Nei, ofre for cyberkrim er ikke naive og godtroende
Det kan ikke være opp til den vanlige bruker å bygge et forsvar mot datakriminelle, skriver Harald Næss.
Innlegget er tidligere publisert i Finansavisen.
For en tid siden kunne vi lese om jobbsøkere til UD som hadde lagt inn sine data via en søker-portal. Dessverre hadde en trusselaktør kompromittert jobbportalen – og via falske script ble jobbsøkere bedt om å oppgi informasjon og bekrefte sin identitet. Slik ble uskyldige brukere fralurt personlige data og bankID-login detaljer. Det resulterte i at detaljert informasjon om fremtidig ansatte i UD trolig er på avveie, og noen av dem fikk også uønsket aktivitet mot bankkonto.
Var disse brukerene naive og godtroende? Eller var administrator-brukerene av jobbportalen naive og godtroende, slik det ble utlagt av en informatikkprofessor som uttalte seg?
Etter min mening er svaret i begge tilfeller nei, og det er svært uheldig at vi fra autoritært hold stigmatiserer ofre for datakriminalitet. Å «snakke ned» ofrene bidrar ikke til den nødvendige åpenheten vi må ha i kampen mot cybertrusler, dessuten er det slik at selv de mest kompetente kan bli rammet: Det omfattende «Solar Winds» angrepet traff 18.000 virksomheter, inklusive sikkerhetsselskaper, IT-industri og offentlige myndigheter blant annet i USA. Ingen kan beskylde dem for å være «naive og godtroende».
Vi trenger åpenhet for å bli mere bevisste om trusselbildet i det digitale rom, og vi må forstå at alle kan bli rammet. Åpenhet er også svært viktig for å lære av hendelser.
Vårt tids datakriminelle har høy kompetanse, de har ofte mye ressurser og er brutalt kyniske. Derfor kan det ikke være opp til den vanlige bruker å bygge et forsvar mot dette. Her er det eieren av IT-systemene som sitter på nøkkelen og som må treffe de riktige tiltakene for å sikre at nettsider eller portaler ikke lar seg kompromittere.
Hvis din virksomhet eier et nettsted eller en søkeportal, så er det ditt ansvar å forvalte de data som legges inn via denne, og det må være virksomhetens ansvar å kontinuerlig overvåke at nettstedet ikke er tatt over av en annen aktør. Her må man aktivt søke å utnytte teknologi gjennom å logge og analysere aktiviteter og nettverkstrafikk, ved å ha god styring på oppdateringer og ved å ha kontroll på rettigheter og tilganger.
En vanlig bruker må kunne forvente at systemer som tilbys allmenheten er sikre, at de har integritet, at alle data og personopplysninger oppbevares forskriftsmessig og at informasjon ikke deles eller misbrukes. Moderne IT-systemer må tilby sikkerhet til sine brukere, ikke utgjøre en risiko for dem.
Her har fortsatt systemeiere ansvaret, og leverandørene av IT-løsninger trolig en jobb å gjøre. Men skyld ikke på brukeren!