legges inn via denne, og det må være virksomhetens ansvar å kontinuerlig overvåke at nettstedet ikke er tatt over av en annen aktør. Her må man aktivt søke å utnytte teknologi gjennom å logge og analysere aktiviteter og nettverkstrafikk, ved å ha god styring på oppdateringer og ved å ha kontroll på rettigheter og tilganger.

Moderne IT systemer må tilby sikkerhet til sine brukere, ikke utgjøre en risiko for dem

En vanlig bruker må kunne forvente at systemer som tilbys allmenheten er sikre, at de har integritet, at alle data og personopplysninger oppbevares forskriftsmessig og at informasjon ikke deles eller misbrukes. Moderne IT-systemer må tilby sikkerhet til sine brukere, ikke utgjøre en risiko for dem.

Her har fortsatt systemeiere ansvaret, og leverandørene av IT-løsninger trolig en jobb å gjøre. Men skyld ikke på brukeren!

Harald Næss

Seksjonssjef Nasjonal sikkerhetsmyndighet