Et spørsmål om tillit
For oss som bor i Kardemomme by er kanskje det viktigste å forstå at vi ikke lever i en Kardemomme verden.
av Roar Thon
I slutten av forrige uke kunne vi lese i nyhetene om at nordmenn nå blir oppringt fra norske telefonnummer av noen som utgir seg for å være fra Microsoft brukerstøtte, eller enda verre (Windows brukerstøtte … hva nå det er?) Selve telefonsamtalenes innhold er det flere som har skrevet og advart om tidligere, inkludert meg selv. Det som er «nytt» med denne type svindel nå, er at svindlerne får det til å se ut som om det er norske telefonnummer det ringes fra.
Skal vi i iveren etter å bevisstgjøre og advare mot svindel og andre uhumskheter på nett, stanse opp litt? Trenger vi nødvendigvis forklare dette i detalj? Trenger folk å forholde seg til, eller vite at det å forfalske et mobilnummer kalles for spoofing? Må de egentlig kunne forskjellen på «norske» ord som phishing, spear phishing, og whaling? Eller hva med CEO svindel, nettfiske og trojanske hester?
Jeg må tilstå at jeg selv bruker alle disse ordene i forsøket på å bidra til at vi forbedrer vår sikkerhetsadferd. Men gjør vi det bare vanskelig for oss selv? Trenger folk flest egentlig å vite hva de forskjellige metodene heter? Spiller det egentlig noen rolle om telefonsamtalen kommer i fra Norge eller utlandet? Begge samtalene fra «Microsoft» er forsøk på svindel. Det er kanskje det vi skulle bli enda bedre på å forstå. Når noen forsøker å lure/svindle oss er det viktigere å reagere riktig enn å vite navnet på svindelmetoden. Det å ha kunnskap blir sjelden galt, men det er ikke noe automatikk at vi omsetter den kunnskapen til reell adferd.
De av oss med noen år på baken har lengre erfaring med telefonsamtaler, enn vi har å surfe på Internett. Likevel blir vi lurt via telefonen. En av årsakene til det kan være at når tema blir «teknologisk» som i «Microsoft telefonene» stoler vi på de «sakkyndige» i den andre enden av røret. Om det er fastlegen din eller en engelsk/indisk person som hevder at du har et «virus» er det få av oss som protesterer. Vi vil bare ha hjelp til å få det fikset og her har vi en fagperson som kan hjelpe oss med det. Vi stoler vel på fastlegen vår, gjør vi ikke? Så hvorfor ikke vise den samme tilliten til folk fra «Microsoft»?
Er tillit positivt i det digitale rom?
En faktor når det gjelder sikkerhet i det digitale rom er nettopp nordmenns høye tillit til sine omgivelser. En tillit som i stor grad kan sies å være positiv, og som bidrar til at vi lever i det samfunnet vi har i dag. Tillit kan være en sosial styrke. Baksiden av denne tilliten kan være at vi blir veldig lett å lure. I møtet med andre krefter som har en betydelig større vilje til å bruke kyniske og manipulerende metoder er ikke nødvendigvis tillit den beste forsvarsmekanismen. Selv om vi innehar kunnskap om de kyniske metodene som brukes imot oss, så er heller ikke det nødvendigvis redningen. Spesielt ikke om vi fortsatt utviser tillit til alt og alle i hverdagen.
Når vi som mennesker i tillegg går inn i det «digitale rom» (håpløst begrep, egentlig) «mister» vi noen av våre sanser. Sanser som vi blant annet bruker til å vurdere risiko og fare. Jeg snakker om våre sanser som å kunne ta, lukte og smake på det rundt oss. Selvsagt kan du ta på mobiltelefonen din, du kan sågar bite i den. Men den kommer ikke til å gi deg noen feedback om hvorvidt du befinner deg i en risiko- og/eller farefylt situasjon. Dermed står vi igjen med at vi kan se og høre på det som skjer på mobil, pc og nettbrettskjermen vår, og når noen ringer kan vi lytte. Men mest av alt er det viktig å bruke hodet.
Naivitet er et ord som ofte brukes av oss sikkerhetsfolk, og det er mange som mener at vi ikke skal kalle «brukerne» naive. Det er kanskje et ord som representerer noe negativt, men jeg opplever det vanskelig å skulle skryte av brukere for at de har en høy grad av tillit til sine medmennesker. Spesielt når det påvirker oss i en sikkerhetsmessig sammenheng. Det finnes kanskje andre ord som godtroende, intetanende og uskyldig som kan brukes, men jeg er usikker på om det ikke er naivt å ikke forholde seg til at folk har en tendens til å være litt naive i det «digitale rom». Kanskje skulle vi også skulle slutte å bruke ord som tillit/naivitet
En annen årsak til at vi nordmenn kan være lettere å lure enn mange andre, handler om at mange av oss har det godt økonomisk og at pengene kanskje sitter litt lett. Det som står på spill for oss når vi svindles for tusen kroner er kanskje ikke det samme for de som svindler oss. Noen av svindlerne kan brødfø en hel familie for den samme summen. Samtidig er det viktig å forstå at på langt nær all nettsvindel kommer i fra land i den tredje verden.
Nå er det ikke slik at det bare er nordmenn som blir lurt på nett. Dette er en global utfordring. Nettsvindel eller datakriminalitet er blitt bra butikk for de som driver i den bransjen. De er i stor grad avhengig av å lure andre mennesker for å lykkes. For oss som bor i Kardemomme by er kanskje det viktigste å forstå at vi ikke lever i en Kardemomme verden.
Så da er jeg tilbake til spørsmålet om vi ikke burde fokusere mer på å kommunisere det «enkle» faktum at det finnes mange der ute som forsøker å lure deg på nett, på telefon eller i gata. Det er kanskje det vi bør øke bevisstheten om. I større grad enn å lære bort navnet på metodene burde kanskje enkelte av sikkerhetsbudskapene bli enklere enn de er i dag?
Jeg har ikke svaret, jeg er bare tillitsfull eller naiv nok til å spørre.