Av ren hjelpsomhet gir mange medarbeidere bort passordene sine selv om de ikke burde. Økte kunnskaper om IT-sikkerhet er i dag minst like viktig som antivirusprogrammer og brannmurer, mener Pernilla Rönn, ekspert på informasjonssikkerhet.
Tingenes Internett, større nettrafikk på flere enheter, avansert informasjonsbehandling og sofistikert nettfiske – digitaliseringen gjør systemer mer sårbare for datainnbrudd. Pernilla Rönn, forretningsområdesjef innen informasjonssikkerhet hos teknologirådgiveren Combitech, advarer om flere og mer avanserte trusler mot bedrifter i fremtiden. Men det finnes håp.
– Når bevisstheten om risiko og trusler øker, reduseres faren for inntrengning. Det er helt avgjørende å endre atferd når det gjelder IT-sikkerhet, sier Pernilla Rönn.
Egentlig ville hun bli journalist. Det var mer en tilfeldighet som gjorde at hun begynte å studere systemvitenskap, en bred utdanning med både programmering, teknologi og økonomi på læreplanen. Ettersom ord som "krypto", "trusler" og "risiko" var noe Pernilla drev med, søkte hun på en krypteringsjobb. Det var i 1994, og siden har hun vært en sikkerhetsentusiast. Skriveferdighetene har Pernilla hatt bruk for som konsulent – hun liker å skrive utredninger og rapporter,"«å arbeide med virksomheten og ikke bare tekniske løsninger er kjempegø""».
Hvorfor er IT-sikkerhet et så spennende område?
– I dag er fokuset utvidet fra IT-sikkerhet til informasjonssikkerhet, som er et stort område. Det omfatter mye mer enn teknologi, for eksempel prosesser, organisasjon og metodikk. Det er interessant å jobbe med disse spørsmålene. Jeg befinner meg midt i samfunnsutviklingen fordi sikkerhet trengs overalt.
Lever du selv som du lærer?
– Ja, litt yrkesskadet er jeg nok. Jeg er påpasselig med hva jeg legger ut i sosiale medier, og alle passordene mine er godt beskyttet. Jeg ser etter overvåkingskameraer og klikker aldri på lenker eller filer i e-post om jeg ikke er sikker på hvem avsenderen er.
Med økte kunnskaper heves det generelle sikkerhetsnivået, viser testresultater som Combitech har sammenfattet. Og atferden kan påvirkes med enkle midler.
Hvordan undersøker dere om bedriften er bevisst disse spørsmålene?
– Vi kan for eksempel ringe medarbeidere og utgi oss for å være fra brukerstøtte og be om passordet deres. Og folk går i fellen! Hele 80 prosent gjør det de ikke burde gjøre – de gir fra seg passordet sitt. Vi kan også sende nettfiske-e-post og be mottakerne oppgi brukernavnet sitt. Da får vi en indikasjon på hvor bevisste medarbeiderne er når det gjelder sikkerhet.
Til tross for alle advarslene i media og at truslene nå er velkjente, gjentar feilen seg. Ofte kommer det av at mennesker vil være vennlige og hjelpsomme. Garden senkes, noe som kan være katastrofalt når hensikten er ond.
Pernilla Rönn understreker at alle tester blir gjort med respekt for individet, og at Combitech i etterkant forteller at det er en del av en opplæring på oppdrag av bedriften. Hensikten er at læreprosessen skal være tankevekkende og lede til endret atferd. Budskapet er at hvem som helst kan gjøre feil, og at alle kan endre holdninger og være mer på vakt.
Har nettangrepene endret karakter?
– De kan nå pågå over en lang periode. I stedet for å være massive, er de seiglivede. Dessuten er kunnskapsnivået til angriperne mye høyere enn før. Se for eksempel på det som hendte med storbankene i 2015. Det var en 16 år gammel gutt som skapte nettangrepene fra sengekanten i Växjö.
Hvordan skal bedrifter verne om IT-sikkerheten?
– I dag må sikkerhetstankegangen inngå i bedriftens grunnleggende prosesser.
Organisasjonen, inkludert ressurser, risiko og trusler, skal stå i sentrum. Derfra planlegger og utvikler man virksomhetssystemet med tanke på kontinuitet. En effektiv hendelseshåndtering er viktig. Hvis bedriften blir utsatt for et angrep, må den raskt på banen igjen for å informere omverdenen om hendelsen. Informasjons- og sikkerhetsspørsmålene må feste seg i hjernen hos alle i bedriften.
Bør vi tenke IT-sikkerhet også som privatpersoner?
– Samfunnet er enormt sårbart, og mennesker forstår ofte ikke hvor utsatt de faktisk er på nettet. Hvis du for eksempel følger en person på Facebook i noen dager, lærer du mye om vaner og hva personen liker. Tekniske sikkerhetsløsninger er ikke tilstrekkelig. Alle tjener på å øke bevisstheten om trusler og risiko!
80 prosent gir fra seg passordet sitt når vi utgir oss for å være fra brukerstøtte.
Pernilla Rönn
Alder: 46
Familie: Man och två döttrar. ”Inga husdjur, trots att barnen tjatar.”
Bosted: Centralt i Växjö
IT-bommert: ”Aldrig! Jo förresten, jag glömde att låsa skärmen en gång. Då hittade en kollega på bus. Efter det glömmer jag inte att låsa…”
Grensen i sosiale medier:”Semesterbilder är okej. Men jag publicerar inte något om min hälsa eller om barnen.”
Favorittside på nettet: ”Jag är lite av en shopaholic. Det blir mest kläder och skor när jag handlar på nätet.”
Pernillas fem beste råd for økt IT-sikkerhet:
- 1. Identifiser bedriftens ressurser, og arbeid for å beskytte dem digitalt. Tenk på at jo mer vi kobler oss til nettet, desto mer sårbare blir vi.
- 2. Sørg for å ha teknisk overvåking og et system som fanger opp hendelser. Bedriftens hendelseshåndtering må fungere, slik at medarbeiderne vet hva de skal gjøre om noe skulle skje.
- 3. Ansatte er det svakeste leddet. Skap en kontinuerlig bevissthet om trusler og risiko.
- 4. Vær ekstra forsiktig med IT-håndteringen når du er ute og reiser. Bruk innsynsbeskyttelse på PC-en, og vær oppmerksom på omgivelsene når du prater i mobilen.
- 5. Ikke glem å bruke sikkerhetsinnstillingene i sosiale medier. Begrens innsjekkingene.
Tekst: Elisabeth Krogh
Foto: Peter Jönsson