Big business

Informasjon kan være gull verdt. En idrettskjendis bidrar til at media gir et lite gløtt av hva som skjer i den private sikkerhetsbransjen når det gjelder informasjonstyveri.

VG, TV 2: Arrestordre på Landis. (Forhistorien i Dagbladet: Slik ble Tour de France-skandalen spiondrama.)

Datainnbrudd, informasjonstyveri og informasjon på avveie er ikke mindre utbredt i Norge enn i andre land. Kanskje heller mer utbredt i Norge, i takt med mer utbredt teknologi og digital forvaltning.

Norge har «noen av verdens beste miljøer» på datainnbrudd/datasikkerhet i Forsvaret. De er til salgs eller gratis tilgjengelig for kjente, om man tolker manglende reaksjoner i Skah-saken. (Mer: Alvor bak farsen, og: Forsvar til salgs.)

– – –

Basert på svarene norske bedrifter selv ga i 2007 sto like gjerne norske virksomheter som utenlandske bak industrispionasjen mot dem. Uavhengig av det kan de som utøver datainnbruddet sitte i et helt annet land enn oppdragsgiveren.

Fra rapporten FoU og innovasjon, NHO Norsk Industri, 2007.

Sensitiv informasjon på avveie har vært et økende problem de siste årene. Bevisstheten om det, og innsatsen for å begrense det, ser ikke ut til å ha økt tilsvarende. Det meste av oppmerksomheten er rettet mot næringslivet og informasjonstyveri eller  industrispionasje.

– Vi er litt for umodne. Vi er ikke bevisste nok på hvor lett det er å få tak i informasjon, sier daglig leder i Næringslivets sikkerhetsråd (NSR) Erland Løkken til Aftenposten.

Mange prøver seg. Hvem har ikke mottatt meldinger fra banken, Finn.no, diverse nettsamfunn eller nettbutikker om svindelforsøk og enkelte tyveri av informasjon?

Fra offentlig virksomhet er det verre å få slike erkjennelser. Man kan ikke se bort fra at en kommune eller et sykehus som roter bort en minnepinne med sensitiv informasjon,  eller der uvedkommende har fått tilgang, kanskje ikke har oppdaget det, eller ikke bryr seg om å varsle de som er eller kan være rammet.

Noen som har oppdaget det gir ansatte munnkurv om hendelsen. Av hensyn til kommunens eller sykehusets omdømme, som da altså veier tyngre enn hensynet til alle mulig rammede.

Med økt digitalisering av informasjon og ny teknologi kan en minnepinne lagre like mye informasjon som en lastebil med dokumenter. Hvis uvedkommende hadde fylt opp en lastebil med pasientinformasjon eller klientinformasjon fra ditt sykehus eller kommunens rådhus, så hadde kanskje noen reagert?

Ikke bare er det lettere å finne lastebilen enn en forsvunnet minnepinne, men innsatsen som settes inn for å finne minnepinnen synes ofte å være bagatellmessig i forhold til om samme informasjon hadde forsvunnet i en lastebil. Dette til tross for at digital informasjon lett kan kopieres og spres ytterligere. I motsetning til gamle papirmapper som ikke like lett kan spres.

Mange tusen, kanskje mange hundre tusen kan rammes.

Jeg har selv vært på kurs der mange offentlig ansatte hadde med seg minnepinner de ikke en gang visste at det var sensitiv informasjon på. Selv etter at de fikk vite det, lot de minnepinnene ligge usikret i hotellets konferanselokaler mens de hadde pauser. Dette er resultater av en kultur i forvaltningen.

Ingen reagerer når offentlig ansatte tar med seg en digital kopi av store mengder sensitiv informasjon på en minnepinne. Noen ganger for å bruke minnepinnen på en datamaskin med lavere sikkerhetsnivå, eller kanskje en maskin som uvedkommende har skaffet seg tilgang til?

Fire av ti datamaskiner kan brukes av kriminelle uten at eieren vet det. De kan være infisert av alt fra programmer som leter etter passord, fødselsnummer og identitetsopplysninger til målrettede angrep på en bestemt maskin.

Den gjennomsnittlige lærer bryr seg ikke om å varsle når en minnepinne som også inneholder sensitiv informasjon er på avveie. (Det aller meste som forsvant med minnepinnen er jo ikke sensitivt, så da er det vel ikke så farlig?)

Et inntrykk flere har delt med meg er at offentlige virksomheter som opplever at sensitiv informasjon om elever, pleietrengende eller andre kommer på avveie,  gjennomgående ofrer mindre ressurser på å skaffe det tilbake, eller informere de berørte, enn hva private virksomheter gjør.

Dette kan forklares med at for de private virksomhetene representerer informasjon på avveie mulig tapte inntekter. Og å ikke informere kan bety et omdømmetap de ikke aksepterer.

Når offentlig ansatte mister sensitiv informasjon er det gjerne andre enn de selv som rammes. Og offentlige ledere vurderer det som et omdømmetap å innrømme realiteter innen nivået på informasjonssikkerhet, og i noen tilfeller dårlig tilgangskontroll, innen sitt ansvarområde.

Derfor er det lettere å fnyse foraktelig over syklisten Landis og tenke: Slikt skjer i alle fall ikke her.

 

– – –

Mest lest på Norske forhold sist uke, pr 15. februar.

1. Skritt for skritt.

2. Avslørt.

3. Strengere straffer.

4. Hysj, vi kan ikke snakke høyt om det.

5. Støtter norske muslimer denne mannen?


Bloggurat

Blogglisten

Twingly BlogRank

Forsvarsministeren vil gi offiserer yrkesforbud (VG). Offiserenes fagforening reagerer, ikke uventet. Hvem vinner krigen? Den med lovlig politisk makt, eller de som tar seg til rette i mangel av strengere reguleringer og sanksjoner?