Ikke la kriminelle få tilgang til sensitive HR-data

Norske virksomheter pepres daglig med potensielle farer mot datasystemet. Det aller meste kommer via e-post. Mye er av det enkle slaget som fanges opp som søppelpost av sikkerhetssystem, men slett ikke alt. Plutselig har en ansatt åpnet et vedlegg eller trykket på en link som han heller burde ha slettet. Dermed er døren åpen for datakriminelle som vil stjele, låse eller ødelegge kritisk informasjon. Konsekvensene kan bli svært alvorlige.

- De aller fleste ansatte har e-post og passord som kan gi kriminelle tilgang til kritisk informasjon og store verdier i virksomheten, advarer Roar Thon. Den tidligere etterforskeren er fagdirektør for sikkerhetskultur i Nasjonal sikkerhetsmyndighet (NSM).

Hva kan man se for seg at datakriminelle vil ha interesse av i et lønns- og personaldatasystem– og hva kan de bruke slike opplysninger til?

- Det avhenger av hvem det er som forsøker seg, men personsensitiv informasjon kan misbrukes i seg selv, eller det kan brukes til å komme seg videre for å nå et større mål. Jo mer noen vet om oss jo enklere er vi å manipulere.

Alle må ta ansvar for sikkerheten

Utviklingen har gått i retning av at ansatte og ledere i stadig større grad legger inn informasjon selv i lønns- og personaldatasystemet. Fører dette til at systemet blir mer sårbart, for eksempel ved at flere har passord, man logger seg inn via mobile enheter og liknende? -
Ikke nødvendigvis. Men jo flere innganger man har til et system jo mer øker risikoen for at uvedkommende kan skaffe seg urettmessig tilgang. Men samtidig må vi ikke glemme at sikkerhetsarbeidet skal understøtte det virksomhetene driver med. Det kan tenkes at økt tilgjengelighet og brukervennlighet kan medføre økt risiko. Dette er en balansegang som er viktig at ha et bevisst forhold til.
- Data- og informasjonssikkerhet er ikke bare IT-avdelingens ansvar. Vi jobber alle med sikkerhet hver eneste dag. Har du et brukernavn og passord så er du per definisjon et mål for kriminell aktivitet. Dessverre er det alt for få som har en klar forståelse for dette.

Hva ville du ha gjort for å bedre datasikkerheten hvis du var HR-direktør?

- Jeg mener at HR bør ta et større ansvar for sikkerhetsopplæringen i virksomhetene. Det er ikke sikkert at sikkerhetsfolk eller teknologer er best egnet til å nå frem til mennesker med sitt budskap. De trenger støtte av noen som i større grad kan mennesker.

Men hva kan skje?

Hva er det de datakriminelle vil oppnå? Svaret er naturlig nok mangfoldig. Aktørene er alt fra kriminelle som driver med pengeutpressing, hackere som selger forretningshemmeligheter til sine oppdragsgivere og spionasje fra fremmede stater. Hva de vil oppnå avhenger av hvem de er og hvor de bryter seg inn. Kriminalitet via nettet er som all annen kriminalitet, men hakket mer utspekulert og effektivt når det lykkes – og utført med langt mindre risiko for de kriminelle.

- Fortsatt møter vi ledere og virksomheter som ikke tror at deres virksomhet kan rammes, som ikke forstår hvor mange som rammes og hvor alvorlige konsekvensene kan bli, sier Thon. - Den kriminelle industrien har blitt langt mer profesjonell og sofistikert. De som skal stoppe datakriminalitet blir stadig flinkere, men det blir de kriminelle også. Dette er det viktig at vi innser.

Mennesker er sikkerhetens svakeste ledd

Grunnen til at datakriminelle ofte lykkes, er at mennesker blir lurt.

- En norsk bedrift ble lurt til å betale en halv milliard kroner etter at kriminelle kun hadde sendt to e-poster og tatt en telefonsamtale. Datakriminalitet handler om mennesker som lurer andre mennesker. Derfor er det kunnskap og atferd man må jobbe med. Det viktigste sikkerhetsutstyret sitter mellom ørene til folk, sier Thon.

Porten kan ikke låses

Tradisjonelt har sikkerhet handlet om å låse porten og sette på alarmen når man går for dagen. Slik er det ikke lenger. For datakriminelle er det e-posten som er hovedporten og den kan åpnes til alle døgnets tider fra utallige mobile enheter.
- E-post er hackernes europavei inn i de fleste datamaskiner og nettverk. På verdensbasis sendes 205 milliarder e-poster hver eneste dag. I mange av dem skjuler det seg informasjon som forsøker å lure oss til å gjøre noe eller oppgi noe vi ikke burde. Enhver åpning av en link eller vedlegg er den potensielle starten på et digitalt angrep.

Er vi for lettlurte og naive?

Vi lever i et rikt og beskyttet samfunn. Det gjør sitt til at mange nordmenn er i overkant tillitsfulle på nettet.
- I møtet med andre krefter som har en betydelig større vilje til å bruke kyniske og manipulerende metoder er ikke tillit den beste forsvarsmekanismen, sier Thon.

På tross av utallige eksempler i media om folk som har latt seg lure av datakriminelle – så er det fremdeles mange som er for godtroende når de åpner innboksen. Det vet bandittene å utnytte. De aller fleste datainnbruddene skjer ved at ansatte narres til å åpne vedlegg, trykke på linker eller oppgi brukernavn og passord. Men, påpeker Roar Thon, ofte har vi ikke noe valg. Veldig mange av oss har en jobb hvor vi er nødt til å åpne vedlegg i e-poster. Det er ikke lett å vite hva som skal åpnes eller ikke.

- For eksempel har det blitt mer og mer vanlig at hackere sender falske jobbsøknader. Når en HR-konsulent åpner en slik jobbsøknad, så er det ikke av dumskap eller vond vilje. Vedkommende gjør rett og slett jobben sin, sier han.

Utviklingen raser av sted

Tidlig på 70-tallet ble det debattert i Stortinget om nordmenn skulle få tilgang til fargefjernsyn. Det var skepsis til hvilke konsekvenser ny teknologi kunne medføre. I dag er vi et samfunn som i liten grad diskuterer den teknologiske utviklingen, på tross av at behovet for kunnskapen om dette er stort.
- De fleste har en smarttelefon, men de færreste forstår hvordan den fungerer; hva slags liv den lever både når vi bruker den og når vi ikke bruker den. Vi er flinke til å ta i bruk ny teknologi, men samtidig er vi dårlige til å forstå de negative konsekvensene. Vi er et sårbart samfunn i forhold til teknologisk og menneskelig svikt, og hvor enkelt det er å lykkes for mennesker som vil gjøre noe mot oss.

Stille som i graven

Nesten ingen virksomheter går offentlig ut og forteller at de har blitt rammet av datakriminalitet, hvis det ikke er absolutt nødvendig. Ifølge Thon mangler det ikke på bedrifter som er angrepet både i privat og offentlig sektor.
- Vi i NSM har i stor grad oversikt over hvem de er og hva de har vært utsatt for. Vi hjelper dem hver eneste dag. En av våre oppgaver er å dele informasjon om hendelsene med andre virksomheter, slik at de umiddelbart kan sjekke om de er utsatt for det samme, og slik at vi sammen kan finne tiltak som gjør cybersikkerheten bedre for alle.

Formålet med deling av informasjon er at norske virksomheter skal bli bedre til å forebygge, avdekke og håndtere slike hendelser. Det øker muligheten for læring både i egen virksomhet og hos andre. Likevel skjer dette i svært liten grad.

- Det er vanskelig å få noen til å stå fram offentlig og vi må respektere virksomhetenes ønske om å unngå offentlighetens lys. Samtidig ser vi at hemmelighold rundt hendelsene fratar samfunnet muligheten for læring og bedre sikkerhet og den preventive effekten for andre virksomheter begrenses.

Må ta større samfunnsansvar

Selv de som har håndtert hendelser på en god og effektiv måte vegrer seg, forteller Thon. Årsaken kan være at virksomheten frykter omdømmetap. Men omdømmetapet er størst hos dem som først benekter at de er rammet, for så senere erkjenne at de er rammet, påpeker han.
- Da hjelper det lite med toppledere som i ettertid understreker at virksomheten tar sikkerheten på alvor. Kanskje kan åpenhet ha en positiv effekt for virksomheten ved at man viser at man tar sikkerhet på alvor og igangsetter effektive tiltak.
- Å bidra til økt åpenhet og forståelse om et økende samfunnsproblem bør oppleves som et viktig samfunnsansvar for norske virksomheter, avslutter han.

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og objektsikkerhet, og det nasjonale fagmiljøet for IKT-sikkerhet. Direktoratet er nasjonal varslings- og koordineringsinstans for alvorlige dataangrep og andre IKT-sikkerhetshendelser.

Les mer: HR – virksomhetens største sikkerhetsrisiko?