Oversikt over artikler

Informasjonssikkerhet

Informasjons- og kommunikasjonsteknologi brukes på stadig flere områder og bruken blir mer omfattende. Viktige funksjoner i samfunnet er avhengig av velfungerende informasjonssystemer og den viktigste informasjonen om hver enkelts identitet og livsførsel blir lagret i databaser. Det er nok å nevne personregister, eiendomsregister og banksystemer som sentrale og viktige informasjons¬databaser som vi alle sammen må kunne stole på.

Informasjonssikkerhet vil si å ivareta informasjonssystemenes konfidensialitet, integritet og tilgjengelighet. I tillegg er det viktig å sørge for at elektronisk kommunikasjon foregår på en forpliktende måte slik at ingen av partene kan nekte for at kommunikasjonen har funnet sted, såkalt ikke-benekting i en noe haltende norsk terminologi.

Truslene mot informasjonssikkerheten er mange. De fleste av oss har kjennskap til at datavirus, uønsket e-post og kanskje datainnbrudd er trusler mot informasjonssikkerheten, og noen har kanskje til og med måtte håndtere slike problemer enten hjemme eller på arbeidsplassen.

For noen år tilbake var det kanskje slik at datainnbrudd og utvikling av virus bare ble utført av datainteresserte unge som først og fremst ønsker å vinne status ved å få oppmerksomhet fra likesinnede. Nå er det mer sannsynlig at skadelig programvare laget av profesjonelle kriminelle utviklere og de er bare en del av et mye større kriminelt nettverk. En del av virksomheten kan være å samle lister med normale e-postadresser og uskyldige og lovlige meldinger som inneholder vitser eller kjedebrev kan bli brukt som virkemiddel i slik innsamling. Åpne kilder som websider eller sosiale nettsteder kan også være kilder for innsamling av adresser. Når et tilstrekkelig antall adresser er samlet vil andre aktører være villige til å kjøpe adresselistene for å bruke dem til utsendelse av ulike former for uønsket e-post. Tvilsomme tilbud på vidundermedisiner er kanskje den mest uskyldige formen for uønsket e-post. Meldinger som har som formål å etablere en kontakt som ender i en stor svindel er mer alvorlig, og det blir også sendt ut meldinger som har som formål å lure naive brukere inn på falske nettsider der de gir fra seg sin brukeridentitet og passord i den tro at de utfører en vanlig sikker pålogging hos sin nettbank eller

Noen lager skadelig programvare som kan spres via websider. Når den skadelige programvaren har blitt spredd som virus til mange PCer over hele verden vil i sin tur kunne brukes til å rette angrep mot et bestemt mål, og de som har kontroll over et slikt nettverk, kan leie det ut til den som kan betale for et angrep og som kanskje i sin tur tjener penger på å presse lovlige virksomheter til å betale ”forsikring” eller løsepenger for å fri seg fra angrepene. Datakriminaliteten har med andre ord blitt overtatt av organiserte kriminelle som spesialiserer seg på ulike deler av virksomheten og som kjøper og selger tjenester av hver andre.

Brudd på informasjonssikkerheten koster virksomheter og samfunnet store summer hvert år. Det har lenge vært klart at offisiell statistikk over saker som blir anmeldt til politiet ikke gjenspeiler det virkelige omfanget av problemet. For å få en mer fullstendig oversikt gjennomfører utvalget for datakriminalitet i Næringslivets sikkerhetsråd hvert år den såkalte mørketallsundersøkelsen. Undersøkelsen forsøker å belyse forskjellene mellom antallet sikkerhetshendelser som faktisk skjer, og det antallet som blir anmeldt. Tallene for 2008 anslår at norske bedrifter blir utsatt for 4400 datainnbrudd pr år og at det koster bedriftene 571 millioner kroner. Halvparten av kostnadene knytter seg til ekstraarbeid for å rydde opp etter hendelsen. En annen betydelig kostnad kommer av at innbruddene fører til driftsavbrudd og utilgjengelighet for de systemene som blir rammet.

Selv om truslene fra utsiden av en virksomhet er sterkt økende, er det et faktum at de fleste brudd på informasjonssikkerheten blir utført fra innsiden av egne ansatte. Slike trusler har vanligvis blitt eksemplifisert med misfornøyde og illojale medarbeidere med et hevnmotiv eller andre onde hensikter. En nylig publisert spørreundersøkelse fra USA viser at de ansvarlige for informasjons-sikkerheten også må rette sin oppmerksomhet i en annen retning. Undersøkelsen er gjennomført av Ponemon instituttet. Det ble innhentet opplysninger fra over 1000 amerikanske bedrifter og disse tallene ble sammenstilt med data fra tilsvarende undersøkelser i Frankrike, Storbritannia og Tyskland. Bedriftene ble spurt om de hadde hatt brudd på datasikkerheten, hva som var årsaken til hendelsene og hvordan de ble oppdaget. 79 prosent oppgir at de har hatt minst ett sikkerhetsbrudd der intern informasjon har kommet på avveie. Skjødesløse ansatte blir oppgitt som årsak i trefjerdedeler av tilfellene, og ansatte med onde hensikter i vel en fjerdedel. Datainnbrudd fra utsiden ble oppgitt som årsak i bare 1 prosent av tilfellene.

De fleste av oss vil kanskje nikke gjenkjennende til disse konklusjonene og medgi at også på vår arbeidsplass er det ikke alle som følger retningslinjene, og kanskje hender det også at vi av og til tar en snarvei og tar med oss noen taushetsbelagte dokumenter på en minnepinne for å jobbe med dem hjemme.

Tradisjonelle sikkerhetstiltak som brannmurer og sikker pålogging har ingen innvirkning på egne ansatte som utfører sikkerhetsbrudd i vanvare eller fordi de bevisst velger å overse interne retningslinjer. Det har dessuten lett for å bli konflikter mellom de som skal ivareta sikkerheten og ansatte som ønsker mest mulig lettvint tilgang til all informasjon og verktøy for informasjonsbehandling. IT-sjefen sier gjerne nei til bærbare PCer og e-post på mobilen fordi sikkerheten ikke er god nok, mens de ansatte med en travel hverdag gjerne vil ha de nyeste løsningene for å kunne jobbe i ledige stunder hjemme, på hytta eller på reise. Det finnes til og med eksempler på at ledere er verstinger i forhold til å gi blaffen i de interne retningslinjene. De mener gjerne selv at de har store behov for det nyeste nye innen tekniske løsninger og de har både ressurser og myndighet til å overstyre de retningslinjene som er laget for å ivareta sikkerheten i informasjonsbehandlingen.

Sikkerhetseksperter anbefaler at det i slike tilfeller må settes inn tiltak for å øke bevisstheten og forbedre holdningene til sikker informasjonsbehandling. Tydelig informasjon om hvorfor virksomheten har retningslinjer for informasjonssikkerhet er et bra sted å starte. I de virksomhetene som behandler sensitive personopplysninger er kravene til informasjonssikkerhet lovpålagt og alle ansatte undertegner taushetserklæringer der de forplikter seg til å opptre i samsvar med lover, forskrifter og interne retningslinjer. Det kan også være nødvendig med et ris bak speilet i form av registrering av hver ansatts handlinger i informasjonssystemet samt rutiner der slike logger blir analysert og mistenkelige hendelser undersøkt nærmere. Vanligvis vil et slikt system gjøre det mulig å oppklare de sikkerhetsbrudd som oppstår og i tillegg vil det ha en svært god preventiv virkning i organisasjonen.

Lover og regelverk både i Norge og internasjonalt pålegger ledelsen i virksomhetene ansvaret for at informasjonssikkerheten blir ivaretatt, men når det kommer til den praktiske gjennomføringen av sikkerhetstiltakene, er det først og fremst fagfolkene innen IKT som må ta disse utfordringene på alvor og finne gode løsninger. IKT-miljøet ved høgskolen i Ålesund har tatt den ufordringen på alvor og fra inneværende studieår er informasjonssikkerhet tatt inn som obligatorisk fag med 10 studiepoeng for alle studenter på studiet bachelor i ingeniørfag innen data. Vi er sikre på at kunnskaper om informasjonssikkerhet vil bli etterspurt i næringslivet og at faget vil bidra til at våre nyutdannede dataingeniører vil være ennå mer attraktive for arbeidsgivere.

Til våren vil høgskolen også tilby et kurs for alle som har behov for etterutdanning i informasjonssikkerhet.

Fagmiljøet ved høgskolen har i tillegg vært pådrivere for etablering av en faggruppe for informasjonssikkerhet som er etablert i regi av Den norske Dataforening på Nord-Vestlandet. Via faggruppen er det knyttet kontakter med representanter i næringslivet og det er intensjonen å få til en løpende aktivitet for å sette fokus på både felles problemstillinger og de løsningene som er tilgjengelige.

Oversikt over artikler