"Need to note"
Av seniorrådgiver Tarald Slåttebrekk. Denne kronikken sto først på trykk i DN søndag 23. januar 2022
Det er mange hensyn å ta når vi nedtegner og deler egen og andres informasjon. Oftere bør vi spørre oss selv om den siste biten av informasjon faktisk er nødvendig å notere ned.
Dataangrepet mot Nordic Choice 3. desember er nok et eksempel hvor hackere bruker sensitiv informasjon om deg og meg som brekkstang for å nå sine mål.
Hvordan vi balanserer ulike hensyn kan påvirke vår egen og andres sårbarhet, blant annet for angrep som tar i bruk såkalt dobbel utpressing. I dobbel utpressing angriper hackere datasystemets funksjonalitet og stjeler informasjon. Deretter truer de med å publisere sensitive detaljer hvis du ikke betaler.
Internasjonalt betegner «need to know» og «need to share» to motstridende hensyn ved informasjonsdeling. Det ene er tilbakeholdenhet. Motstykket oppstod som resultat av det første, og uttrykker at informasjon må deles for å ha noen funksjon. Sikkerhetsfaget handler i stor grad om hvordan man balanserer disse.
Et tredje og kanskje underkommunisert hensyn er detaljeringsgraden i informasjonen vi nedtegner. Internasjonalt glimrer et begrep for dette ved sitt fravær.
Mye av potensialet i angrep som bruker dobbel utpressing skapes av den nesten ubegrensede mengden informasjon vi etterlater i våre digitale liv – hjemme og på jobb.
Mengden data som kan havne på avveie i dataangrep øker hele tiden. Da øker samtidig sannsynligheten for at sensitive personopplysninger blir en del av fangsten når aktørene haler inn byttet sitt.
Utviklingen med dobbel utpressing krever økt bevissthet om når vi deler nok informasjon, og når vi deler mer enn nok informasjon. I sosiale medier og på nett. Når HR-avdelingen dokumenterer en personalkonflikt, med skildringer fra partene. I sameiets forberedelse av sak om utkastelse, med gjengivelser av naboenes klager. Ofte i stillingsannonser som detaljert beskriver hvordan stillingen er avgjørende for kritiske samfunnsfunksjoner.
Graden av detaljer kan avgjøre om informasjon blir en statshemmelighet og må graderes til høyeste nivå, eller om den kan publiseres åpent på internett.
På samme måte kan detaljer eksponere og gjøre oss mer sårbare, som privatpersoner i forbindelse med digitale angrep, eller som ansatte i en virksomhet. Det kan også gjøre enkelte mer utsatt for press.
Fagområdet personellsikkerhet inkluderer håndtering av sårbarheter hos personell som har tilgang til gradert informasjon, og som en følge av dette er mer utsatt for tilnærming og press fra for eksempel statlige etterretningstjenester.
Økningen i cyberangrep og bruk av dobbel utpressing aktualiserer deler av tankegodset rundt personellsikkerhet og sårbarhetsreduksjon. Også for privatpersoner og virksomheter som ikke er underlagt sikkerhetsloven.
Nasjonal sikkerhetsmyndighet er fagmyndighet for personellsikkerhet innenfor rammene av sikkerhetsloven. I 2022 går startskuddet for flere forskningsprosjekter som skal styrke det nasjonale akademiske grunnlaget for utviklingen av et fag som skal redusere sårbarheter og bygge opp personell som sikkerhetsbarrierer.