Med ny teknologi kommer også nye trusler

Vær forberedt – det kan være mange som ønsker å «fiske» etter informasjon i systemene dine! Foto: Colourbox.
– Teknologien utvikler seg raskt. For hver ny teknologileveranse som kommer, kommer også en ny trussel, sier Harald Torbjørnsen, leder av Foreningen Kommunal Informasjonssikkerhet (KiNS). De samarbeider med NTNU om kurstilbud innen digital sikkerhet.
Tekst: Lisbet Jære
– Informasjonssikkerhet er et fagområde som til enhver tid er i utvikling, og det er stort behov for ny kompetanse, sier Harald Torbjørnsen, leder av Foreningen Kommunal Informasjonssikkerhet (KiNS). KiNS er en medlemsforening for 300 kommuner, fylkeskommuner og bedrifter, og jobber for økt informasjonssikkerhet. De samarbeider med NTNU Centre for Cyber and Information Security (CCIS) på Gjøvik om å tilby kompetanseheving for kommuner.

Harald Torbjørnsen, leder av Foreningen Kommunal Informasjonssikkerhet (KiNS). Foto: KiNS
Østre Toten har vært en vekker
Siden pandemien startet i mars 2020 har trusselnivået økt kraftig.
– Løsepengevirus er en av truslene som har økt. Vi har sett at dersom ikke kommunen eller virksomheten betaler, er det eksempler på at trusselaktørene går over til å presse enkeltpersoner istedenfor. Det er helt forferdelig!
Det som skjedde i Østre Toten i januar har vært en vekker, og har ført til at mange kommuner og andre har satt informasjonssikkerhet under lupen.
Torbjørnsen merker at etterspørselen etter kunnskap har økt etter at Personvernforordningen (GDPR) trådte i kraft i 2018.
– Retten til personvern ble kraftig styrket i ny personopplysningslov, og det har igjen ført til at informasjonssikkerhet er blitt tatt mer på alvor. Vi arrangerer mange kurs selv, men er glad for samarbeidet vi har med NTNU om utdanningstilbud. Vi har godt utbytte av å utnytte hverandres kompetanse og nettverk, sier Torbjørnsen.
Samarbeider om digital sikkerhet i Østfold
– I iveren etter å digitalisere, eksponerer vi oss mer og mer, raskere enn vi kan ha kontroll på. Det blir et alvorlig etterslep, sier fagansvarlig for informasjonssikkerhet i Sarpsborg kommune, Bjørn Lande.
Sarpsborg er en av kommunen som høsten 2021 gjennomfører et kursopplegg i regi av KiNS og NTNU. De har gått sammen med andre kommuner i tidligere Østfold i et nettverk de kaller Digi Viken Øst, hvor de samarbeider om informasjonssikkerhet. 20 personer fra nettverket er med på kursene.
– Kursene er veldig bra, tema og innhold er høyst relevant. Utfordringen er at det kan være vanskelig å få forankret nødvendigheten av det i kommunene, mange vet ikke hva de ikke vet.
Selv om slike kurs er relevante og nyttige, er det mange kommuner som ikke prioriterer det på grunn av stram økonomi.
Ble utsatt for direktørsvindel og phishing
På spørsmål hvilke trusler kommunen har vært borti, begynner Lande å fortelle om et eksempel på det de kaller «direktørsvindel»: En lørdag morgen i mars fikk flere direktører i kommunen en epost som utga seg for å være fra en av direktørene. Ifølge mailen satt han i et møte, og ba om hjelp til noe viktig. En av direktørene svarer på eposten og får spørsmål om å hjelpe til å kjøpe et Itunes gavekort.

– I iveren etter å digitalisere, eksponerer vi oss mer og mer, raskere enn vi kan ha kontroll på, sier Bjørn Lande. Foto: Privat
– Her hadde svindlerne gjort nøye research. Den direktøren som tilsynelatende hadde sendt eposten hadde vært mye i pressen i det siste pga koronautbruddet, og det var dermed ikke usannsynlig at han kunne sitte i et møte tidlig en lørdag morgen. Det var også skrevet på relativt godt norsk. Det eneste som avslørte at dette var kriminelt var mailadressen.
Lande er også godt kjent med “phishing”-angrep, det vil si forsøket på å installere skadelig maskinvare. I 2019 fikk de en forespørsel fra delegasjon fra Kina som ville komme på besøk for å blant annet fortelle om ny, innovativ forskning.
– Taktikken ved slike besøk er at når de skal holde presentasjonen så virker ikke PC’en deres, og de ber da om å få bruke en møteroms-PC. De bruker minnebrikker til å installere programvare som kommer seg inn i systemet og kopierer alt innhold. Det er utrolig hvor mye ressurser som legges i dette, til og med fysisk oppmøte.
Lande var kjent med denne typen delegasjoner på forhånd, og kommunen takket høflig nei til besøket.
Trenger en god sikkerhetskultur – og mer videreutdanning
– Hvordan jobber dere med informasjonssikkerhet i kommunen?
– Det er viktig å utvikle en sikkerhetskultur i organisasjonen. Det handler om kompetanse og en felles forståelse i alle ledd; fra sluttbruker til IT-avdelingen og ledelse. Det andre er å ha et fungerende styringssystem med god internkontroll. I Sarpsborg har vi etablert det i henhold til E-helses norm for informasjonssikkerhet.
Lande tror det hadde vært nyttig om flere hadde tatt videreutdanning på området. Ellers skulle han ønske at ikke bare kommunene, men hele befolkningen som helhet, kunne fått mer kunnskap om informasjonssikkerhet.
– Kompetansebehovet er så stort i kommune-Norge, vi må prøve å hjelpe hverandre. På grunn av dårlig økonomi bemanner dessverre ofte ikke kommune i takt med at trusselbildet endrer seg. Sårbarheten vokser som ugress i hele landet.
«Du har fått igjen penger på skatten»
Det var personvernombudet i kommunen, Knut Eggen, som var sikkerhetsansvarlig før Lande ble det for to år siden. Han argumenterte for at om sikkerheten skulle kunne tas alvorlig, måtte rollene som personvernombud og sikkerhetsansvarlig skilles.
– Svindlerne er som regel to skritt foran «the good guys», så det er bare å følge med. Men jeg merker at folk er mye mer oppmerksomme nå enn for noen år tilbake, sier Eggen og begynner å snakke om den form for svindelforsøk som mange av oss har opplevd: Eposter som tilsynelatende er fra «Posten» med pakker som skal hentes, eller beskjeder om at en har fått igjen penger på skatten. To dager etter at jeg, som journalist, snakket med Eggen dukker det opp nettopp en slik en i innboksen min; «skatterefusjon klar» står det i emnefeltet.
Eggen er med i organisasjonen av et nasjonalt nettverk for kommunale personvernombud som bidrar med informasjon om hvordan sikkerhetsarbeidet planlegges og gjennomføres opp mot personvern.
Viktig å snakke et språk alle forstår
Som personvernombud er hovedoppgaven å gi råd til ledere og medarbeidere om hvordan kommunen skal håndtere personopplysninger, og være et kontaktpunkt mellom innbyggerne og kommunen, samt mellom Datatilsynet og kommunen. Eggen jobber spesielt mye med helse- og velferdssektoren samt oppvekstsektoren.
– Budskapet mitt er: Jeg brenner for at vi som jobber med personvern kommuniserer på en så klar og tydelig måte som mulig.
– Det handler om å snakke et språk som alle de ulike yrkesgruppene forstår slik at alle skjønner hvordan informasjonssikkerhet og personvern påvirker arbeidshverdagen, og er helt nødvendig for at innbyggerne skal ha tillit til kommunen sin.
FAKTA
PST: Digitale trusler øker
«Trusler i det digitale rom vil fortsette i 2021. Den digitale trusselen fra statlige aktører er alvorlig, og ingenting tyder på at den blir redusert. Samtidig ser vi en utvikling der ekstreme grupper og potensielle terrorister formes og påvirkes av propagandaen fra digitale nettverk»
Kilde: Nasjonal trusselvurdering 2021, fra Politiets sikkerhetstjeneste (PST)
De viktigste digitale truslene akkurat nå
- Løsepengevirus
Etter bare noen klikk og nedlasting av et ukjent vedlegg en har fått i en epost, eller eks Facebook, kan hele IT-systemet bli lammet og kryptert. - Kontokapring
Kan skje om passordene er for svake - Verdikjedeangrep
Virksomheten blir angrepet som ledd i at en samarbeidspartner blir det. - Svindel
Kan dreie seg om alt fra phishing og direktørsvindel, falske nettbutikker og falske nettprofiler til falske fakturaer.
Kilde: «Trusler og Trender 2021» fra Norsk senter for informasjonssikring (NorSIS)
FAKTA
Kompetanseutvikling i digital sikkerhet
Center for Cyber and Information Security (CCIS)
Senter for cyber- og informasjonssikkerhet (CCIS) ved NTNU er et nasjonalt senter for forskning, utdannelse og trening i å håndtere kritiske situasjoner knyttet til informasjonssikkerhet. Det er Nordens største forskningsmiljø på området med 120 vitenskapelige ansatte. Senteret holder til på Gjøvik og i Trondheim, og har 33 partnere som jobber med digital sikkerhet i samfunnet. Fra politi, forsvar og andre offentlige instanser, til private selskaper og internasjonale selskaper som IBM. På Gjøvik ligger nyåpnede Norwegian Cyber Range hvor det er mulig å øve seg på å bli eksponert for sikkerhetstrusler.
NTNU tilbyr både innføringskurs og fordypningsemner i informasjonssikkerhet. Studietilbudene kan tilpasses både små- og mellomstore bedrifter og større arbeidsplasser.
Nyhetsbrev fra NTNU VIDERE gir deg informasjon om videreutdanning og deltidsstudier.
Andre artikler om videreutdanning
40 år med Praktisk prosjektledelse
NTNU har et av Europas største utdannings- og forskningsmiljø innen prosjektledelse. Videreutdanningsemnet Praktisk prosjektledelse ble tilbudt første gang for 40 år siden som svar på store kostnadsoverskridelser i utbyggingsprosjekter på norsk sokkel.
Gjør det enklere å holde stø kurs som prosjektleder
Det er mye som kan gå skeis i store prosjekter. IT-konsulent Morten Moen Dyrendahl kjenner seg langt bedre rustet til å gjøre en god jobb som prosjektleder etter å ha tatt Praktisk prosjektledelse.
Kan bedriften din håndtere de nyeste digitale sikkerhetsbruddene?
Digitale angrep mot norske bedrifter har tredoblet seg de siste årene, og over 50 % av norske bedrifter har blitt utsatt for datakriminalitet. Likevel viser undersøkelser at kun 1% av ledere vurderer digital sikkerhet som det viktigste for sin bedrift.