Slik sikrer vi oss

Sikkerhet og personvern henger sammen, og her er informasjonssikkerhet spesielt viktig. Husk de tre komponentene i KIT-triaden – konfidensialitet, integritet og tilgjengelighet – som alle er viktige å ivareta både i forretningssammenheng og som privatpersoner.

Vi har nevnt at Nasjonal sikkerhetsmyndighet beskriver IKT-sikkerheten i norske virksomheter som lav – men at bevisstheten rundt viktigheten av robust infrastruktur stadig blir bedre.

Menneskelige feil og tilkortkommenhet er ofte en inngang som brukes av cyberkriminelle. Derfor er det svært viktig at hver og en av oss vet hvilke grep vi kan ta for å sikre oss. Selv om datasikkerhet kan virke svært komplisert og uoversiktlig, er det nemlig mange relativt enkle forholdsregler vi kan ta for å begrense mengden data vi gir fra oss og for å beskytte dataene våre bedre.

Hvis du er god til å løse anagrammer, vil du kunne se at det er ordet «kryptering» vi har stokket om her. Men hva om vi kastet hver eneste bokstav, hvert tegn og mellomrom på denne siden opp luften, slik at de landet igjen i tilfeldig rekkefølge? Det ville du aldri klart å sette sammen igjen. Vi har ikke fjernet noe data, bare flyttet på det – og det blir likevel helt ubrukelig.

Det er slik kryptering fungerer: Data stokkes om, og bare de som har den hemmelige nøkkelen kan sette dem sammen igjen i riktig rekkefølge. Selv om noen andre skulle få tak i filene, vil de ikke kunne lese eller endre dem – for det vil fremstå fullstendig usammenhengende og meningsløst.

Kryptering gjøres vanligvis ved bruk av en kjent krypteringsalgoritme og en hemmelig krypteringsnøkkel – data låses slik at de ikke kan leses av dem som ikke har nøkkelen.

Gjennom kryptering og å ikke dele nøkkelen med uvedkommende kan du opprettholde konfidensialitet og integritet for informasjonen.

I noen tilfeller, hvis du blir utsatt for et løsepengevirus for eksempel, brukes kryptering mot deg. Selv om dataene fortsatt ligger på maskinen din, er de blitt uleselige og ubrukelige for deg fordi noen utenforstående har kryptert dem, og du mangler nøkkelen. Angriperne vil kreve løsepenger for å låse dem opp igjen.

Derfor lønner det seg å ha backup av filene flere steder, som på en ekstern harddisk utenfor angriperens rekkevidde.

Sørg også for å bruke HTTPS når du surfer på nettet. Dette er en kommunikasjonsprotokoll som bruker HTTP i kombinasjon med en krypteringsprotokoll for å hindre at uvedkommende får tilgang på dataene som utveksles. I nettleseren kan vi typisk se om HTTPS er brukt ved å sjekke om det er en hengelås mot venstre i adressefeltet.

Et begrep som kanskje ikke er like utbredt, men som likevel er greit å kunne, er data obfuscation (obfuscation kan oversettes som «tilsløring»).

Det viser til å erstatte sensitiv informasjon med data som fremstår som ekte, men som i realiteten er ubrukelig for uautoriserte. Dette står i kontrast til kryptering, som er en metode for å gjøre data fullstendig uleselige.

Det går også an å maskere informasjonen med data av en lignende struktur. Når data maskeres endres verdiene, for eksempel ved å bytte tall med bokstaver eller erstatte ord.

Man kan også erstatte data med meningsløse verdier og kreve at autoriserte brukere benytter seg av en tilknyttet «token» for at de skal gi mening. Dette kalles data tokenization.

Hensikten med data obfuscation er å gjøre det mulig å dele personlig og sensitiv informasjon uten at dataene kan misbrukes av andre. Slik kan en virksomhet opprettholde prosessene sine uten å utsette seg for risiko, for eksempel.

Du har garantert hørt det uhyre mange ganger tidligere, men det er en grunn til det. Jevnt over er mange fortsatt for slappe når det gjelder passord, noe som kan utgjøre en betydelig sikkerhetsrisiko hvis de dårlige vanene tas med til arbeidsplassen. Med dårlig passord-hygiene går man seg selv til et lettere offer for cyberkriminelle.

Forholdsreglene for god passord-hygiene er enkle:

I tillegg til å ha unike, sterke passord er tofaktorautentisering (eller multifaktorautentisering) et av de aller viktigste passord-grepene du kan ta. Dette alene vil stoppe de aller fleste forsøk på å få tilgang på kontoene dine.

Dette gir nemlig et ekstra sikkerhetsnivå for innlogging, fordi du i tillegg til passordet må oppgi en engangskode. Denne genereres gjerne av en ekstern app og er bare tilgjengelig i et begrenset tidsrom. Noen ganger brukes ikke en slik tidsbegrenset kode, men for eksempel at du må bekrefte at det er deg via en annen app. Innlogging med BankID er også en form for tofaktorautentisering.

I stedet kan en vurdere å bruke en passord-manager for å holde styr på all innloggingsinformasjonen sin. En passord-manager er en tjeneste som kan generere og lagre sterke passord på en trygg måte, der alt du må huske er et enkelt meget sterkt «masterpassord» for å få tilgang til hvelvet ditt.

Slike tjenester kan generere sterke, unike passord for hvert eneste nettsted, og flere av dem tilbyr flere sikkerhetsfunksjoner – som varsler om datainnbrudd på steder der du har en konto, varsler om gjenbrukte passord, og potensielt også støtte til håndtering av tofaktorkoder.

Husk at når du gjenbruker passord, og det blir gjort tilgjengelig et sted – for eksempel ved at en nettside blir hacket og brukernavn og passord gjøres tilgjengelig på en online markedsplass – kan de som får tilgang til passordet bruke det veldig mange andre steder også.

Mange nettsider tilbyr en innebygget «Husk passord»-funksjonalitet. Mens dette er en form for passord-manager, er ikke passordene her nødvendigvis tilstrekkelig sikret. Andre som bruker maskinen vil potensielt kunne se de lagrede passordene. Og er du uheldig å få et virus eller annen skadevare på datamaskinen, er det en mulighet for at programvaren vil få tilgang til passordene.

VPN (virtuelle private nettverk) er løsninger som krypterer datatrafikken din mellom din egen enhet og internett. Se for deg at du har en hemmelig tunnel fra der du bor, til ulike utganger helt andre steder i området. Dermed kan du gå i minibanken eller på shopping uten at noen kan skygge deg, se PIN-koden din over skulderen eller spionere på hva du har kjøpt.

En VPN-tjeneste vil på samme måte opprette en kryptert «tunnel» fra enheten din og ut på nettet, slik at ikke andre personer på nettverket kan fange opp trafikken og eksempelvis snappe opp hva du skriver på tastaturet ditt. VPN-krypteringen kommer da i tillegg til annen kryptering som har vært nevnt før, for eksempel i forbindelse med HTTPS.

VPN gir et ekstra lag med beskyttelse, og kan være spesielt aktuelt når man for eksempel bruker et åpent nettverk hvor man ikke har kontroll med hvilke andre enheter og brukere som også er på nettverket. En viktig forutsetning for trygg bruk av VPN er at man vet at man kan stole på VPN-tilbyderen. Det kan for eksempel handle om VPN-tjeneste som tilbys av din virksomhet.