Vi kan alle bli lurt!
«Vi kan alle bli lurt, men det viktigste er å gjøre alle trygge nok til å si ifra når det skjer,» sa Ragnhild Sageng, senior sikkerhetsrådgiver i Tolletaten på åpningsforedraget under årets KiNS-tech i Horten.
KiNS er akkurat ferdig med vår årlige konferanse for IT-teknikere der temaene stort sett dreier seg rundt hvilke trussel aktører kommunene står ovenfor og hvilke angrepsteknikker kommuner og fylkeskommuner må beskytte seg mot. I et slikt perspektiv er det viktig at hver enkelt sektor tar ansvar for å ha en god sikkerhetskultur tilpasset sektorens samfunnsoppdrag og kommunen, eller fylkeskommunen, sine overordnete føringer for informasjonssikkerhet og internkontroll. Det er viktig at alle ansatte i skolen er klar over at det hele tiden er aktører som ønsker å lure kommunale brukere for å komme inn i skolens og kommunen eller fylkeskommunen sine systemer.
Digitale angrep er en kombinasjon av sosial manipulering og tekniske ferdigheter. Mye handler om å lure brukere til å klikke på lenker, QR-koder, oppsøke nettsteder, eller over telefon gi fra seg informasjon som kan brukes til å overta vedkommende sin brukerkonto. Det være seg elev-, ansatt- eller foreldrekonto. Det kan skje ved at man mottar en telefonsamtale der en person utgir seg for å være fra IT-support på skolen, fra en lærer, rektor eller fra en venn. Stemmemanipulering og «Deepfake» er blitt relativt enkelt og effektiv å anvende og kommer ofte i kombinasjon med de tradisjonelle metodene som en lenke, eller en QR-kode man lures til å klikke på. Dette gjør det vanskelig å ikke bli lurt.
Kommuner, fylkeskommuner og skoler opplever digitale angrep hver dag. Et skrekkscenario for kommunen og fylkeskommunen er at angripere skal komme seg inn i deres systemer, låse ned systemene, kreve løsepenger og hente ut personinformasjon og sensitiv informasjon for i neste omgang å true elever, foreldre og innbyggere. Såkalt dobbel og trippel utpressing. Norske kommuner betaler ikke løsepenger for å få låst opp sine systemer etter et kryptovirus angrep. Likevel er det store verdier å hente ut i form av personinformasjonen som kommuner og fylkeskommuner lagrer i sine systemer.
Konsekvensen av digitale angrep er det i stor grad brukerne som må bære. For dem, dvs ansatte, elever og innbyggere generelt, kan et vellykket digitalt angrep ha store konsekvenser for livskvalitet, økonomi og mental helse. Konsekvenser som den enkelte risikerer å bære med seg i flere år. Kommunen eller fylkeskommunen mister tillitt, får økte kostnader, redusert kvalitet på kommunale tjenester og stor organisatorisk belastning. I skolen vil det kunne innebære å miste kontroll på persondata, miste tilgangen til digitale hjelpemiddel og miste tillitt hos elever, ansatte og foreldre til at informasjonen man forvalter behandles sikkert og trygt.
Ved å invester i kunnskap, ferdigheter og dømmekraften til elever, lærere og skoleledere om trusselbildet og hva den enkelte kan bidra med, samt sette inn egnede tekniske tiltak, kan vi redusere muligheten for vellykkete digitale angrep og alle negative kostnader det innebærer for alle berørte.
Noen anbefalinger
- Still krav til at også elevene skal ha sterk autentisering. Det er fortsatt et av de viktigste tiltakene for å redusere antall vellykkede angrep.
- Arbeid systematisk for å bygge relevant kompetanse hos elever og lærer om informasjonssikkerhet, digitale trusler og hvordan unngå å bli lurt.
- Bygg en kultur, for både elever og lærere, der det er lov å si ifra at man er blitt lurt.
Harald Torbjørnsen
Harald Torbjørnsen er leder for foreningen kommunal informasjonssikkerhet, som arrangerer mange konferansen med sikkerhet som tema for spesielt kommunal virksomhet.