Norsis vil sikkerhets-måle nordmenn

Norsis vil sikkerhets-måle nordmenn

Nasjonal sikkerhetsmåned starter i dag, med opprettelsen av et nytt, nasjonalt cybersenter. Men funker det?

Det er tredje året Norsk senter for informasjonssikring (Norsis) arrangerer nasjonal sikkerhetsmåned i oktober, en dugnad for å sette it-sikkerhet på agendaen i vårt lille land.

Tilsvarende arrangement har vært arrangert i USA i over ti år, men Norge har vært tidlig ute i Europa-sammenheng. I fjor var vi med som pilot i Enisa-prosjektet (European Union Agency for Network and Information Security), en felles-Europeisk satsing som i år rommer 27 land som alle har nasjonal sikkerhetsmåned denne måneden.

– Å sikre verdiene sine har blitt utrolig viktig. Vi vil at it-sikkerhet skal bli en naturlig del av hverdagen, slik som bilbeltet er, sier Norsis-sjef Tore Larsen Ordreløkken.

Udokumentert effekt

I oktober vil de sammen med sine samarbeidspartnere blant annet dra på turné i landet, samtidig som tv-skjermene vil fylles med reklamespoter der hovedrollene spilles av ullsokker som utsettes for sikkerhetsbrudd. Totalt vil Norsis dele ut 6500 «sikkerhetsgadgets», som tyggegummier og isskraper med fiffige budskap, og over 150 arrangementer vil finne sted hos store og små virksomheter.

– Men dette med dette med oktober og nasjonal sikkerhetsmyndighet er jo litt abstrakt, funker det? Dere har kjørt prosjektet tre år på rad, har dere noen måte å måle suksess på?

– Vi har ingen måling per nå. I Nasjonal strategi for informasjonssikkerhet står det at man skal måle innbyggerne, og derfor har vi sendt en forespørsel til justis- og beredskapsdepartementet med forespørsel om å iverksette en slik måling. Om vi kjører en slik måling før og etter kampanjen i oktober, vil vi kunne se om nasjonal sikkerhetsmåned har noen effekt, sier Ordreløkken.

– Ellers går jobben hele året, inkludert oktober, og vi ønsker å utgjøre en forskjell. Så vi må starte å få gode tall på det.

Nordmenn utpekt

Egentlig ligger ikke Norge så verst an sammenlignet med øvrige land i verden.

– Flere rapporter viser at det står bra til i Norge. Noe av det skyldes at vi har blitt mer opptatt av informasjonssikkerhet, ikke minst fordi media skriver mer om det, men det er også fordi det er flere samarbeidende aktører som er gode til å fortelle om det, sier Ordreløkken.

En undersøkelse Norsis har gjennomført viser at 90 prosent sier at informasjonssikkerhet har ganske stor eller meget stor betydning ved valg av produkt eller en tjeneste. Samtidig er det 48 prosent av pc-brukere som ikke føler seg trygge på at pc-en er sikker. Like mange prosent tar ikke sikkerhetskopi.

46 prosent får ikke opplæring i informasjonssikkerhet på jobben, og vet kanskje ikke hvilken informasjon som bør sikres. 24 prosent har mottatt en telefon fra noen som forsøker å svindle seg med at de har virus på pc-en.

– At man setter inn ressurser på å angripe nordmenn, har vi sett. Det koster jo litt å ringe nordmenn og snakke med dem i flere minutter. Ikke minst koster det litt å etablere callsentre for slikt. Det er en god grunn til at vi kjører nasjonal sikkerhetsmåned, påpeker Ordreløkken.

Redd for mørketall

Marie Moe i Norcert-avdelingen til Nasjonal sikkerhetsmyndighet (NSM) sitter på flere konkrete tall. Hittil i år har operasjonssentralen allerede behandlet over 12.000 saker. I fjor endte summen på 8600. Det er alt fra småsaker til større, komplekse saker. Blant de store, er det hittil i år håndtert 24 såkalt alvorlige hendelser, som for eksempel kan være digital spionasje.

– Der er dette vi er mest bekymret for, sier Moe.

– Det er da spesielt rettet mot norske myndigheter, forsvarsindustrien, høyteknologiske virksomheter og NGO-er (ikke-statlig organisasjon, journ.anm.), sier hun.

I disse tilfellene er det gjerne snakk om lure-eposter som er skreddersydd mot et mindre antall personer, der målet er å infisere disse brukerne med trojanere. Det var slik Telenor blant annet ble angrepet, som man vet er blant de 24 sakene.

I fjor behandlet Norcert 46 alvorlige saker, og i og med at året ikke er over ennå, er det foreløpig litt tidlig å si hva tallenes tale vil si for 2013. Men uansett er det kanskje heller det som ikke rapporteres som er mest urovekkende.

– Vi tror det er store mørketall. Vi tror mange norske virksomheter er rammet uten å kjenne til det selv, sier Moe.

Men hun har et lyspunkt å komme med i sine tall og analyser:

– En gladnyhet i det hele, er at mobile plattformer foreløpig ikke er spesielt utsatt, sier hun.

Styrkende konkrete tiltak

Det er også verdt å merke seg at det på denne symbolske dag har blitt holdt konstituerende møte for nytt, nasjonalt cybercenter, der NSM skal samarbeide tett med både Cyberforsvaret og Kripos. Norcert beskrives som grunnfjellet i cybersenteret.

- Vi vil på sikt også invitere flere viktige aktører til dette samarbeidet. Etter hvert som vi utvider, må vi også tenke annerledes om hvordan vi skal jobbe. Akkurat nå møtes vi fysisk, men det bir nok virtuelt senere, sier oberst Hans Robert Bjørnaas, som til vanlig er avdelingssjef for teknologi hos NSM.

Daglig leder i Bankens Standardiseringskontor, Lars Erik Fjørtoft, kan også meddele at det skjer saker og ting på den finansielle sikkerhetsfronten 1. oktober 2013.

- Dette er den første dagen til den nye daglige lederen i Finanscert, sier Fjørtoft, som dermed også tropper av som fungerende daglig leder for denne cert-en.

Finanscert skal i korte trekk være «finansnæringens A-lag mot internettkirminalitet».

- Så det blir jubileum for den nye daglige lederen Morten Tandle (som sist jobbet i Bouvet, journ.anm) hver eneste gang vi har kick-off for nasjonal sikkerhetsmyndighet, flirer Fjørtoft.

Fjørtoft kan meddele at bankene har hatt under to millioner kroner i tap som følge av angrep mot nettbanker første halvår 2013, som er en nedgang sammenlignet med 2012. Tal med bruke av falske kot som følge av skimming, utgjorde første halvår i år 21 millioner kroner, som er en oppgang på cirka to millioner fra samme periode i fjor.

- Relativt stabile tall, mener Fjørtoft, som minner norske bankkunder om at banken selvfølgelig selv vet hva som er ditt kontonummer og kredittkortnummer, og ikke har noe med hvilke koder du bruker, så det er altså ingen vits i å svare på epost med spørsmål rundt dette.

Offentlig Sektor