0
Hopp til hovedinnhold

Er du sikker? Eller bare naiv – som de fleste?

På Stortinget trodde representantene at kopimaskinene var sikre for tapping av data. Men så er de ikke det, viste de gule lappene som kom opp på dem etter det internasjonale seminaret for litt siden.

Artikkelen er mer enn ett år gammel, og kan inneholde utdatert informasjon.

Sikkerhetsmåned - Uke 1-plakat. Sjekk https://www.sikresiden.no/ - og ta med UiAs nettside om informasjonssikkerhet i samme slengen. (Illustrasjon: Thomas Andersen)

Sjekk https://www.sikresiden.no/ - og ta med UiAs nettside om informasjonssikkerhet i samme slengen. (Illustrasjon: Thomas Andersen)

Sånn er det nok med de fleste av oss. Vi tror vi har vårt på det tørre – og så har vi plumpa i det med begge beina. Vi oppfører oss ikke sikkert likevel, når vi sitter med PCen eller telefonen.

Derfor skal UiA prøve å finne ut hvordan vi egentlig oppfører oss når vi sitter ved PCen eller nettbrettet.

Ett element er en spørreundersøkelse til alle ansatte som blir sendt ut denne uken. Svarene er anonyme, det tar bare 5-10 minutter å svare – og det er viktig at alle gjør det. Mer om det i bunnen av saken, der du også finner nyttige podcaster.

Nå skal det sies at det ikke er klart om russ… - noen - har tappet kopimaskinene på Stortinget, eller prøvd å gjøre det. Men de som hørte hva IT-ekspertene sa etterpå, ble blant annet fortalt at kopimaskiner er glimrende innganger til hele bedriftens nettverk, fordi passordene til maskinene ofte er enkle.

Og her kommer du og jeg inn. Med PC-ene våre med lette passord, og nettbrettet uten passord i det hele tatt. Og kanskje blir kjøleskapet en inngang til annet enn øl og brunost, når IoT – Internet of Things – invaderer norske hus og hytter.

Sikkerhetskultur

Oktober er sikkerhetsmåneden i Staten. Da blir vi alle minnet på hvordan vi skal opptre så vi ikke leverer ut våre egne, personlige data som vi ikke vil at andre skal snoke i – eller data vi bruker i forskning, studier eller andre arbeidsoppgaver.

- Hva er egentlig sikkerhetskultur? Spør Anette Thorkildsen Osaland – som leder og har ansvaret for UiAs informasjonssikkerhet.

Det enkle svaret er at sikkerhetskultur i dette tilfellet er hvordan vi oppfører oss når vi sitter med IT-utstyret vårt.

Det handler om atferd knyttet til sikkerhet. Sikkerhetskultur er summen av organisasjonens – vår og universitetets - kunnskap, motivasjon, holdninger og atferd som kommer til uttrykk gjennom universitetets totale sikkerhetsatferd.

Sikkerhetsmåned - tastatur med stetoskop. (Illustrasjon: Colourbox)

(Illustrasjon: Colourbox)

Felles ansvar betyr at alle må gjøre sin del

Sikkerhet er et felles ansvar. Det er viktig at vi forstår at alle på universitetet er med på å skape en sikkerhetskultur. Det vi gjør i det daglige er med på å bidra i positiv eller negativ retning. Vi er ikke sterkere enn det svakeste leddet.

Alle virksomheter har en eller annen form for sikkerhetskultur, og det har vi også hos oss på UiA. Spørsmålet er bare om den er god eller dårlig.

Sikkerhetskultur er noe vi ofte først blir bevisst på etter å ha opplevd at noe har gått galt. Som de ble det på Stortinget – selv om ingen vet om noe har gått galt der.

Lær av Per

Sikkerhetsbrudd er ofte et resultat av at vi som ansatte eller studenter har manglende sikkerhetsbevissthet og sikkerhetsatferd. Dette kan skyldes manglende kunnskaper og evne til å gjøre de riktige beslutningene, eller rett og slett ved at noen bevisst velger å omgå sikkerhetsrutiner.

Mange politikere – og andre også – fikk nok en aha-opplevelse etter Per Sandbergs ferietur til Iran i sommer, og konsekvensene av den manglende sikkerhetskulturen som kom til syne i kjølvannet av den. Ikke bare for den tidligere fiskeriministeren, viste gjennomgangen etterpå.

(Illustrasjon: Colourbox)

(Illustrasjon: Colourbox)

Sikkerhetstruende hendelser kan være situasjoner hvor svakheter utnyttes av eksterne aktører, som benytter disse svakhetene for å få tilgang til sensitiv informasjon.

Kartlegging av vår IT-sikkerhetskultur på UiA

Denne første uken i sikkerhetsmåneden handler om sikkerhetskultur ved UiA. Vår sikkerhetskultur på alle nivåer.

Det vil bli gjennomført en helhetlig kartlegging av sikkerhetskulturen og sikkerhetstilstanden ved UiA. Resultatet vil gi støtet til nødvendige tiltak, og hvor vi må sette større fokus

Kartleggingen blir gjennomført av Telenor Inpli og kalles «Telenor Smart sikkerhet – Innsikt.»

Smart Sikkerhet består av fire elementer – se under - som sammen gir en helhetlig status av UiAs sikkerhetsnivå.

De innhentede dataene blir bearbeidet og satt i sammenheng med hverandre, og rapporten gir oss et helhetlig bilde av sikkerhetstilstanden til UiA.

Hvorfor gjør vi dette?

Innsiktsrapporten er startpunktet for hvordan sikkerhetsarbeidet skal legges opp framover ved UiA. Vi får status for sikkerhet innen kultur, ledelse, IT-trafikk og nettverk. Rapporten anbefaler hva UiA bør gjøre, og hvordan vi skal vekte tiltakene for å bli sikrere.

- Målet med kartleggingen er å etablere status for sikkerhetstilstanden ved UiA. Med bakgrunn i denne skal vi innføre nødvendige tiltak for å forbedre sikkerheten, sier IT-sikkerhetslederen.

Smart Sikkerhet dekker de fire grunnleggende elementene for sikkerhet i en virksomhet: beskytt, detekter, analyser og responder.

I tillegg til sjekken av sikkerhetskultur blant ansatte, vil UiA-ledelsen bli intervjuet grundig, IT-trafikken monitorert (overvåket tettere enn til vanlig) og det blir gjort en gjennomgang av hva som skjer på innsiden av nettverket.

- Dermed får vi et bilde av dagens situasjon, og et verktøy i UiAs videre forebyggende sikkerhetsarbeid, sier IT-sikkerhetsleder Anette Thorkildsen Osaland.

En sjekk av UiAs sikkerhetskultur i fire deler:

Del 1: Individuelle ledelsessamtaler

UiAs sikkerhetsjekk startet allerede den 13. og 14. september, med individuelle intervjuer med 15 av UiAs ledere (universitetsdirektør, assisterende universitetsdirektør, rektor, samtlige direktører i fellesadministrasjonen samt utvalgte fakultetsdirektører).

Samtalene omhandlet informasjonssikkerhet, og ble gjennomført for å avdekke den enkeltes leders oppfatning av UiAs sikkerhetsfokus og i hvilken grad ledelsen har fokus på dette.

Del 2: Kultursjekk - Digital spørreundersøkelse sendes ut første uken i oktober.

Digital spørreundersøkelse (anonym) for alle ansatte for å avdekke holdninger og kunnskap relatert til sikkerhet.

Selve undersøkelsen tar 5-10 minutter å svare på. For at vi skal få et best mulig resultat av karleggingen og hvordan vi skal jobbe videre, er vi avhengig i at dere som er ansatte tar dere tid til å svare på undersøkelsen.

Del 3: Teknisk måling av UiAs interne nettverk ved hjelp av sensorer.

Avdekke om vi er utsatt for sikkerhetsbrudd og hvilke sårbarheter og trusler vi står ovenfor.

Teknisk måling av virksomhetens interne nettverk der man kan avdekke om man er utsatt for sikkerhetsbrudd, og sårbarhet i nettverket.

Del 4: Innsiktsrapport, overordnede funn presenteres for ledergruppen

Denne gir et overordnet bilde over sikkerhetstilstanden ved UiA. Gir status for sikkerhet innen kultur, ledelse, trafikk og nettverk.

Kartleggingen vil vise hva vi må fokusere på videre og hvilke tiltak UiA må iverksette, for eksempel å etablere nye sikringstiltak eller endre rutiner.

En ny kartlegging er planlagt om to – tre år for å sjekke tilstanden da – og selvsagt måle i hvilken grad tiltakene som er gjort etter årets kartlegging har hatt effekt.

Overordnede retningslinjer for UiA

«Ledelsessystem for informasjonssikkerhet» beskriver hvordan arbeidet med informasjonssikkerhet ved UiA skal foregå, og ivaretar de kravene lovverket og Kunnskapsdepartementet stiller til arbeidet med informasjonssikkerhet. En kan si at det er sikkerhetsarbeidet satt i system.

Hva står i dokumentene? Noe av innholdet er ment for ansatte og studenter, noe er ment for ledere, og noe er ment for ansatte med pålagte sikkerhetsoppgaver eller IT - personell.

Ledelsessystemet består av tre deler: styrende, utførende og kontrollerende dokumenter, til sammen utgjør disse Ledelsessystem for informasjonssikkerhet.

Du har et ansvar!Alle som jobber eller studerer ved UiA må kunne grunnprinsippene om informasjonssikkerhet. Det er et felles ansvar for oss alle å sørge for at vi beskytter informasjonen vår.

Ledelsessystemets første hoveddel inneholder styrende dokumenter. De styrende dokumentene definerer rammene for UiAs arbeid med informasjonssikkerhet, og er noe alle skal være kjent med.

Nasjonal sikkerhetsmyndighet (NSM) Podcast:

NSM har laget en rekke podcaster som gir gode sikkerhetsråd og anbefalinger på en enkel og forståelig måte. 

Sikkerhetskultur 
Denne gangen diskuterer Trond og Roar sikkerhetskultur! Hva er det, og angår det egentlig deg? Ja, mener Roar og ber deg å sette av 10 minutter til å høre på hvorfor det angår deg.

Sommerpodcast - reiseråd
Sikkerhetsrisikoen for at noe kan skje med mobiltelefon, nettbrett og PC øker når vi er på tur. I denne podcasten fra NSM snakker Trond Øvstedal og Roar Thon om hva du kan gjøre for å redusere risikoen når du er på reise. 

E-post - hva kan du gjøre for å sikre deg? 
I denne podcasten fokuseres det på hva den enkelte mottaker av e-post bør tenke på for å få bedre sikkerhet.

Hvorfor skal vi oppdatere?
Denne podcasten tar for seg et av de mest "vanlige" rådene for å unngå å bli utsatt for dataangrep: Sørge for at maskinvare og programvare er oppdatert til siste versjon.

Sosiale medier og sikkerhet
I denne podcaten diskuteres sikkerhet og sosiale medier. Hva bør du tenkte på når du bruker sosiale medier?

Hva er sikkerhet?
I denne podcasten snakkes det om hva sikkerhet er og hva det betyr for oss.

Klide: https://nsm.stat.no/blogg/