Konferanseavis for NSMs sikkerhetskonferanse 2009.

More documents

Recommendations

Info

Nå snik dei seg inn via menneske:Du er mål nummer ein!Menneske er i ferd med å bli mål nummer einfor kriminelle, seier Lance Spitzner fra USA.Konferanseavis for NSMs sikkerhetskonferanse 2009Spitzner er mannen bak det såkallaHoneynett-prosjektet, ein frivilliginternasjonal organisasjon med fokus påIT-tryggleik. Gjennom PC-er på nett, låstmed ein enkel lås, kan deltakarane sjå omnokon prøver å bryte seg inn, kva slagsteknikkar dei bruker, analysere angrepaog virusa, og dele informasjonen medandre som er opptekne av IT-tryggleik.Datanerden har blant anna erfaring fråden amerikanske hæren. Og han meinermennesket i tryggingssamanheng er eitsvakt punkt.- Organisasjonar bruker store mengdertid, pengar og ressursar på å verneteknologi. Dei kjøper den siste programvara,maskinvara og hjelpemidla. Detverkar. Kriminelle på internett har funneut at det er mykje enklare og meir kostnadseffektivtå rette seg mot mennesketbak. Menneske, og ikkje teknologi, er detsvakaste punktet, seier han.Gjer for liteDei fleste tilsette ser ikkje på seg sjølvsom eit mål. Dei trur at tryggleik er eitproblem for selskapet dei jobbar i, og atdei sjølv ikkje blir angripe. Derfor gjerdei lite for å verne seg sjølv og organisasjonen,samtidig som dei i realiteten erdet viktigaste målet for dei kriminelle.Teknologien endrar seg, men det gjerikkje menneske, seier Spitzner.- Vi ser igjen og igjen at kriminellebruker dei same knepa for å få det dei vilha, vi kan kalle det å hacke hovudet (eller"hacking the mind", som Spitzner kallardet). For å seie det enkelt: Den enklastemåten ein kriminell kan få kontroll overPC-en din på, eller stele passordet ditt, errett og slett å spørje.Menneske er rett og slett elendigei å vurdere risiko, i følgje Spitzner. Detmennesket fryktar mest er ofte det minstfarlege. For å ta fly som eksempel: Fly ersikrare enn bil, likevel er det å fly det folker mest redd for. Den same mistydingaom risiko og farar på internett berre aukarproblemet, seier Spitzner. Internett er einperfekt stad for å lure folk. Det er så enkeltfor kriminelle å late som dei er nokondu stolar på, og dei kan på ein billig måteautomatisere desse angrepa mot bokstavlegtalt millionar av menneske.- Kva er dei største utfordringane medtilsette i organisasjonar?- Den største utfordringa er at menneskeikkje er klare over at dei er eit mål,og at dei treng å verne seg sjølv. Dersomdei ikkje kan sjå eller ta på det, så ofrardei det ikkje ein tanke. Uheldigvis skjerein stor del av våre aktivitetar ikkje lengeri det fysiske rommet, men på internett, ogdet er der dei største risikoane er."Dei fleste tilsette ser ikkjepå seg sjølv som eit mål.Dei trur at tryggleik er eitproblem for selskapet deijobbar i."Bruk tid og ressursarKva skal ein så gjere med dette svakepunktet som menneske er, elendige somvi er til å vurdere risiko, til å innsjå at vi- Menneske er ikkje klare over at dei er eit mål, ogat dei treng å verne seg sjølv, seier Lance Spitzner.(Illustrasjonsfoto: Colourbox.no)kan bli angripe, og elendige til å sikre osssjølv og organisasjonane våre? Svareter rett og slett å lære opp folk, i følgjeSpitzner. Men også der trår mange organisasjonarfeil.- Mange organisasjonar prøver å læreopp dei tilsette, med gode intensjonar.Ofte gjer dei ein veldig dårleg jobb,overveldar folk med for mykje, forvirrandeeller for teknisk informasjon, ellerberre dårleg kommunisert informasjon.Alt som blir kravd er å investere i tid ogressursar. Organisasjonar kan få ei veldigstor avkastning på ei slik investering, ettersomdei svakaste punkta deira kan bliden største styrken.Foredrag: Securing the Human. Onsdag18. november kl. 09.00.Nordmenn er naiveNordmenn er Europas mest tillitsfulle– eller naive folkeferd. Det viser en europeiskundersøkelse fra European SocialSurvey (ESS). Fire av fem nordmennsier de ”stoler på folk flest”. – Naiv ellertillitsfull er vel to sider av samme sak. Erdu tillitsfull, er du selvfølgelig lett å lure,sier professor Anders Todal Jensen vedNTNU. (Aftenposten 15. oktober 2009)Svensker er naiveSvenske virksomheter er for naive i sittsyn på hva slags trusler de står overfor.Det sier kriminalinspektør Peder Qvist iSäpo til Dagens Industri. Virksomheterbør identifisere hva som bør beskyttes,analysere trusselbildet, og ikke snakkeom bedriftshemmeligheter i mobilen,i følge det svenske sikkerhetspolitiet.(dagensps.se 19. oktober 2009)Lurte nesten FBI-sjefenFBIs sjef Robert Mueller har sluttet mednettbank etter at han nesten ble lurt til åoppgi brukernavn og passord. En e-postsom så ut som som e-postene fra bankengjorde at han bare var få klikk unna til åbegå feil. Etter å ha nevnt hendelsen forkona var tilbakemeldingen: - Det er vårepenger. Det blir ikke noe mer nettbankfor deg. (Network World 10. juli 2009)10
Sikkerhetskultur:Hvorfor gjør folk dumme ting?- Det som sitter mellom øra er den viktigste sikkerhetsmekanismensom finnes. Det gjelder bare å aktivisere den, sier RoarThon. Onsdag holderhan foredrag omhvorfor folk gjørdumme ting.Mennesker kan være en av de beste garantistene for god sikkerhet. (Illustrasjonsfoto: Colourbox.no)”Dumme” ting kan i følge Thon værealt fra å miste viktig informasjon, skapesårbarheter ved å sette inn minnepinnermed virus og så videre. Dumme tingkan også bli gjort ut fra ren høflighet, foreksempel å slippe inn folk som ikke skalha tilgang, eller oppgi sensitive opplysningertil folk som ikke skal ha de, rett ogslett fordi de virker hyggelige.- Vi sier gjerne at mennesket er sikkerhetenssvakeste ledd. Men jeg tror personligat mennesker kan være en av debeste garantistene for en god sikkerhet,så lenge de har skjønt hvorfor sikkerheter viktig, og handler deretter, sier Thon.Han jobber til daglig med sikkerhetskulturi Nasjonal sikkerhetsmyndighet,og er stadig på farten med foredrag omnettsamfunn, sikkerhetskultur, sosialmanipulasjon med mer.Følger ikke rutineneDen vanligste feilen er å ikke følge sikkerhetsrutineneog reglene som gjelder.Gode instrukser og gode tekniskesystemer kan bli torpedert av én ansattsom ikke følger reglene. Det skjer oftefordi det er tungvint med sikkerhet, dettar for lang tid, uvaner blir til sedvane, ogorganisasjoner med gode rutiner på papiretkan oppleve noe helt annet når man"Der hvor lederen har etfokus på hva sikkerhet erog hva slags betydning dethar for virksomheten, vil deansatte også ha et fokus påsikkerhet."11ser på praksisen. Det å beskytte informasjonog systemer er heller ikke bestandigselvsagt.- Folk skjønner lettere hvorfor manskal gå med hjelm på en byggeplass, ellerhvorfor man ikke røyker på en borerigg iNordsjøen. Det kan være vanskeligere åfå en kontoransatt til å passe på informasjonenhun eller han jobber med, fordiman tror at det ikke går ut over seg selvhvis noe skulle skje. Allikevel kan konsekvensenevære ganske drastiske. I sin ytterstekonsekvens kan det føre til en farefor rikets sikkerhet eller selvstendighet,det kan være tap av menneskeliv, eller tapav store materielle verdier. En konkurranseutsattbedrift kan miste fortrinnetog gå konkurs fordi viktig informasjonblir stjålet.Må trene ryggmargsrefleksen- Hva er det viktigste å huske på når detgjelder sikkerhetskultur?- Det første er å innse at alle har ensikkerhetskultur, på godt eller vondt.Sikkerhetskultur er ikke noe man implementerereller kjøper av konsulenter. Detneste er å gi de ansatte kunnskap om ogforståelse og motivasjon for hvorfor tingskal gjøres på bestemte måter. Samtidiger det viktig å huske på at vi snakkerom menneskelig atferd. Av og til gjørvi dumme ting fordi vi er mennesker pågodt og vondt.- Har virksomhetene en god sikkerhetskultur?- I varierende grad. Man finner veldigfort svaret på det om man spør omlederne er interessert i sikkerhet. Derhvor lederen har et fokus på hva sikkerheter og hva slags betydning det har forvirksomheten, vil de ansatte også ha etfokus på sikkerhet. Sikkerhet er noe sombør sitte i ryggraden. Det skal være noeman gjør uten å tenke seg om. De flestelåser døra når de drar fra huset sitt ommorgenen. Det er sikkerhet. Man måaltså trene opp ryggmargsrefleksen, sierRoar Thon.Foredrag: Hvorfor folk gjør dummeting – og hvordan forbedre sikkerhetskulturen.Onsdag kl. 12.50.Konferanseavis for NSMs sikkerhetskonferanse 2009
Page 9: og slett surfer på internett.- I
Page 13 and 14: Avlytting:Mobilen den største trus
Page 15 and 16: Infiserer millioner av maskiner:For

Konferanseavis for NSMs sikkerhetskonferanse 2009.

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?