NSR

Politidirektør Øystein Mæland

Skrevet av Kjetil Berg Veire, Nasjonal sikkerhetsmyndighet

Kampen mot naiviteten

Ja, vi er naive i Norge. Det hevdet flere av foredragsholderne under sikkerhetskonferansen til Næringslivets sikkerhetsråd forrige uke. I Norge stoler vi på personene vi møter inntil vi opplever tillitsbrudd. I andre land stoler bare mindretallet befolkningen på personene de møter, inntil det motsatte er bevist, sa Tone Rognstad, som jobber med rekruttering i Statoil.

- Min påstand er at Norge og nordmenn er naive, sa Atle Roll-Mathiesen fra Kripos, som snakket om hvordan multinasjonale kriminelle gruppe ekspanderte i Norge. Muligheten for gevinst i Norge sammenlignet med andre land kan være stor, samtidig som risikoen for å bli tatt kan være lav, sa han, og signaliserte samtidig at det er behov for en styrking på IKT-området i Politiet. Slik det er i dag er det for fragmentert, sa han.

Også Ronald Barø fra Politiets sikkerhetstjeneste kunne helle kaldt vann i blodet på de som trodde vi hadde det relativt trygt i Norge. Etterretningsaktiviteten mot Norge er høy, kanskje høyere enn noen sinne, sa han. Målet er myndigheter, teknologibedrifter, forsknings- og eksilmiljøer. Metodene spenner seg fra dataangrep til avlytting, leting etter sensitive dokumenter i søppelcontainere til manipulering av ansatte.

Det hjelper definitivt ikke at 87 prosent av testpersonene gir fra seg brukernavn og passord på telefon ved sosial manipulering, som Christian Jacobsen fra selskapet Secode har funnet ut når han har vært ute og testet sikkerheten i ulike bedrifter.

Kanskje vi er naive i troen på at sikkerhetstrusler ikke rammer oss, også? Bare 36 prosent av de som svarte har gjennomført risikoanalyser innen informasjonssikkerhet de siste to årene, viste en ny undersøkelse om temaet fra NorSIS. Mange skiller lite mellom kritiske og mindre kritiske systemer. Det er merkelig når vi vet om alle truslene som er der ute på IKT. – It´s a jungle out there, sa direktør Tore Orderløkken i NorSIS.

En måte å møte trusselen på er verdivurdering og sårbarhetsanalyser. Det holder ikke å outsource verdivurdering og sårbarhetsanalyser, vi må få det under huden selv, sa NHO-direktør John G. Bernander. Hvis vi ikke har øvd, hjelper det lite med fine sikkerhetsmanualer i bokhylla, sa han.

Informasjonssikkerhet var sentralt hos flere av foredragsholderne. Økonomisk kriminalitet og det å øke bevisstheten om informasjonssikkerhet er de viktigste områdene å ta fatt i etter funnene i Krisino-undersøkelsen, sa direktør i Næringslivets sikkerhetsråd, Erland Løkken. Når det gjelder informasjonssikkerhet blir næringslivet aldri gode nok, sa han.

Vi trenger mer bevissthet om informasjonssikkerhet, sa fornyings- og administrasjonsminister Rigmor Aasrud i sitt foredrag. Her kreves det et kraftig løft, sa hun. Hun er opptatt av en helhetlig satsning for å styrke informasjonssikkerheten.

Microsoft og produktsjef Mike Clinch tok opp problemstillingen med ansatte som tar med privat IT-utstyr og kobler det opp mot jobbens servere. Det er slett ikke farlig, bare du tenker sikkerhet her som på alle andre områder, sa han.

Morten Tandle fra Sparebank 1 holdt foredrag om hvordan bankene taklet trojaneren SpyEye som rammet norske banker i februar. Det er ofte PC-er som er dårlig oppdatert som blir infisert, sa han, på spørsmål om hvordan vanlige brukere skal sikre seg mot programvare som brukes til å stjele pengene våre.

Carsten Rapp fra Norges Bank presenterte en veileder om hvordan norske selskaper skal drive risikovurdering i utlandet. Det er et uvanlig lavt sikkerhetsrisikonivå i Norge. Tenk helhetlig på sikkerhet, og ikke lås deg til én type tiltak, sa han mot slutten av konferansen.