Nå snik dei seg inn via menneske:Du er mål nummer ein!Menneske er i ferd med å bli mål nummer ein<strong>for</strong> kriminelle, seier Lance Spitzner fra USA.<strong>Konferanseavis</strong> <strong>for</strong> <strong>NSMs</strong> <strong>sikkerhetskonferanse</strong> 2009Spitzner er mannen bak det såkallaHoneynett-prosjektet, ein frivilliginternasjonal organisasjon med fokus påIT-tryggleik. Gjennom PC-er på nett, låstmed ein enkel lås, kan deltakarane sjå omnokon prøver å bryte seg inn, kva slagsteknikkar dei bruker, analysere angrepaog virusa, og dele in<strong>for</strong>masjonen medandre som er opptekne av IT-tryggleik.Datanerden har blant anna erfaring fråden amerikanske hæren. Og han meinermennesket i tryggingssamanheng er eitsvakt punkt.- Organisasjonar bruker store mengdertid, pengar og ressursar på å verneteknologi. Dei kjøper den siste programvara,maskinvara og hjelpemidla. Detverkar. Kriminelle på internett har funneut at det er mykje enklare og meir kostnadseffektivtå rette seg mot mennesketbak. Menneske, og ikkje teknologi, er detsvakaste punktet, seier han.Gjer <strong>for</strong> liteDei fleste tilsette ser ikkje på seg sjølvsom eit mål. Dei trur at tryggleik er eitproblem <strong>for</strong> selskapet dei jobbar i, og atdei sjølv ikkje blir angripe. Der<strong>for</strong> gjerdei lite <strong>for</strong> å verne seg sjølv og organisasjonen,samtidig som dei i realiteten erdet viktigaste målet <strong>for</strong> dei kriminelle.Teknologien endrar seg, men det gjerikkje menneske, seier Spitzner.- Vi ser igjen og igjen at kriminellebruker dei same knepa <strong>for</strong> å få det dei vilha, vi kan kalle det å hacke hovudet (eller"hacking the mind", som Spitzner kallardet). For å seie det enkelt: Den enklastemåten ein kriminell kan få kontroll overPC-en din på, eller stele passordet ditt, errett og slett å spørje.Menneske er rett og slett elendigei å vurdere risiko, i følgje Spitzner. Detmennesket fryktar mest er ofte det minstfarlege. For å ta fly som eksempel: Fly ersikrare enn bil, likevel er det å fly det folker mest redd <strong>for</strong>. Den same mistydingaom risiko og farar på internett berre aukarproblemet, seier Spitzner. Internett er einperfekt stad <strong>for</strong> å lure folk. Det er så enkelt<strong>for</strong> kriminelle å late som dei er nokondu stolar på, og dei kan på ein billig måteautomatisere desse angrepa mot bokstavlegtalt millionar av menneske.- Kva er dei største ut<strong>for</strong>dringane medtilsette i organisasjonar?- Den største ut<strong>for</strong>dringa er at menneskeikkje er klare over at dei er eit mål,og at dei treng å verne seg sjølv. Dersomdei ikkje kan sjå eller ta på det, så ofrardei det ikkje ein tanke. Uheldigvis skjerein stor del av våre aktivitetar ikkje lengeri det fysiske rommet, men på internett, ogdet er der dei største risikoane er."Dei fleste tilsette ser ikkjepå seg sjølv som eit mål.Dei trur at tryggleik er eitproblem <strong>for</strong> selskapet deijobbar i."Bruk tid og ressursarKva skal ein så gjere med dette svakepunktet som menneske er, elendige somvi er til å vurdere risiko, til å innsjå at vi- Menneske er ikkje klare over at dei er eit mål, ogat dei treng å verne seg sjølv, seier Lance Spitzner.(Illustrasjonsfoto: Colourbox.no)kan bli angripe, og elendige til å sikre osssjølv og organisasjonane våre? Svareter rett og slett å lære opp folk, i følgjeSpitzner. Men også der trår mange organisasjonarfeil.- Mange organisasjonar prøver å læreopp dei tilsette, med gode intensjonar.Ofte gjer dei ein veldig dårleg jobb,overveldar folk med <strong>for</strong> mykje, <strong>for</strong>virrandeeller <strong>for</strong> teknisk in<strong>for</strong>masjon, ellerberre dårleg kommunisert in<strong>for</strong>masjon.Alt som blir kravd er å investere i tid ogressursar. Organisasjonar kan få ei veldigstor avkastning på ei slik investering, ettersomdei svakaste punkta deira kan bliden største styrken.Foredrag: Securing the Human. Onsdag18. november kl. 09.00.Nordmenn er naiveNordmenn er Europas mest tillitsfulle– eller naive folkeferd. Det viser en europeiskundersøkelse fra European SocialSurvey (ESS). Fire av fem nordmennsier de ”stoler på folk flest”. – Naiv ellertillitsfull er vel to sider av samme sak. Erdu tillitsfull, er du selvfølgelig lett å lure,sier professor Anders Todal Jensen vedNTNU. (Aftenposten 15. oktober 2009)Svensker er naiveSvenske virksomheter er <strong>for</strong> naive i sittsyn på hva slags trusler de står over<strong>for</strong>.Det sier kriminalinspektør Peder Qvist iSäpo til Dagens Industri. Virksomheterbør identifisere hva som bør beskyttes,analysere trusselbildet, og ikke snakkeom bedriftshemmeligheter i mobilen,i følge det svenske sikkerhetspolitiet.(dagensps.se 19. oktober 2009)Lurte nesten FBI-sjefenFBIs sjef Robert Mueller har sluttet mednettbank etter at han nesten ble lurt til åoppgi brukernavn og passord. En e-postsom så ut som som e-postene fra bankengjorde at han bare var få klikk unna til åbegå feil. Etter å ha nevnt hendelsen <strong>for</strong>kona var tilbakemeldingen: - Det er vårepenger. Det blir ikke noe mer nettbank<strong>for</strong> deg. (Network World 10. juli 2009)10
Sikkerhetskultur:Hvor<strong>for</strong> gjør folk dumme ting?- Det som sitter mellom øra er den viktigste sikkerhetsmekanismensom finnes. Det gjelder bare å aktivisere den, sier RoarThon. Onsdag holderhan <strong>for</strong>edrag omhvor<strong>for</strong> folk gjørdumme ting.Mennesker kan være en av de beste garantistene <strong>for</strong> god sikkerhet. (Illustrasjonsfoto: Colourbox.no)”Dumme” ting kan i følge Thon værealt fra å miste viktig in<strong>for</strong>masjon, skapesårbarheter ved å sette inn minnepinnermed virus og så videre. Dumme tingkan også bli gjort ut fra ren høflighet, <strong>for</strong>eksempel å slippe inn folk som ikke skalha tilgang, eller oppgi sensitive opplysningertil folk som ikke skal ha de, rett ogslett <strong>for</strong>di de virker hyggelige.- Vi sier gjerne at mennesket er sikkerhetenssvakeste ledd. Men jeg tror personligat mennesker kan være en av debeste garantistene <strong>for</strong> en god sikkerhet,så lenge de har skjønt hvor<strong>for</strong> sikkerheter viktig, og handler deretter, sier Thon.Han jobber til daglig med sikkerhetskulturi Nasjonal sikkerhetsmyndighet,og er stadig på farten med <strong>for</strong>edrag omnettsamfunn, sikkerhetskultur, sosialmanipulasjon med mer.Følger ikke rutineneDen vanligste feilen er å ikke følge sikkerhetsrutineneog reglene som gjelder.Gode instrukser og gode tekniskesystemer kan bli torpedert av én ansattsom ikke følger reglene. Det skjer ofte<strong>for</strong>di det er tungvint med sikkerhet, dettar <strong>for</strong> lang tid, uvaner blir til sedvane, ogorganisasjoner med gode rutiner på papiretkan oppleve noe helt annet når man"Der hvor lederen har etfokus på hva sikkerhet erog hva slags betydning dethar <strong>for</strong> virksomheten, vil deansatte også ha et fokus påsikkerhet."11ser på praksisen. Det å beskytte in<strong>for</strong>masjonog systemer er heller ikke bestandigselvsagt.- Folk skjønner lettere hvor<strong>for</strong> manskal gå med hjelm på en byggeplass, ellerhvor<strong>for</strong> man ikke røyker på en borerigg iNordsjøen. Det kan være vanskeligere åfå en kontoransatt til å passe på in<strong>for</strong>masjonenhun eller han jobber med, <strong>for</strong>diman tror at det ikke går ut over seg selvhvis noe skulle skje. Allikevel kan konsekvensenevære ganske drastiske. I sin ytterstekonsekvens kan det føre til en fare<strong>for</strong> rikets sikkerhet eller selvstendighet,det kan være tap av menneskeliv, eller tapav store materielle verdier. En konkurranseutsattbedrift kan miste <strong>for</strong>trinnetog gå konkurs <strong>for</strong>di viktig in<strong>for</strong>masjonblir stjålet.Må trene ryggmargsrefleksen- Hva er det viktigste å huske på når detgjelder sikkerhetskultur?- Det første er å innse at alle har ensikkerhetskultur, på godt eller vondt.Sikkerhetskultur er ikke noe man implementerereller kjøper av konsulenter. Detneste er å gi de ansatte kunnskap om og<strong>for</strong>ståelse og motivasjon <strong>for</strong> hvor<strong>for</strong> tingskal gjøres på bestemte måter. Samtidiger det viktig å huske på at vi snakkerom menneskelig atferd. Av og til gjørvi dumme ting <strong>for</strong>di vi er mennesker pågodt og vondt.- Har virksomhetene en god sikkerhetskultur?- I varierende grad. Man finner veldig<strong>for</strong>t svaret på det om man spør omlederne er interessert i sikkerhet. Derhvor lederen har et fokus på hva sikkerheter og hva slags betydning det har <strong>for</strong>virksomheten, vil de ansatte også ha etfokus på sikkerhet. Sikkerhet er noe sombør sitte i ryggraden. Det skal være noeman gjør uten å tenke seg om. De flestelåser døra når de drar fra huset sitt ommorgenen. Det er sikkerhet. Man måaltså trene opp ryggmargsrefleksen, sierRoar Thon.Foredrag: Hvor<strong>for</strong> folk gjør dummeting – og hvordan <strong>for</strong>bedre sikkerhetskulturen.Onsdag kl. 12.50.<strong>Konferanseavis</strong> <strong>for</strong> <strong>NSMs</strong> <strong>sikkerhetskonferanse</strong> 2009