Sikkerhetnr4web
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Sikkerhetskonferansen 2011<br />
Mye av informasjonsinnsamlingen<br />
foregår ved hjelp av IKT, men også<br />
metoder som sosial manipulering,<br />
bruk av åpne kilder, avlytting, rekruttering<br />
av ansatte, eller bevisst<br />
plassering av medarbeidere i virksomheter<br />
er aktuelle metoder.<br />
Viktig å være proaktive<br />
«Mange virksomheter<br />
sannsynligvis utsatt for<br />
denne type kriminalitet<br />
uten å vite om det.»<br />
Ronald Barø<br />
Det er viktig at norske virksomheter<br />
er proaktive i møte med utfordringer<br />
som følger med ny teknologi. Mange<br />
virksomheter utstyrer de ansatte<br />
med ulike kommunikasjonsplattformer<br />
som smartphones og nettbrett,<br />
og skillet mellom teknologi for jobbog<br />
privat bruk viskes ut. Dette stiller<br />
større krav til både arbeidsgivere og<br />
arbeidstakere med tanke på sikkerhet.<br />
En virksomhets behov for informasjonssikring<br />
kan lett komme i<br />
konflikt med fritidsbruk av utlevert<br />
IKT-utstyr. For aktører som bedriver<br />
ulovlig etterretning er dette en gunstig<br />
situasjon. Kartlegging av ansattes<br />
privatliv og virksomhetens informasjonssystemer<br />
gir en aktør med<br />
ondsinnede hensikter mange muligheter,<br />
og øker virksomheters sårbarheter.<br />
Det er viktig at virksomheter<br />
har et bevisst forhold til denne problemstillingen.<br />
Informasjon har blitt<br />
mye lettere tilgjengelig og flyttbart<br />
i store mengder enn for bare få år<br />
siden. Få arbeidsgivere reagerer på<br />
at ansatte tar med seg et elektronisk<br />
lagringsmedium inn og ut av arbeidsplassen,<br />
men alle arbeidsgivere<br />
vil reagere dersom en ansatt tar med<br />
seg en pall med dokumenter ut fra<br />
virksomheten.<br />
Sikringstiltak<br />
Innenfor «security» er trenden å<br />
legge stor vekt på teknologiske sikringstiltak.<br />
De fleste sikkerhetssystemer<br />
er utviklet for å hindre at ikkeautoriserte<br />
personer får tilgang til<br />
våre verdier, men svært ofte er disse<br />
systemene konstruert for å hindre<br />
ekstern tilgang på våre systemer.<br />
Som i «safety», krever alle systemer<br />
at menneskene som er satt til å forvalte<br />
dem faktisk følger gjeldende<br />
prosedyrer. For å motivere ansatte til<br />
å følge disse reglene er det viktig at<br />
de ansatte forstår hvorfor disse retningslinjene<br />
og prosedyrene er viktige,<br />
og de potensielle konsekvensene<br />
sikkerhetsbrudd kan ha.<br />
Sosial manipulering<br />
I etterretningsverdenen brukes sosial<br />
manipulering for å innhente<br />
informasjon under en tilsynelatende<br />
normal og uskyldig samtale. De som<br />
er satt til å innhente informasjon,<br />
er godt trent til å dra nytte av faglige<br />
eller sosiale sammenhenger for å<br />
komme i kontakt med personer som<br />
har tilgang til gradert eller annen<br />
skjermingsverdig informasjon.<br />
Slike møter vil oppleves som en<br />
normal sosial eller faglig samtale og<br />
kan ta plass hvor som helst. Men det<br />
er en samtale med en intensjon om å<br />
samle informasjon om arbeidet ditt,<br />
eller for å samle informasjon om deg<br />
eller dine kolleger. For utenlandske<br />
etterretningsorganisasjoner, er bruk<br />
av sosial manipulering en teknikk<br />
som medfører lav risiko for innhenteren.<br />
Etterretningsvirksomhet<br />
Etterretningsvirksomhet er målrettet<br />
og styrt innsamling og<br />
analyse av informasjon som innsamleren<br />
anser som relevante for å<br />
dekke sitt informasjonsbehov.<br />
Etterretningsvirksomhet er i utgangspunktet<br />
lovlig så lenge den<br />
består i å hente informasjon fra<br />
åpent tilgjengelige kilder; internett,<br />
media, offentlig tilgjengelige<br />
dokumenter, arkiver og lignende.<br />
Denne teknikken fungerer godt,<br />
og gjennom slik innsamling av<br />
informasjon kan gjerningsmannen<br />
samle, bekrefte eller utvide sin<br />
kunnskap om et sensitivt prosjekt eller<br />
annen beskyttelsesverdig aktivitet.<br />
Videre kan gjerningsmannen få<br />
bedre innsikt i en persons potensial<br />
eller mottakelighet for rekruttering<br />
eller søke å påvirke beslutningsprosesser<br />
i en virksomhet.<br />
Sikkerhetstrategi<br />
For å beskytte seg mot ulovlig etterretning<br />
er det viktig at virksomheter<br />
etablerer en helhetlig sikkerhetsstrategi<br />
som adresserer både teknologisk,<br />
organisatorisk og menneskelige sikkerhetstiltak,<br />
og ikke minst hvordan<br />
disse tre dimensjonene underbygger<br />
hverandre. Sikkerhet koster penger,<br />
men spørsmålet er om vi har råd til<br />
å ikke beskytte oss. Det er det bare<br />
den enkelte virksomhet som kan<br />
svare på, og da etter en god verdibasert<br />
risikoanalyse.<br />
www.nsr-org.no<br />
SIKKERHET nr. 4 • 2011 15