Nasjonal sikkerhetsmåned

I Gjesdal kommune har sikkerhetsgruppen laget en serie artikler rundt tema grunnleggende informasjonssikkerhet. De ønsker at det skal gi de ansatte ny kunnskap og større fokus på et viktig tema.

Sikkerhetsgruppen med Eirik Ramsli Hauge i spissen, deler gjerne dette arbeidet med andre kommuner som vil gi sine ansatte god informasjon, og påminnelser gjennom hele Sikkerhetsmåneden. 

Oktober er sikkerhetsmåned – hva vil det si?

Oktober er den internasjonale måneden for informasjonssikkerhet. Denne måneden retter oppmerksomheten mot viktigheten av god informasjonssikkerhet og hvordan vi kan forbedre den. I en tid med stadig endring i den internasjonale sikkerhetssituasjonen og økende usikkerhet står vi overfor mange utfordringer. Trusler som datainnbrudd, digitale systemangrep og krav om løsepenger skjer daglig over hele verden, aktørene er alt fra ungdommer til verdensmakter.

Når risikoen øker er det lett å føle seg maktesløs, men fortvil ikke! Det finnes noen enkle grep alle kan ta for å gjøre seg selv tryggere. Grepene kan sammenlignes med sikkerhetsbeltet i bilen. Det er lett å bruke, reduserer risikoen for skade betraktelig, men det må bli en vanesak.

Denne måneden vil det komme mange artikler på Væren om informasjonssikkerhet. For din egen og Gjesdal kommunes sikkerhet, oppfordrer vi alle på det sterkeste til å lese hver artikkel og ta til deg det som står der. Vi heier på deg!

Unike passord

Alle dine passord bør være unike og inkludere en kombinasjon av store og små bokstaver, tall og spesialtegn. Unngå å bruke bursdager, navn på kjæledyr, skolen du gikk på, arbeidssted, årstall og lignende. Du bør spesielt ikke bruke samme passord på jobb og privat. Hvis du synes det blir veldig mange passord å holde styr på og at du mister oversikten, anbefaler vi å bruke en passordadministrator som f.eks. LastPass til å holde styr på passordene. Dette er sikrere og bedre enn å bruke nettleseren til å lagre passordene. Da trenger du bare å huske passordet til passordadministratoren.

Hva er MFA? Og hvorfor bruker vi det?

Forslag til fengende tittel: «Mobil makt: Slik setter du datatyvene sjakkmatt.»

MFA står for Multi-factor authentication (multifaktor autentisering) og du kjenner det godt. Det holder dessverre ikke lenger med bare et passord for å identifisere deg, du må også ha en kode fra for eksempel en mobil. Tidligere var det kun i nettbanken vi måtte tilføre en ekstra kode, men stadig flere programmer og systemer krever at du skriver inn en kode du får på mobil eller annen enhet.

Det kan ofte føles litt brysomt å stadig måtte dra frem mobilen for å logge seg inn på ulike tjenester, men det er en god grunn til dette. Passord havner til stadighet på avveie og 49% av alle datainnbrudd utført av eksterne aktører benytter stjålen påloggingsinformasjon. Ytterlige 12% skjer fordi innloggingsinfo er lurt utav brukere via phishing (Verizon, 2023). Det vil si at 61% av alle datainnbrudd kan tilskrives brukernavn og passord i feil hender.

Dersom en ondsinnet aktør har din innloggingsinfo, kan de bruke den på tjenester hvor du har bruker. Heldigvis har de ikke tilgang til mobilen din. Ved å bruke mobilen som et ekstra autentiseringsledd, reduserer vi risikoen for datainnbrudd betydelig.

Oppdater alle enheter

Forslag til fengende tittel: «Unngå å bli et offer: Viktigheten av å holde enheter oppdatert»

Oppdateringer kommer aldri på et godt tidspunkt, men det er viktig å holde enhetene dine oppdatert. Svakheter i systemer og måter å fikse svakhetene oppdages daglig. Den beste måten å forsikre seg om at enheten din ikke er et enkelt mål for angrep, er ved å holde den oppdatert.

En av de største utfordringene produsenter står ovenfor er såkalte Zero-day vulnerabilities (Dag 0 svakhet). Dette er sårbarheter som produsenten ikke kjente til, men som har vært til stede helt siden lansering. Disse sårbarhetene kan for eksempel være åpninger forbi passordbeskyttelse. Når en Dag 0 svakhet blir oppdaget, begynner et kappløp mellom onde og gode krefter: onde ønsker å utnytte svakheten, mens gode ønsker å fikse den. Så snart de onde finner en måte å utnytte svakheten på, sender de ut angrep vidt og bredt. Når de gode finner en måte å løse sårbarheten på, sender de ut oppdateringer til alle enheter. Det er kun ved å holde alle enheter oppdatert at du er sikret mot å bli neste offer.

Lås maskinen når du går

Forslag til fengende tittel: «Et lite grep for bedre sikkerhet»

Informasjonssikkerhet er et stort tema og det er mange vaner som skal innarbeides. I tillegg til gode passord, bruke MFA og være skeptisk til linker i e-post er det et veldig enkelt grep som er så naturlig at det er lett å overse: Husk å låse maskinen hver gang du går fra den.

Det er heldigvis ingen stor sak å låse maskinen. Den enkleste metoden er å trykke på «Windows-tast» og L, så er jobben gjort. En ulåst maskin er så lett å komme seg inn på at min treåring kan gjøre det (tro meg, jeg vet dette av erfaring). Vi har alle tilgang til informasjon andre ikke skal ha tilgang til. Enten det er overraskelsesbursdag for Tone eller sensitive opplysninger på sikkerhetsnivå 4. Uansett hva du har på din enhet, så er det enkleste og beste for din egen sikkerhet: Lås maskinen når du går.

Unngå åpne Wi-Fi nettverk

Forslag til fengende tittel: «Wi-Fi-feller: Beskytt dine enheter på farten»

Det er ofte fristende å logge på et Wi-Fi-nettverk når en er ute på farten. Dessverre er dette ikke veldig sikkert. Ved å koble seg til et Wi-Fi-nettverk, gjør du enheten din mulig å finne for alle andre som er tilkoblet samme nettverk. Hvis du ikke stoler på intensjonen til alle andre på nettverket, burde du heller ikke koble deg til det. Istedenfor anbefaler vi å sette opp Wi-Fi-hotspot på din mobil og bruk mobilens nettverk.

Dette gir deg bedre kontroll over sikkerheten din når du er på farten. Ved å bruke din egen Wi-Fi-hotspot, kan du være sikker på at du ikke deler nettverket med ukjente eller potensielt farlige brukere. Det er en enkel måte å beskytte enhetene dine når du er utenfor trygge nettverk.

Del to av artiklene, som blant annet omhandler sosial manipulering, cyberkriminalitet og phishing, kommer snart.