«Vi kan alle bli lurt, men det viktigste er å gjøre alle trygge nok til å si ifra når det skjer,» sa Ragnhild Sageng, senior sikkerhetsrådgiver i Tolletaten på åpningsforedraget under årets KiNS-tech i Horten.
I et slikt perspektiv er det viktig at hver enkelt sektor tar ansvar for å ha en god sikkerhetskultur tilpasset sektorens samfunnsoppdrag og virksomhetens overordnete føringer for informasjonssikkerhet og internkontroll.
Harald Torbjørnsen
Daglig leder, Foreningen kommunal informasjonssikkerhet – KiNS
Lurer brukere
Digitale angrep er en kombinasjon av sosial manipulering og tekniske ferdigheter. Mye handler om å lure brukere til å klikke på lenker, QR-koder, oppsøke nettsteder, eller over telefon gi fra seg informasjon som kan brukes til å overta vedkommende sin brukerkonto. Det kan skje ved at man mottar en telefonsamtale der en person utgir seg for å være fra IT-support, fra en lærer, sykepleier, kommunal leder eller fra en venn.
Stemmemanipulering og «Deepfake» er blitt relativt enkelt og effektiv å anvende og kommer ofte i kombinasjon med de tradisjonelle metodene som en lenke, eller en QR-kode man lures til å klikke på. Dette gjør det vanskelig å ikke bli lurt.
Store verdier
Kommuner, fylkeskommuner opplever digitale angrep hver dag. Et skrekkscenario for kommunen og fylkeskommunen er at angripere skal komme seg inn i deres systemer, låse ned systemene, kreve løsepenger og hente ut personinformasjon og sensitiv informasjon, for i neste omgang å true brukere, ansatte og innbyggere.
Selv om kommuner og fylkeskommuner ikke betaler løsepenger for å få låst opp sine systemer, er det store verdier å hente ut i form av personinformasjon som er lagret i systemene.
Alvorlige konsekvenser
For ansatte, brukere og innbyggere generelt, kan et vellykket digitalt angrep mot kommune eller fylkeskommune, ha store konsekvenser for livskvalitet, økonomi og mental helse.
Konsekvenser som den enkelte risikerer å bære med seg i flere år. Kommunen eller fylkeskommunen mister på sin side tillitt, får økte kostnader, redusert kvalitet på kommunale tjenester og stor organisatorisk belastning.
Ved å invester i kunnskap, ferdigheter og dømmekraften til brukere, ansatte og ledere om trusselbildet og hva den enkelte kan bidra med, samt sette inn egnede tekniske og organisatoriske tiltak, kan vi redusere muligheten for vellykkete digitale angrep og alle negative kostnader det innebærer for alle berørte.
Noen anbefalinger
- Still krav til at alle brukere skal ha sterk autentisering. Det er fortsatt et av de viktigste tiltakene for å redusere antall vellykkede angrep.
- Arbeid systematisk for å bygge relevant kompetanse hos brukere og ansatte om informasjonssikkerhet, digitale trusler og hvordan unngå å bli lurt.
- Bygg en kultur, for både brukere og ansatte, der det er lov å si ifra at man er blitt lurt.