13 råd for bedre sikkerhet på mobile enheter
NSM anbefaler å gjøre sikringstiltak på mobile enheter som mobiltelefoner og nettbrett. Med noen enkle grep kan du oppnå bedre mobilsikkerhet.
Risikoen for å bli utsatt for sikkerhetshendelser gjennom mobile enheter varierer. Enkelte sektorer, virksomheter og personer er mer utsatte enn andre. Ugraderte trussel- og risikovurderinger fra PST, Etterretningstjenesten og NSM gir nyttig informasjon som virksomheter og den enkelte ansatte kan bruke for å vurdere egen risiko.
Mobilrådene henvender seg til brukere i både offentlige og private virksomheter. De er basert på NSMs råd og anbefalinger for IKT-sikkerhet og er til hjelp for virksomheter som skal etablere eller revidere retningslinjer for mobilbruk.
Sikringstiltakene skal bidra til å styrke den enkelte brukers mobilsikkerhet. Listen over mulige tiltak er ikke komplett. Har virksomheten flåtestyring av mobile enheter, bør det eksistere en tilpasset brukerinstruks.
Anbefalingene har som forutsetning at grunnleggende IKT-sikkerhet er på plass. Eksempelvis bør enheten ikke bruke et operativsystem som ikke lenger oppdateres av produsenten. Alle bør bruke sterke og unike passord til tjenestene og applikasjonene de har tilgang til fra den mobile enheten. Passord eller sensitive opplysninger bør ikke lagres ukryptert på enheten, som for eksempel i et notat.
Flåtestyring av enheter
De 13 rådene inneholder i all hovedsak sikkerhetstiltak som den enkelte bruker selv kan gjennomføre for å oppnå bedre mobilsikkerhet.
Mange virksomheter benytter seg av flåtestyring av mobile enheter, en Mobile Device Management-løsning (MDM). Det gir virksomheten mulighet til å administrere og sikre virksomhetens data og mobile enheter, slik at dette i minst mulig grad overlates til den enkelte bruker. Funksjoner som å installere applikasjoner på enheten, utføre sikkerhetsoppdateringer, skape et skille mellom jobb og private apper, administrere VPN og fjernslette data ved tap av enhet med mer gis normalt gjennom en MDM-løsning. NSM anbefaler å følge leverandørens beste praksis når en slik løsning skal settes opp.
For enkelte virksomheter eller i spesielle tilfeller kan det være nødvendig å vurdere dedikerte mobile enheter som kun brukes på reise. Se NSMs reisevettregler for digital sikkerhet på nsm.no.
1. Aktiver Touch/Face ID på enheter
Du bør aktivere Touch ID eller Face ID for å åpne enheten. Både Touch ID og Face ID bør kreves på nytt etter hver lukking av enheten og etter kort dødtid, for eksempel fem minutter.
Når enhetens PIN-kode — til tross for Touch eller Face ID — likevel må oppgis på offentlig sted, bør du alltid skjerme enheten mot innsyn. Det gjelder også på steder hvor brukeren ikke har noen mistanke om at andre har innsyn. Lovlig kameraovervåking er utbredt, og det kan være risiko for mer skjult overvåkning, enten av stedet generelt eller av brukeren spesielt.
Sett minimum en 6-sifret PIN-kode, og benytt en kode som er vanskelig å gjette, selv for en som kjenner deg godt. Enkelte telefoner og nettbrett tillater at du kan velge sterkere PIN-kode som består av både tall og bokstaver. En slik kombinasjon gir bedre sikkerhet.
Bruk biometri eller PIN-kode på applikasjoner som har denne muligheten. Om noen får tilgang på telefonen eller nettbrettet i ulåst tilstand, sørg for flere barrierer med PIN-kode eller biometri. Dette gjelder særlig på e-post, meldingstjenester og andre applikasjoner som kan inneholde sensitiv informasjon.
2. Sjekk jevnlig at enheten er oppdatert
Du bør installere oppdateringer til enheten og apper så snart som mulig etter at de er offentlig tilgjengelige. Det tetter kjente sikkerhetshull og gir tilgang til ny og forbedret sikkerhetsfunksjonalitet. Selv om enheten og appene er satt til automatisk oppdatering, kan blant annet batterinivå, datatilkobling og om apper er i dvale forsinke oppdateringer. Du bør derfor selv regelmessig sjekke om oppdateringer er tilgjengelige. Etter lengre tids frakopling fra internett, f.eks. mer enn to–tre uker, bør du alltid manuelt sjekke om oppdateringer er tilgjengelige straks enheten tas i bruk.
Slå PÅ automatiske oppdateringer og installer dem hvis enheten ber om det.
3. Unngå at enheten kan tukles med
Unngå å legge fra deg enheten på plasser hvor uvedkommende kan få fysisk tilgang til den.
Skadevare på enheten kan medføre at andre kan lese av informasjon. Installasjon av slik skadevare kan skje med eller uten brukerinvolvering. For å minimere risikoen for at skadevare installeres, vær kritisk til lenker du mottar på sms, e-post og andre meldingstjenester.
Skadevare kan også bli installert ved fysisk tilkobling til enheten. Av den grunn bør man ikke benytte ukjent tilleggsutstyr som minnepenner, ladere, kabler, mus og tastatur osv. Man bør heller ikke benytte ukjente tilkoblingspunkter som for eksempel USB-kontakter på offentlige steder (f.eks. offentlig transport, hoteller, restauranter mm.) eller koble til andre enheter man ikke stoler på.
4. Motvirk uønsket innsyn og avlytting
Mange applikasjoner viser deler av meldinger selv om skjermen er låst. Funksjonen kalles ofte «varslinger» og gjelder f.eks. nyheter, e-post, møter, sms eller beskjeder om tapte anrop.
Skru derfor av varslinger til låst skjerm på apper som har sensitiv informasjon, eller bruk et etui med klaff som dekker skjermen. Du kan redusere risikoen ved å bruke beskyttelsesfilm som begrenser uønsket innsyn.
Sørg for at sensitivt arbeid ikke utføres på steder som er eksponert for uønsket innsyn. Ta nødvendige forholdsregler og gjør tiltak for å redusere risikoen. Eksempler kan være å dra for gardiner hjemme, sette seg på et stillerom på jobb eller å sette seg i et hjørne med ryggen mot veggen på en kafé, hotellresepsjon eller en flyplass.
For den generelle bruker av en mobil enhet er det vanskelig å se om enheten har skadevare. Skadevare kan blant annet gjøre skjult lydopptak av omgivelsene. Mobile enheter bør derfor legges utenfor møterommet eller kontoret dersom det skal gjennomføres sensitive samtaler. Selv om du vurderer sannsynligheten som lav, koster det lite å gjøre dette tiltaket. Følsomheten i mikrofonene i mobile enheter er svært god, så sørg for at tiltaket du gjør har effekt. Dette kan gjøres ved en enkel test ved å bruke enhetens opptakerfunksjonalitet.
Det er alltid en risiko for at andre leser av eller lytter på meldinger, telefon- og videosamtaler. Vær oppmerksom på hvilket nettverk (2G, 3G, 4G, 5G) du er tilkoblet. Bruk helst 5G. Mobilsikkerheten er opp til operatøren av mobilnettverket. NSM anbefaler derfor at du (spesielt i utlandet) bør bruke tale- og meldingstjenester som legger på kryptering for å redusere risikoen for avlytting og manipulasjon.
5. Ha kontroll på hva som blir sikkerhetskopiert
Automatisk sikkerhetskopiering til sky er en god måte å unngå tap av informasjon. Dette gir òg en fleksibel tilgang til dine data. Når du lagrer data andre steder enn på den mobile enheten, øker imidlertid risikoen for at uvedkommende kan få tilgang. Sørg derfor for å ha kontroll på hvilke data som lastes opp, slik at ikke virksomhetsdata lastes opp på tjenester utenfor virksomhetens løsninger. Dette gjelder blant annet om kameraet på den mobile enheten blir brukt til virksomhetsformål hvor bilder kan bli lagret og lastet opp utilsiktet.
Hvis du blir nødt til å gjenopprette enheten fra en sikkerhetskopi, må du være klar over at eventuelle avinstallerte applikasjoner i etterkant av siste sikkerhetskopi kan komme tilbake. Gå derfor gjennom installerte applikasjoner etter en gjenoppretting.
6. Slett data fra enheten hvis du mister den
Hvis du mister enheten, er det ikke bare verdien av maskinvaren som går tapt. Du risikerer også at data, dokumenter, bilder og e-post havner i gale hender. Enheten bør av den grunn være kryptert. Du bør også være i stand til å fjernslette innholdet på din mobile enhet hvis du mister den. Er du i en virksomhet med flåtestyring, vil din IT-avdeling kunne bistå deg.
Benytt leverandørens tjeneste til å slette enheten. Den mobile enheten kan også innstilles til å slette innholdet etter et bestemt antall mislykkede forsøk på å taste PIN-koden.
7. Vis aktsomhet ved bruk av wifi
Du bør kun benytte kjente wifi-nettverk. Unngå å bruke wifi-nettverk som ikke krever et passord for tilkobling, og offentlige wifi-nettverk, som for eksempel på hoteller, kaféer, flyplasser og konferanselokaler. Bruk isteden din mobiltelefon til internett-deling via 4G/5G. Dersom offentlige nettverk likevel benyttes, bør nettverket fjernes eller «glemmes» i etterkant.
Vær oppmerksom på at enkelte mobile enheter automatisk kobler seg til nettverk du tidligere har benyttet. Dette kan skje uten at du oppdager det. Du bør derfor som hovedregel skru av automatisk tilkobling til wifi-nettverk på andre nettverk enn godt sikrede og tiltrodde nettverk, slik som for eksempel jobb- og hjemme-nettverket.
Eldre, trådløse wifi-nettverk kan benytte seg av sårbar teknologi som kan utnyttes av uvedkommende. Nyeste sikkerhetsstandard, WPA3, anbefales for å redusere risiko om wifi benyttes.
8. Benytt VPN for all nettverkstrafikk
Du bør benytte en VPN-løsning. VPN er et virtuelt privat nettverk som fungerer slik at trafikken du sender og mottar krypteres via din VPN-leverandør. Valget av leverandør er derfor helt avgjørende for hvor sikker løsningen er. Benytt en løsning fra en anerkjent leverandør, fortrinnsvis en som blir administrert av din IT-organisasjon.
VPN brukes også for å gi tilgang til din virksomhets nettverk og tjenester fra internett.
9. Vær forsiktig ved bruk av blåtann
Blåtann (Bluetooth) kan benyttes til å sette opp en forbindelse til trådløse enheter som høyttalere, hodetelefoner, håndfrie enheter eller en smartklokke. En blåtann-forbindelse kan overføre data mellom din mobile enhet og andre enheter. Vær tilbakeholden og forsiktig med å koble din enhet til enheter du ikke stoler på.
Vær oppmerksom på at blåtann-forbindelsen til underholdnings- og navigasjonssystemet i en bil kan overføre opplysninger om kontaktpersoner og telefonanrop til bilens datamaskin. Disse kan være vanskelige å slette. Har du lånt eller leid en bil, bør du ikke koble dine enheter til bilen.
10. Benytt direkte trådløs forbindelse mellom enheter ved deling av data
Det finnes flere direkte trådløse forbindelser som kan benyttes ved deling av data mellom ulike mobile enheter.
Deling av data direkte mellom mobile enheter er ofte bedre enn andre delingstjenester som går via internett. Direkte deling reduserer muligheten for at andre kan avlytte kommunikasjonen.
Når du bruker delingstjenester, bør du være oppmerksom på at de bør deaktiveres etter overføringen.
11. Gi apper minimalt med tilganger
En mobil enhet og applikasjoner kan registrere hvor du befinner deg. Det kan avsløre hvor du arbeider, hvor du bor og hvilke steder du besøker, selv om du ikke bruker en navigasjons-app.
Du bør være svært tilbakeholden med å gi apper tilgang til enhetens mikrofon, kamera og lokasjonsdata (GPS). En applikasjon med slike uønskede tilganger kan være i stand til å gjøre skjulte opptak av deg, dine omgivelser og spore dine bevegelsesmønstre.
Du bør regelmessig kontrollere at kun apper som har et faktisk behov, har tilgang til mikrofon, kamera og lokasjonsdata. Vær spesielt nøye med sosiale medie-apper siden disse ofte ber om mer tilgang enn de har behov for. Kontaktlisten, meldinger, filer, bilder, utklippstavle og andre enheter tilkoblet samme nettverk er eksempler på informasjon enkelte applikasjoner ber om.
12. Bare installer nødvendige apper og kun fra offisielle app-butikker
Du bør være forsiktig med og kritisk til hvilke apper du installerer. Hver ekstra app som installeres, kan redusere sikkerheten på enheten. Eksempler på dette er å lese i lokale og personlige data, forårsake datalekkasjer mot internett og øke risikoen for at enheten misbrukes til avlytting og avtitting. Gå jevnlig gjennom installerte applikasjoner og slett de du ikke bruker.
Skadevare, spionprogrammer og andre ondsinnede applikasjoner kommer ofte via uoffisielle distribusjonskanaler. Installer bare applikasjoner fra leverandørens offisielle app-butikk. Installer aldri apper som kommer fra en ukjent tjeneste eller apper som krever at sikkerhetsinnstillinger endres for at du skal kunne installere dem.
13. Skill mellom jobb og privatliv
Husk at både dine private, personlige data og informasjon fra din jobb kan være sensitive og verdifulle. Dersom man bruker samme applikasjoner til både private og jobbformål, for eksempel meldingsapper, øker risikoen for at jobbinformasjon, også utilsiktet, deles med personer som ikke har rettmessig tilgang til informasjonen. Man bør av den grunn så langt det lar seg gjøre benytte dedikerte applikasjoner for jobb.