Slik sikrer vi oss

Sikkerhet og personvern henger sammen, og her er informasjonssikkerhet spesielt viktig. Husk de tre komponentene i KIT-triaden – konfidensialitet, integritet og tilgjengelighet – som alle er viktige å ivareta både i forretningssammenheng og som privatpersoner.
Vi har nevnt at Nasjonal sikkerhetsmyndighet beskriver IKT-sikkerheten i norske virksomheter som lav – men at bevisstheten rundt viktigheten av robust infrastruktur stadig blir bedre.
Menneskelige feil og tilkortkommenhet er ofte en inngang som brukes av cyberkriminelle. Derfor er det svært viktig at hver og en av oss vet hvilke grep vi kan ta for å sikre oss. Selv om datasikkerhet kan virke svært komplisert og uoversiktlig, er det nemlig mange relativt enkle forholdsregler vi kan ta for å begrense mengden data vi gir fra oss og for å beskytte dataene våre bedre.

Kryptering

yrpkngeit
Hvis du er god til å løse anagrammer, vil du kunne se at det er ordet «kryptering» vi har stokket om her. Men hva om vi kastet hver eneste bokstav, hvert tegn og mellomrom på denne siden opp luften, slik at de landet igjen i tilfeldig rekkefølge? Det ville du aldri klart å sette sammen igjen. Vi har ikke fjernet noe data, bare flyttet på det – og det blir likevel helt ubrukelig.
Det er slik kryptering fungerer: Data stokkes om, og bare de som har den hemmelige nøkkelen kan sette dem sammen igjen i riktig rekkefølge. Selv om noen andre skulle få tak i filene, vil de ikke kunne lese eller endre dem – for det vil fremstå fullstendig usammenhengende og meningsløst.
Kryptering gjøres vanligvis ved bruk av en kjent krypteringsalgoritme og en hemmelig krypteringsnøkkel – data låses slik at de ikke kan leses av dem som ikke har nøkkelen.
Gjennom kryptering og å ikke dele nøkkelen med uvedkommende kan du opprettholde konfidensialitet og integritet for informasjonen.
I noen tilfeller, hvis du blir utsatt for et løsepengevirus for eksempel, brukes kryptering mot deg. Selv om dataene fortsatt ligger på maskinen din, er de blitt uleselige og ubrukelige for deg fordi noen utenforstående har kryptert dem, og du mangler nøkkelen. Angriperne vil kreve løsepenger for å låse dem opp igjen.
Derfor lønner det seg å ha backup av filene flere steder, som på en ekstern harddisk utenfor angriperens rekkevidde.
Sørg også for å bruke HTTPS når du surfer på nettet. Dette er en kommunikasjonsprotokoll som bruker HTTP i kombinasjon med en krypteringsprotokoll for å hindre at uvedkommende får tilgang på dataene som utveksles. I nettleseren kan vi typisk se om HTTPS er brukt ved å sjekke om det er en hengelås mot venstre i adressefeltet.

To former for kryptering: symmetrisk og asymmetrisk

Ved symmetrisk kryptering brukes den samme nøkkelen for å låse og låse opp informasjonen. Fordelen er at krypteringen skjer raskt og effektivt. Dette brukes til alt fra disk- og filkryptering av databaser, konfigurasjonsfiler og dokumenter. Når det er et fåtall brukere som skal ha tilgang til de krypterte dataene – som kjenner og stoler på hverandre – fungerer dette fint.
Utfordringen kommer når nøklene skal distribueres til ulike brukere eller mellom parter som ikke nødvendigvis kjenner hverandre fra før, for eksempel over internett.
I slike tilfeller tar man i bruk asymmetrisk kryptering. Her benyttes to nøkler som er matematisk relatert til hverandre: en offentlig nøkkel som krypterer data og en privat nøkkel til dekryptering. Informasjon som er kryptert med den offentlige nøkkelen kan kun dekrypteres med den private nøkkelen som hører til.

Data obfuscation

Et begrep som kanskje ikke er like utbredt, men som likevel er greit å kunne, er data obfuscation (obfuscation kan oversettes som «tilsløring»).
Det viser til å erstatte sensitiv informasjon med data som fremstår som ekte, men som i realiteten er ubrukelig for uautoriserte. Dette står i kontrast til kryptering, som er en metode for å gjøre data fullstendig uleselige.
Det går også an å maskere informasjonen med data av en lignende struktur. Når data maskeres endres verdiene, for eksempel ved å bytte tall med bokstaver eller erstatte ord.
Man kan også erstatte data med meningsløse verdier og kreve at autoriserte brukere benytter seg av en tilknyttet «token» for at de skal gi mening. Dette kalles data tokenization.
Hensikten med data obfuscation er å gjøre det mulig å dele personlig og sensitiv informasjon uten at dataene kan misbrukes av andre. Slik kan en virksomhet opprettholde prosessene sine uten å utsette seg for risiko, for eksempel.

God passord-hygiene

Du har garantert hørt det uhyre mange ganger tidligere, men det er en grunn til det. Jevnt over er mange fortsatt for slappe når det gjelder passord, noe som kan utgjøre en betydelig sikkerhetsrisiko hvis de dårlige vanene tas med til arbeidsplassen. Med dårlig passord-hygiene går man seg selv til et lettere offer for cyberkriminelle.
Forholdsreglene for god passord-hygiene er enkle:
  • Ikke bruk samme passord på flere nettsider
  • Ikke bruk passord som andre kan gjette seg frem til
  • Ikke del passord med noen
  • Ikke lagre passord i nettleseren
  • Bruk tofaktorautentisering der det er mulig

Tofaktorautentisering

I tillegg til å ha unike, sterke passord er tofaktorautentisering (eller multifaktorautentisering) et av de aller viktigste passord-grepene du kan ta. Dette alene vil stoppe de aller fleste forsøk på å få tilgang på kontoene dine.
Dette gir nemlig et ekstra sikkerhetsnivå for innlogging, fordi du i tillegg til passordet må oppgi en engangskode. Denne genereres gjerne av en ekstern app og er bare tilgjengelig i et begrenset tidsrom. Noen ganger brukes ikke en slik tidsbegrenset kode, men for eksempel at du må bekrefte at det er deg via en annen app. Innlogging med BankID er også en form for tofaktorautentisering.

Bruk en passord-manager

I stedet kan en vurdere å bruke en passord-manager for å holde styr på all innloggingsinformasjonen sin. En passord-manager er en tjeneste som kan generere og lagre sterke passord på en trygg måte, der alt du må huske er et enkelt meget sterkt «masterpassord» for å få tilgang til hvelvet ditt.
Slike tjenester kan generere sterke, unike passord for hvert eneste nettsted, og flere av dem tilbyr flere sikkerhetsfunksjoner – som varsler om datainnbrudd på steder der du har en konto, varsler om gjenbrukte passord, og potensielt også støtte til håndtering av tofaktorkoder.
Husk at når du gjenbruker passord, og det blir gjort tilgjengelig et sted – for eksempel ved at en nettside blir hacket og brukernavn og passord gjøres tilgjengelig på en online markedsplass – kan de som får tilgang til passordet bruke det veldig mange andre steder også.
Mange nettsider tilbyr en innebygget «Husk passord»-funksjonalitet. Mens dette er en form for passord-manager, er ikke passordene her nødvendigvis tilstrekkelig sikret. Andre som bruker maskinen vil potensielt kunne se de lagrede passordene. Og er du uheldig å få et virus eller annen skadevare på datamaskinen, er det en mulighet for at programvaren vil få tilgang til passordene.

Bruk VPN

VPN (virtuelle private nettverk) er løsninger som krypterer datatrafikken din mellom din egen enhet og internett. Se for deg at du har en hemmelig tunnel fra der du bor, til ulike utganger helt andre steder i området. Dermed kan du gå i minibanken eller på shopping uten at noen kan skygge deg, se PIN-koden din over skulderen eller spionere på hva du har kjøpt.
En VPN-tjeneste vil på samme måte opprette en kryptert «tunnel» fra enheten din og ut på nettet, slik at ikke andre personer på nettverket kan fange opp trafikken og eksempelvis snappe opp hva du skriver på tastaturet ditt. VPN-krypteringen kommer da i tillegg til annen kryptering som har vært nevnt før, for eksempel i forbindelse med HTTPS.
VPN gir et ekstra lag med beskyttelse, og kan være spesielt aktuelt når man for eksempel bruker et åpent nettverk hvor man ikke har kontroll med hvilke andre enheter og brukere som også er på nettverket. En viktig forutsetning for trygg bruk av VPN er at man vet at man kan stole på VPN-tilbyderen. Det kan for eksempel handle om VPN-tjeneste som tilbys av din virksomhet.

Sikkerhetstiltak-huskeliste

Her er noen viktige tiltak du kan ta for å sikre seg mot datainnbrudd og misbruk av egne kontoer. Det er gjerne IT-avdelingen som tar seg av mye av dette i virksomheten din, og sørger for at disse tiltakene blir opprettholdt, men det er uansett relevant å kunne som ansatt og privatperson.