Alla inlägg den 3 december 2023

:

Kommentera
Av Svenn Dybvik - 3 december 2023 03:12

https://nsm.no/regelverk-og-hjelp/rapporter/nasjonalt-digitalt-risikobilde-2023

 Nasjonalt digitalt risikobilde 2023

Rapporten skal bidra til bedre digital sikkerhet i offentlige og private virksomheter gjennom eksempler og råd.

Nasjonalt digitalt risikobilde 2023 tar opp problemstillinger knyttet til statssikkerhet, samfunnssikkerhet og individsikkerhet innenfor det digitale domenet.

 


Rapporten tar blant annet opp at:  

  • NSM forventer at utviklingen innenfor kunstig intelligens og store språkmodeller vil føre til ytterligere profesjonalisering hos angripere. 
  • Cyberoperasjoner kan få økt fysisk slagkraft når industrielle systemer i økende grad kobles til internett.
  • Økt cybersikkerhet gjør andre metoder for tilgang til informasjon mer attraktive. Innsiderisikoen kan øke ved ensidig fokus på cybersikkerhet. Det er avgjørende å tenke sikkerhet i alle domener.
  • Valgpåvirkning gjennom cyberoperasjoner setter demokratier under press.  
  • Les også: Norge rammes av avanserte målrettede cyberangrep 

Nasjonalt digitalt risikobilde skal motivere til bedre digital sikkerhet i offentlige og private virksomheter. NSM vil følge opp arbeidet med å styrke den digitale sikkerheten på alle nivåer i samfunnet vårt. Rapporten henvender seg til ledere og personell med sikkerhetsoppgaver i alle sektorer. Du kan også lytte til rapporten som podcast.

 

 

Ny rapport slår alarm om bølgjer av dataangrep

Ny rapport slår alarm om bølgjer av dataangrep – NRK Vestland

Nasjonalt tryggingsorgan (NSM) åtvarar om bølgjer av dataangrep i rapporten «Nasjonalt digitalt risikobilete»

 

I Noreg aukar talet på svindelsaker – IT-ekspert meiner vi har mykje å lære av svenskane

Meiner Noreg kan lære av Sverige for å redusere svindelforsøk – NRK Nordland

Rundt 40 millionar kroner i månaden blei tappa frå kundar sine bankkontoar.

Det blei sett på som angrep på essensiell infrastruktur og kritisk for tilliten til bankvesenet.

 

 

https://www.dn.no/teknologi/nsm/cybersikkerhet/it-sikkerhet/ny-rapport-slar-alarm-om-alvorlige-hull-i-norges-digitale-sikkerhet/2-1-1537749

Flere angrep mot forsvarssektoren

"– informasjonssystemene som understøtter grunnleggende nasjonale funksjoner (GNF), ikke er tilstrekkelig kartlagt, og ofte ikke har etablert et forsvarlig sikkerhetsnivå."

 

 

 

 

 

 

https://norsis.no/sikkerhetskultur2023/

 Nordmenn og digital sikkerhetskultur 2023

 

 

Disse metodene bruker svindlerne

https://www.vg.no/annonsorinnhold/altibox/sikkerhet/

  • Distraksjon. Blir du ofte distrahert av mye detaljert informasjon? Svindelforsøkene vil ofte ha et ekstremt fokus på detaljer, slik at du blir tvunget til å flytte fokuset vekk fra det faktum at du er i ferd med å bli lurt.
  • Sosial aksept. Har du ekstra respekt for autoriteter? Da er du ikke alene. Derfor vil svindlerne ofte utgi seg å være en autoritet, som for eksempel politiet, banken, skattevesenet eller ledelsen i selskapet du jobber i.
  • Uærlighet. Svindlerne vil gjerne forsøke å få deg til å gjøre noe litt umoralsk eller ulovlig, slik at du i etterkant skal la være å anmelde saken.
  • Grådighet/behov. Ønsker du gratis penger, billige produkter eller en reise til superpris? Det kommer neppe seilende tilfeldig i en e-post. Det gjør heller ikke premier i konkurranser du ikke kan huske å ha deltatt i, gylne investeringsmuligheter eller gratis kryptovaluta.
  • Phishing: En av de vanligste svindelmetodene går ut på å få deg til å oppgi brukernavn og passord på en falsk nettside, slik at svindlerne kan bruke denne informasjonen andre steder. Får du en e-post med en link til en side hvor du må logge inn, bør varsellampene blinke.
  • Tidspress. Dårlige avgjørelser blir ofte tatt dersom vi kjenner på tidspress. Har du ikke tid til å tenke deg om før en avgjørelse må tas, er det en stor sjanse for at du er i ferd med å bli svindlet.

 

 

 

 

 

 

https://norsis.no/nasjonal-sikkerhetsmaned/

 Hvert år i oktober markerer og koordinerer NorSIS Nasjonal Sikkerhetsmåned.

Årets tema: Sosial manipulering

Sosial manipulering er blitt en stadig mer vanlig metode for svindel, kontokapring og uautorisert tilgang til virksomheters digitale systemer, spesielt med den moderne teknologiens utvikling.

 

I korte trekk går «sosial manipulering» ut på å manipulere mennesker til å utføre spesifikke handlinger eller avsløre informasjon som er nyttig for angripere.

 

Kriminelle utnytter sosiale medier, e-post, tekstmeldinger, telefonsamtaler og andre digitale kanaler for å kontakte potensielle ofre. De later som om de representerer kjente virksomheter, offentlige aktører, banker, nettbutikker eller til og med venner og familie. De appellerer til følelser som fristelser, frykt og tillit, og håper at du handler impulsivt uten å tenke deg om.


Målet deres er å overbevise deg om at du må handle raskt eller dele sensitiv informasjon for å unngå problemer eller dra nytte av en tilsynelatende god mulighet.

 

Et vanlig eksempel er såkalte «phishing»-angrep via e-post eller meldinger, der svindlere sender falske meldinger som later som om de kommer fra en pålitelig kilde. De ber kanskje om at du oppdaterer kontoinformasjonen din, klikker på en skadelig lenke eller laster ned vedlegg som inneholder skadelig programvare.

 

Når du gir etter for disse forespørslene eller utfører handlingene de ber om, får svindlerne tilgang til dine personlige data eller stjeler pengene dine.


Både privatpersoner og virksomheter er hele tiden utsatt for dette, derfor ønsker vi med årets tema å skape mer bevissthet og kunnskap for at alle skal bli mindre sårbar for dette fenomenet.


Vi har produsert en pakke med tekster til sosiale medier, infoplakater og videoer som kan benyttes fritt.

 

LAST NED

 

 

 

 

 

 

Tips til virksomheter for vurdering av sosiale medie-apper

Hvilke apper kan ansatte ha på telefonen? NSM har utarbeidet tips til virksomheter som skal utarbeide rutiner for bruk av sosiale medier internt.

Sosiale medie-apper er et utbredt innslag på mobile enheter. Det kan innebære risiko for norske virksomheter. Ansatte kan ha slike apper både på private enheter og tjenesteenheter som har tilgang til virksomhetens interne digitale tjenester eller infrastruktur. NSM har derfor samlet tips og begrepsavklaringer til hjelp i virksomhetens digitale risikoarbeid.

Tipsene lister opp noen viktige kriterier for å vurdere risikoen knyttet til sosiale medie-apper og for å vurdere risikoreduserende tiltak. Dette er kun ment å supplere en ordinær risikovurdering og utgjør ikke en fullstendig beskrivelse av risikovurderingen en virksomhet bør utføre. Det betyr at blant annet vurdering av tillit til leverandører av IT-tjenester og apper, og vurdering av kryptoalgoritmer og -nøkler ikke omtales her. Noen av disse problemstillingene er omtalt i NSMs 13 råd for bedre sikkerhet på mobile enheter.

Se hvilke tiltak ansatte selv kan ta i bruk: NSMs 13 råd for bedre sikkerhet på mobile enheter

 

Verdi- og skadevurdering

Hvilke verdier som bør beskyttes i forbindelse med bruk av tjenesteenheter, vil være forskjellig fra virksomhet til virksomhet. Det kan også variere med rolle eller stilling den enkelte medarbeider har i virksomheten.

For mobile tjenesteenheter er det flere faktorer som kan være relevante å ta med i verdi- og skadevurderingen. Listen under er en veiledende, men ikke uttømmende, stikkordsliste:

  • Hva slags informasjon kan bli lagret på enheten?
  • Hvilke deler av virksomhetens interne digitale infrastruktur kan enheten kobles opp mot?
  • Hvilke virksomhetsinterne tjenester og opplysninger kan enheten få tilgang til?
  • Hvor sensitiv virksomhetsintern informasjon kommuniseres gjennom enheten
  • Behandles virksomhetsintern informasjon kun i apper som er plassert i egne «kontainere»?
  • Har enheten mikrofon eller kamera?
  • Er mobilenheten underlagt flåtestyring, og hvor streng er denne?
  • Er det behov for å forhindre sporing av personen som bruker tjenesteenheten?

Når det gjelder apper for sosiale medier, er det viktig å vurdere mulighetene for å begrense sporing. Sporing er en betegnelse som omfatter både bruks- og kommunikasjonsmønster i det digitale domenet og muligheten til å spore den geografiske posisjonen til den fysiske enheten. Her kan det være hensiktsmessig å ta hensyn til om brukeren er trusselutsatt av andre årsaker enn arbeidsforhold, for eksempel personer som har sperret adresse i Folkeregisteret.

 

Vurdering av tjenester og apper i kategorien sosiale medier

Det finnes mange apper for sosiale medier, og disse tilbyr gjerne svært ulike tjenester. Et viktig felles trekk er at disse tjenestene ofte tilbys uten betalt abonnement. 

Ansatte i en virksomhet kan ha tjenstlig behov for enkelte apper for sosiale medier. For å gjøre en god risikovurdering er det hensiktsmessig at virksomheten forstår app- og tjenestetilbyders forretningsmodell.

Enkelte tjenester og apper tilpasset sosiale medier kan brukes til å sette opp en lukket tjeneste for intern kommunikasjon i egen virksomhet, og dermed tilbys som en del av virksomhetens interne tjenester. Her er det viktig ikke å forveksle en åpen offentlig tjeneste med en lukket sikker tjeneste da utforming og funksjonalitet kan ha store likhetstrekk.

 

Om apper og digital sikkerhet generelt

Virksomheten bør alltid gjøre en risikovurdering av alle apper som skal tillates installert på tjenesteenheter.

For virksomheten er det vesentlig å vurdere

  • hvilke opplysninger appen kan fange opp om brukeren
  • om appen kan fange opp informasjon uten at brukeren har gitt et informert samtykke
  • om appen kan utnyttes til å kompromittere noen av virksomhetens digitale tjenester eller infrastruktur

Et tiltak for å redusere risiko er å plassere apper som behandler virksomhetsintern informasjon i egne «kontainere» (kontainerisering). Det gir hver applikasjon et eget isolert område, hvor den har alt den trenger for å kjøre samtidig som den er beskyttet fra andre applikasjoner. Det er også viktig med tiltak som bidrar til at alle medarbeidere i virksomheten er bevisst på skillet mellom privat og virksomhetsintern informasjon.

Anbefalt praksis er at digitale enheter skal oppdatere programvare automatisk slik at sårbarheter og feil som leverandøren retter, fortløpende blir oppdatert på brukernes enheter. Det medfører også at ny funksjonalitet distribueres, og at apper automatisk kan få nye egenskaper. Virksomheten må derfor gjøre en løpende risikovurdering av alle apper som oppdateres automatisk.

Det kan være stor usikkerhet knyttet til vurderingen av en enkelt app. Dette gjør at vurderingen av mulige uønskede konsekvenser må vektlegges. Muligheten for alvorlige konsekvenser er tilstrekkelig grunnlag for å følge «føre var»-prinsippet.

 

Noen vesentlige faktorer i vurderingen av apper

Det er viktig å merke seg at mange apper gir mulighet for å åpne vanlige nettsider. Dette gjøres ofte i appens egen nettleser, og ikke i nettleseren brukeren vanligvis benytter. Derfor må risikovurderingen av en app for sosiale medier også omfatte andre tjenester brukeren kan nå gjennom appen. Appens innebygde nettleser kan ha andre og mer alvorlige sårbarheter enn den nettleseren som er satt opp som standard for enheten.

Det er også viktig å vurdere hvilke opplysninger som overføres eller deles mellom forskjellige apper. Enkelte tilbydere av sosiale medier har bygget et økosystem av tjenester som deler informasjon om brukere og den enkelte brukers handlingsmønster knyttet til samtlige tjenester.

Denne innsamlingen av opplysninger gjør det også nødvendig å vurdere risiko dersom ansatte, fra virksomhetens enheter, logger seg inn med sin private bruker på forskjellige webtjenester. Dette gjelder også når apper for de samme tjenestene ikke er installert på virksomhetens enheter.

 

Om meldingsapper

Det er vesentlig at meldingsapper bruker ende-til-ende-kryptering med en tilstrekkelig sterk algoritme og nøkkellengde. Dersom tjenesten tillater at brukere unntaksvis kan sende meldinger ukryptert, må dette være tydelig markert i appens brukergrensesnitt.
Det er også nødvendig å vurdere hvordan nye brukere blir registrert i meldingstjenesten. Har tjenesten etablert gode rutiner for å håndtere tilfeller der brukere på falskt grunnlag utgir seg for å være ansatt i en virksomhet?

 

Instruks og opplæring for ansatte

Det er viktig at virksomheten aktivt bidrar til at de ansatte har god risikoforståelse når det gjelder oppgavene de utfører og informasjonen de håndterer i arbeid for virksomheten. God, tydelig og tidlig informasjon om dette temaet er et bidrag til at virksomheten utvikler en god sikkerhetskultur.

Virksomheten må etablere gode rutiner for hvordan brukerkontoer i sosiale medier skal håndteres når ansatte slutter. Dette gjelder både kontoer som formelt eies av virksomheten, og eventuelle rettigheter som virksomheten midlertidig har gitt en konto som tilhører de enkelte medarbeidere i virksomheten. Virksomheten bør også ha etablert klare regler for eventuell bruk av virksomhetens navn og varemerker på medarbeideres private kontoer, slik at det ikke oppstår tvil om kontoen representerer virksomheten eller en privatperson.

 

Mobile enheter og tjenestemobiler

  • Mobile enheter er mobiltelefoner, nettbrett, bærbare datamaskiner og lignende utstyr. 
  • Betegnelsen tjenesteenhet, hvor det ofte dreier seg om tjenestetelefon, brukes når utgifter til utstyr og abonnementer er dekket for å dekke tjenstlig behov. Også utstyr som arbeidsgiver midlertidig låner ut til ansatte er tjenesteenheter.
  • Det er ikke noe krav om at én enkelt enhet skal dekke alle tjenstlige behov. Det kan være hensiktsmessig å skille mellom ordinære tjenesteenheter og slike tjenesteenheter som kun skal brukes til spesielle formål.

 

 

 

 


Fem effektive tiltak mot dataangrep

Her beskrives fem effektive tekniske tiltak som systemeiere bør benytte for å beskytte sine systemer mot internett-relaterte dataangrep.

De vanligste angrep utføres med ondsinnet programvare mot de ansattes datamaskiner samt ved gjetting av enkle passord. De fleste av disse angrepene er teknisk sett mulig å stoppe, selv om ansatte skulle klikke på ondsinnet programvare. NSM har i flere tiår utviklet tekniske sikkerhetstiltak for beskyttelse av IKT-systemer. Ut fra disse erfaringer ser vi at virksomheter kan stanse de fleste dataangrep med følgende tiltak:

https://nsm.no/fagomrader/digital-sikkerhet/rad-og-anbefalinger-innenfor-digital-sikkerhet/5tiltak

 

 

 

 

 

 

Beskytt deg!

https://www.politiet.no/rad/beskytt-deg-mot-svindel-og-id-tyveri/#raad-til-deg-som-er-rammet-av-id-tyveri-button

Allmänt · ‽IT · · interrobangit · § · §IT
Dela · Kommentera  
Ovido - Quiz & Flashcards