13 råd om sikkerhet på mobile enheter

Vi har alle sikkerhetsbehov knyttet til bruk av mobile enheter som smarttelefoner, smartklokker, nettbrett og bærbare PCer. Du kan oppnå god mobilsikkerhet med noen få enkle tiltak du selv kan utføre.

Illustrasjon (Foto: Arne Røed-Simonsen)

Illustrasjon (Foto: Arne Røed-Simonsen)

Graden av risiko for å bli utsatt for sikkerhetshendelser vil variere, og den enkelte virksomhet og enkelte bruker bør selv gjøre sine vurderinger ut fra egen situasjon.

Desto mer sensitiv informasjon du har tilgang til jo større risiko bærer du. Vi vet at det i dag er aktører som systematisk samler informasjon om flere ulike forhold, eksempelvis knyttet til finans, forsvar, politiske prosesser, forskning og industri.

Disse anbefalingene henvender seg til enkeltpersoner og ledere i både offentlig og privat virksomhet, og er basert på NSM sine råd og anbefalinger for IKT-sikkerhet.  

Vi beskriver her noen sikringstiltak som bidrar til å styrke den enkelte brukers mobilsikkerhet. Listen over mulige tiltak er ikke komplett, og i de tilfeller hvor vi navngir leverandører og tjenester er dette ikke ment som en uttømmende oversikt, men mere som eksempler. Utøver virksomheten flåtestyring, bør du rådføre deg med IT-organisasjonen på din arbeidsplass.

Vi forutsetter at du har grunnleggende IKT-sikkerhet på plass. Eksempelvis bør din telefon eller PC ikke bruke et operativsystem som ikke lengre oppdateres av produsenten.[1] Tilsvarende bør du anvende sterke og unike passord til de tjenester og applikasjoner du aksesserer fra den mobile enheten.[2]

1. Aktiver Touch/Face ID i tillegg til PIN-kode for åpning av enheter

Du bør aktivere Touch/Face ID for åpning av enheten. Både Touch ID og Face ID skal kreves på nytt etter hver lukking av enheten og etter kort dødtid, for eksempel fem minutter.

Når enhetens PIN-kode — til tross for Touch/Face ID — likevel må oppgis på offentlig sted skal brukere alltid skjerme denne mot innsyn, også på steder hvor brukeren ikke har noen mistanke om at andre har innsyn, fordi man i dag har en utbredt lovlig kameraovervåking og det kan være risiko for mer skjult overvåkning, enten av stedet generelt eller av brukeren spesielt.

Sett en 6-sifret PIN-kode og benytt en kode som er vanskelig å gjette, selv for en som kjenner deg godt. Enkelte telefoner/nettbrett tillater at du kan velge sterkere PIN-kode som består av både tall og bokstaver. En slik kombinasjon gir bedre sikkerhet.

2. Sjekk jevnlig at enheten er oppdatert

Du bør installere oppdateringer til enheten og apper så snart som mulig etter at de er offentlig tilgjengelige - både for å kunne tette kjente sikkerhetshull og for å få tilgang til ny og forbedret sikkerhetsfunksjonalitet. Selv om enheten blir oppdatert automatisk, kan det ta relativt lang tid før dette skjer. Du bør derfor selv regelmessig sjekke om oppdateringer er tilgjengelige. Du bør alltid sjekke manuelt om oppdateringer er tilgjengelige straks enheten tas i bruk etter lengre tids frakopling fra internett, f.eks. mer enn to–tre uker.

Slå PÅ automatiske oppdateringer og installer disse hvis telefonen/nettbrettet eller PC-en ber om det.

3. Unngå at andre kan lese varslinger fra låst skjerm

Mange applikasjoner viser deler av beskjeder selv om skjermen er låst. Funksjonen kalles ofte varslinger og gjelder f.eks. nyheter, e-post, møter, SMS eller beskjeder om tapte anrop. Disse varslingene er synlig på skjerm selv om enheten er låst.

Skru av varslinger til låst skjerm på de apper som har sensitive opplysninger, eller bruk et etui med klaff som dekker skjermen. Du kan redusere risikoen ved å bruke «privacy» beskyttelsesfilm, det begrenser muligheten for at lese skjermen fra skrå vinkler.

4. Motvirk avlytting

I forbindelse med meldinger, telefon- og videosamtaler er det alltid en risiko for at andre lytter. Avhengig av mobilenheten er det en rekke tiltak som kan redusere denne risiko.

Vær oppmerksom på hvilket nettverk (EDGE, 3G, 4G) du er tilkoblet. Bruk helst 4G, da reduserer du risikoen for at noen «narrer» din mobile enhet over på et nettverk uten kryptering. EDGE (2G) er mere sårbart enn 3G, som er mere sårbart enn 4G. Mobilsikkerheten er opp til operatøren av mobilnettverket. Det anbefales derfor at man (spesielt i utlandet) bør anvende meldingstjenester som legger på kryptering.

Meldinger, tale og video bør sendes kryptert over mobilnettet for å forhindre avlytting og manipulasjon.

5. Sikkerhetskopi og ekstern lagring

Det kan være ønskelig å lagre data fra mobile enheter i skyen. Dette er en praktisk måte å få fleksibel tilgang til dine data, og kan være en god metode for sikkerhetskopiering. Når du lagrer data andre steder enn på mobile enhet, øker det imidlertid risikoen for at uvedkommende kan få tilgang.

Sett gjerne din mobile enhet til automatisk sikkerhetskopiering, så slipper du å huske på dette. I noen tilfeller vil det beste alternativet være å bruke en lagringstjeneste som IT-avdelingen enten har inngått avtale med eller selv drifter og har kontroll over (privat sky).

6. Slett data fra enheten hvis du mister den

Hvis du mister din telefon, nettbrett eller PC så er det ikke bare verdien av maskinvaren du mister. Du risikerer at dine data, dokumenter, bilder og e-post havner i gale hender. Derfor bør du være i stand til å fjern-slette innholdet på din mobile enhet hvis du mister den.

Benytt leverandørens tjeneste til at slette enheten. Den mobile enheten kan også innstilles til å slette innholdet efter X antall mislykkede forsøk på å taste PIN-koden.

7. Foretrekk 4G fremfor tredjeparts Wi-Fi

Eldre trådløse nettverk (Wi-Fi) kan benytte seg av teknologi som er sårbare og kan utnyttes av uvedkommende. Unngå derfor å benytte Wi-Fi til noe som er sensitivt, men hvis du allikevel må så er det viktig å kryptere den informasjonen du sender og mottar ved for eksempel bruk av en VPN-løsning fra en anerkjent VPN leverandør.

Vær oppmerksom på at enkelte mobile enheter automatisk kan koble seg til et usikkert trådløst nettverk og/eller et trådløst nettverk som utgir seg for et nettverk du tidligere har benyttet. Dette kan skje uten at du oppdager det, skru derfor alltid AV automatisk tilkobling til Wi-Fi (dette gjøres i innstillinger).

Unngå generelt bruk av Wi-Fi som ikke krever et passord for tilkobling, og benytt kun kjente Wi-Fi-nettverk. Unngå bruk av offentlige, gratis Wi-Fi f.eks. på hoteller, caféer, på flyplasser, eller på konferanser. Bruk heller din telefon til internett-deling (4G mobildata).

8. Benytt VPN for all nettverkstrafikk

Du bør benytte en VPN-løsning mot internett. VPN betyr Virtuelt Privat Nettverk og fungerer ved å kryptere trafikken du sender og mottar via din VPN-leverandør. Derfor er valget av VPN-tilbyder viktig, og er helt avgjørende for hvor sikker VPN løsningen er.

VPN brukes også for å gi tilgang til din virksomhets nettverk og tjenester fra internett.

Benytt en VPN-løsning fra en anerkjent leverandør, fortrinnsvis en sentralt anskaffet VPN-løsning som blir administrert av din IT-avdeling.

9. Vær forsiktig ved bruk av blåtann og slå av når du ikke bruker det

Blåtann («bluetooth») kan enkelt koble opp en forbindelse mellom din telefon, nettbrett eller PC til andre trådløse enheter som hodetelefon, en «hands-free» enhet eller en smartklokke. En blåtann-forbindelse kan overføre data/informasjon mellom din mobile enhet og andre trådløse enheter. For å forhindre mulig informasjonslekkasje bør du slå blåtann av når du ikke bruker det. Vær tilbakeholden og forsiktig med å koble din enhet til enheter du ikke stoler på.

Vær oppmerksom på at blåtann-forbindelsen til underholdnings- og navigasjonssystemet i en bil kan overføre opplysninger om kontaktpersoner og telefonanrop til bilens datamaskin. Disse kan være vanskelige å slette. Har du lånt eller leid en bil, bør du ikke koble dine enheter til bilen.

Aktiver bare blåtann når du trenger det. Unngå å koble deg til enheter du ikke selv eier (som leiebiler) og husk å slå blåtann AV etter bruk.

10. Deling av data med direkte trådløs forbindelse

Det finnes flere direkte trådløse forbindelser som kan benyttes ved deling av data mellom ulike mobile enheter. Disse er kjent under navnene på leverandørenes spesifikke løsninger.

Deling av data direkte mellom mobile enheter kan ofte være bedre enn andre delingstjenester som går via internett og kanskje via en sky-løsning. Dette fordi muligheten for at andre kan avlytte kommunikasjonen reduseres. Når du bruker delingstjenester vær oppmerksom på at de skal deaktiveres (slås AV) umiddelbart etter overføringen. Dette gjelder også bruk av blåtann (se anbefaling # 10).

Bruk fortrinnsvis en løsning som er kryptert og verifiserer at du kobler deg opp mot den korrekte andre mobile enheten. Sett innstillinger slik at du bare tillater deling med enheter som er i din kontaktliste.

11. Gi apper minimal tilgang til mikrofon, kamera og lokasjonsdata

En telefon, nettbrett, eller PC kan registrere hvor du befinner deg. Det kan avsløre hvor du arbeider, hvor du bor og hvilke lokasjoner du besøker, selv om du ikke bruker navigasjons-app.

Du bør utvise stor forsiktighet og tilbakeholdenhet med å gi apper tilgang til enhetens mikrofon, kamera og lokasjonsdata (GPS). Uønsket tilgang til disse funksjonene kan få store konsekvenser for sikkerheten til enhetens omgivelser og brukerens personvern, f.eks. ved skjulte opptak og sporing av bevegelsesmønstre.

Du bør derfor regelmessig kontrollere at appers tilgang til mikrofon, kamera og lokasjonsdata er satt til et strengt minimum. Vær spesielt nøye med sosiale medie-apper, siden disse ofte ber om mer tilgang enn mange brukere strengt tatt behøver for sin vanlige bruk.

Ikke legg opplysninger om din plassering ut på sosiale medier, herunder fitness-apper, spesielt ikke under utenlandsopphold.

12. Bare installer nødvendige apper og foretrekk kjente og tiltrodde kilder

Du bør utvise forsiktighet og tilbakeholdenhet ved installasjon av apper. Hver ekstra app som installeres på enheten kan potensielt redusere sikkerheten på enheten, snoke i lokale data, forårsake datalekkasjer mot internett, svekke personvernet til deg som bruker og øke faren for misbruk av enhetens mikrofon og kamera til avlytting og avtitting av dine omgivelser.

Skadevare, spionprogrammer og andre ondsinnede applikasjoner kommer ofte via uoffisielle distribusjonskanaler. Installer aldri apper som kommer fra en ukjent tjeneste eller apper som krever at sikkerhetsinnstillinger endres for at du skal kunne installere dem. Installer bare applikasjoner fra offisielle biblioteker fra leverandøren..

Du bør derfor bare installere apper som du virkelig trenger, og da foretrekke apper fra kjente og tiltrodde kilder. Du bør være spesielt kritiske til apper som ber om personlig informasjon og tilgang til data i offentlige skyer.

13. Skill mellom jobb og privatliv

Husk at både dine private, personlige data og informasjon fra din jobb kan være sensitive og verdifulle. Hvis du for eksempel mister telefonen kan du miste private bilder og andre data som ligger lagret på telefonen. Sammenblanding av private og arbeidsrelaterte konti og funksjoner øker derfor din mobile sårbarhet.

Bruk så få personlige konti som mulig, og bruk ikke mobilenheten som permanent lager for private data. Ta sikkerhetskopi av dine personlige data fra telefonen, nettbrett og PC-en, så du ikke mister noe ved et eventuelt tap.

Vurder å bruk en telefon til jobb og en annen telefon privat.

Noen virksomheter har større sikkerhetsbehov enn andre

Vi har i hovedsak fokusert på sikkerhetstiltak som den enkelte bruker selv kan gjennomføre. Disse brukertiltakene er nødvendige for at løsningen skal oppnå god sikkerhet. Neste avsnitt gjelder primært virksomheter med høyere sikkerhetskrav:

De tiltak som vil gi en høyere grad av mobil sikkerhet krever involvering av IT-avdelingen og innføring av en «Mobile Device Management» (MDM) type løsning. En slik løsning, også kalt «flåtestyring», gir IT sentralt mulighet til å administrere og kontrollere de mobile enhetene i virksomheten. Funksjoner som installasjon av applikasjoner på enheten, utføre sikkerhetsoppdateringer, administrasjon av VPN, fjernsletting av data ved tap av enhet med mer gis normalt gjennom en MDM-løsning.

For enkelte virksomheter/i spesielle tilfeller bør det også vurderes om det skal anvendes en dedikert telefon og/eller bærbar PC, som kun brukes på én utenlandsreise. 

Næringslivets Sikkerhetsråd | Postboks 5493 Majorstuen | 0305 Oslo | Middelthunsgt 27, Majorstuen | nsr@nsr-org.no

Følg oss