Nettkriminaliteten øker
Et heldigitalt pandemiår gjør at risikoen for å bli utsatt for nettkriminalitet øker. Eksperter mener kompetansen mangler.
E-postmelding etter e-postmelding forteller om millionbeløp som ligger og venter på deg, bare du trykker på den uthevede blå linken. Søppelposten florerer med spam-meldinger som tjenesten har forsøkt å sile ut fra havet av innkommende e-poster.
Mange har opplevd høyt trykk på svindel-e-post og dataangrep det foregående året. Anne Syvertsen (21) er en av dem som har fått svindelpost. Hun forteller om en av opplevelsene sine.
Hun blar ned i rekken av e-poster, og trykker seg inn på en tilsynelatende uskyldig e-post fra «Posten» om en pakke hun ikke har hentet, som hun nå må betale et ekstra gebyr på. Hun blir bedt om å trykke på en lenke som tar henne til betalingsplattformen.
Men Syvertsen venter ikke noen pakke.
Slike e-postmeldinger dukker opp med jevne mellomrom, og ikke uten grunn. Med en økning i bruk av digitale tjenester på grunn av koronapandemien, har internett plutselig blitt et skattekammer for hensynsløse, pengegriske svindlere og slue hackere.
Forsterket risikobilde
Ifølge den ferske rapporten «Risiko 2021» fra Nasjonal Sikkerhetsmyndighet (NSM), har koronapandemien forsterket risikobildet for flere typer digitale trusler i Norge. Det skyldes blant annet at flere virksomheter har hjemmekontor.
I rapporten står det følgende:
«Mange virksomheter har på kort tid utvidet sin bruk av skytjenester, hjemmekontor- og fjerntilgangsløsninger for å holde produktiviteten oppe. Det er krevende å opprettholde sikkerhetsnivået når utviklingen går så raskt, med et dynamisk og uoversiktlig sårbarhetsbilde».
Økning grunnet pandemien
En økt bruk av nettverk uten tilstrekkelig sikkerhet, utsetter flere for mulige dataangrep. IT-ekspert og administrerende direktør i Crayon AS Geir Øivind Gulliksen forteller at problemet med dårlig nettsikkerhet øker.
– Problemet med dataangrep er veldig stort, og det er økende. En viktig årsak er nok at det var kritisk for alle store virksomheter å gjøre IT-verktøy tilgjengelig fort da koronaen kom, slik at de ansatte kunne gjøre jobben sin hjemmefra, sier direktøren.
Han tror overgangen til hjemmekontor førte til dårligere sikkerhet.
– For å få IT-verktøyene til hjemmekontor rullet ut så raskt som nødvendig, så er min spådom at man har gått litt på kompromiss med sikkerheten. Det er det vi ser resultatet av nå, sier Gulliksen.
Økt bruk av hjemmekontor under pandemien har også skapt et uklart skille mellom jobb og privatliv. Gulliksen mener dette er en av utfordringene når det kommer til datasikkerhet.
– Fordi mor eller far har PC-en stående på bordet, så lar man barna kanskje spille på den, eller man er ikke så nøye på hva som er jobb, og hva som er privat. Erfaringsmessig ser vi at det er noen av utfordringene som man sliter med, sier eksperten.
Manglende kompetanse
Gulliksen har selv skrevet et innlegg i Dagens Næringsliv hvor han forklarer at datasikkerheten kom i andre rekke under pandemien, og at 2021 kommer til å bli «hackernes år». Her presiserer han problemet med for dårlig kompetanse innen nettsikkerhet.
– Jeg tror vi må bli flinkere på kunnskap, og med kunnskap mener jeg alt fra IT, til ledelse, til du og jeg som bruker. Så er det også viktig å ha på plass riktig teknologi, mener Gulliksen.
I NSM sin rapport blir det blant annet foreslått bedre sikkerhetskultur innen virksomheter som et tiltak, noe Gulliksen også understreker. Mangelen på god teknologi og kompetanse sammenlikner har med et våpenkappløp.
– Det er viktig å forstå at veldig mange av disse kriminelle sitter med topp moderne utstyr, og angriper kanskje en liten norsk kommune med relativt gammelt utstyr. Det blir som et våpenkappløp, hvor politiet har gamle biler og kjeltringene har nye raske biler, og så skal politiet prøve å ta dem igjen, sier han.
Vanskelig å skille
Anne Syvertsen blar videre nedover e-posten. Manglende kompetanse gjelder også i enkeltpersoners møte med svindelmail. Hun føler selv på manglende kunnskap. Mange blir nervøse i møte med e-poster fra “Sparebank 1”, som forteller om unormal aktivitet på kontoen din. Det er lettere å slappe av hvis du oppdager at avsenderen er «ingorjt @latgbhq.mks».
– Jeg tror ikke jeg har nok kunnskap til å vite om noe er svindel eller ikke. Men noen ganger kan det være lettere å oppdage hvis mail for eksempel inneholder lenker til ukjente nettsteder, eller hvis informasjonen i mailen ikke stemmer. Det er lett å bli blind for hva som er troverdig informasjon og hva som kan være svindel, sier hun.
Vil undersøke atferd
Risikorapporten og uttalelsene fra Gulliksen støtter påstanden rundt et økt trusselbilde og manglende kompetanse. For å undersøke noe av dette, har masterstudent Ann Kristin Sjøflot gjort en nettbasert undersøkelse av hvordan man håndterer dataangrep i arbeidslivet.
– Målet med undersøkelsen er å undersøke hvilke betingelser som kan påvirke atferd knyttet til informasjonssikkerhet og dataangrep i forskjellige virksomheter, forteller Sjøflot.
Undersøkelsen stiller blant annet spørsmål som hvordan mennesker forholder seg til dataangrep i arbeidslivet, ut fra blant annet erfaringer eller rutiner.
– Hva som påvirker atferden, er som oftest veldig sammensatt. Hvilken kunnskap folk har om dataangrep, for eksempel hvor godt de kjenner til rutiner og fremgangsmåter for å melde ifra, forklarer hun.
I tillegg kan konsekvensene av å melde ifra ha en betydning.
– Det kan ha noe å si om de har opplevd dataangrep selv, eller har kolleger som har opplevd det, og om det var aktuelt å melde ifra. I tillegg til hvilke konsekvenser det fikk, eller om man i det hele tatt tror det vil ha en hensikt å melde ifra, forklarer Sjøflot.
Sjøflot venter enda på alle resultatene av undersøkelsen, men tror og håper det vil gi en bedre innsikt i atferden vår i møte med dataangrep.
Mer bevissthet
Høyskolelærer Tom Drange underviser om nettverk og IT-sikkerhet på Noroff, og mener også kompetansen bør øke. I tillegg håper han at flere gjør seg på bevisste på hvor utsatte de faktisk er.
– Jeg håper virkelig at folk, og ikke minst bedrifter, får opp øynene og skjønner at de er utsatt selv om de ikke har «penger» på maskinene sine, skriver Drange i en e-post til Journalen.
I riskiorapporten fra NSM blir det også skrevet at det er viktig å gjøre gode vurderinger i forkant av bruk av nye tjenester:
"Virksomheter som har behov for å ta i bruk skyløsninger og tjenester fra datasenter, må sette seg godt inn i hvordan dette påvirker deres digitale sikkerhet og gjøre gode verdi- og risikovurderinger i forkant" står det.
Pandemi som øyeåpner
IT-ekspert Gulliksen håper pandemien har vært en øyeåpner for mange, men understreker at han tror mediene har skapt større bevissthet over viktigheten av IT-sikkerhet.
– Jeg tror vi er ekstra mye eksponert nå. Så jeg tror det er viktig nå at vi stopper litt opp, og prøver å rydde opp i de potensielle sikkerhetshullene vi har laget som resultat av at vi rullet ut disse teknologiske løsningene i en rekordfart for å imøtekomme korona, sier han.
Anne Syvertsen logger ut av e-postkontoen. Hun har et håp om at økt kompetanse og bedre opplæring kan bidra til mindre nettkriminalitet i fremtiden. I mellomtiden tror hun at nettsikkerhet i skolepensum kan være en start.
– Det er utrolig viktig å informere og lære mer om, slik at alle kan bidra med forebygging av nettkriminalitet, sier hun.