Svenn Dybvik

Senaste inläggen

.

Av Svenn Dybvik - 15 november 2024 00:45

Riksrevisjonen

Undersøkelse av Forsvarets informasjonssystemer til bruk i operasjoner.

Les hele artikkelen

▼

https://www.riksrevisjonen.no/rapporter-mappe/no-2022-2023/undersokelse-av-forsvarets-informasjonssystemer-informasjonssystemer-til-bruk-i-operasjoner/

Forsvarets Cybersikkerhet

"Bare toppen av isfjellet."

Les hele artikkelen

▼

https://www.dagsavisen.no/nyheter/innenriks/2022/10/04/ikt-norge-om-kritikk-mot-forsvaret-bare-toppen-av-isfjellet/

"Sammen for en trygg hverdag"

Statsråd Emilie Enger Mehl åpnet mandag 3. oktober nasjonal sikkerhetsmåned 2022 – en årlig nasjonal dugnad for å øke den digitale sikkerhetsbevisstheten i Norge.

Les hele artikkelen

▼

https://www.regjeringen.no/no/aktuelt/nasjonal-sikkerhetsmaned-er-i-gang/id2930570/

https://www.riksrevisjonen.no/rapporter-mappe/no-2022-2023/undersokelse-av-forsvarets-informasjonssystemer-informasjonssystemer-til-bruk-i-operasjoner/

Undersøkelse av Forsvarets informasjonssystemer til bruk i operasjoner

Kort fortalt
Effektive og sikre informasjonssystemer er avgjørende for Forsvarets operative evne. Informasjon skal deles og kommandoer gis raskt. Sikkerhetstrusler skal oppdages og stanses.
Riksrevisjonen har funnet mangler i informasjonssystemene Forsvaret bruker i operasjoner.
Dette er en av de mest alvorlige rapportene Riksrevisjonen har lagt frem. Begrunnelsen er at svakhetene kan få store konsekvenser for rikets sikkerhet
Selve rapporten er gradert etter reglene i sikkerhetsloven, men vi har utarbeidet en ugradert oppsummering.
Vi har hovedsakelig undersøkt perioden fra 2017 til 2020, altså forrige langtidsplan for forsvarssektoren.

Kritikknivå: Svært alvorlig

Det er svært alvorlig at det er mangler ved informasjonssystemene Forsvaret bruker i operasjoner, både når det gjelder samvirke og sikkerhet. Dette kan få store konsekvenser.

Kritikknivå: Alvorlig
Forsvarets evne til å oppdage og håndtere digitale angrep er begrenset i situasjoner med et økt trusselnivå.
Forsvaret bruker informasjonssystemer som ikke tilfredsstiller sikkerhetslovens krav.

Kritikknivå: Sterkt kritikkverdig
Forsvaret har ikke god nok oversikt over og kunnskap om informasjonssystemene.
Forsvaret mangler et solid system for sikkerhetsstyring.
Forsvaret har i liten grad begrenset antall informasjonssystemer.
Forsvarsdepartementet, Forsvarsmateriell og Forsvaret møter ikke forventningene Stortinget stilte til IKT-portefølje, styring og organisering i forrige langtidsplan.

https://kommunikasjon.ntb.no/pressemelding/riksrevisor-en-av-de-mest-alvorlige-rapportene-vi-har-lagt-frem?publisherId=17846918&releaseId=17942333&lang=no

Riksrevisor: En av de mest alvorlige rapportene vi har lagt frem

Riksrevisjonen har funnet mangler i informasjonssystemene Forsvaret bruker i operasjoner. Det er sårbarheter i sikkerheten, og systemene fungerer for dårlig sammen. Dette er svært alvorlig.

─ Rapporten om Forsvarets informasjonssystemer er en av de mest alvorlige Riksrevisjonen noen gang har lagt frem, sier riksrevisor Karl Eirik Schjøtt-Pedersen.

Forsvarets operative evne avhenger av muligheten til å samhandle i operasjoner, både mellom ulike deler av Forsvaret og med Nato og allierte. Riksrevisjonen har undersøkt informasjonssystemene Forsvaret bruker for kommunikasjon og informasjonsutveksling i operasjoner. Militærfaglig kalles dette kommando- og kontrollinformasjonssystemer. Informasjon skal deles og kommandoer gis raskt. Forsvaret må derfor sørge for at systemene er effektive. Sikkerhetstrusler mot informasjonssystemene, som sabotasje, terror og spionasje, må også oppdages og stanses raskt.

─ Det er svært alvorlig at det er mangler ved informasjonssystemene Forsvaret bruker i operasjoner. Forsvaret har kjent til dette i mange år og ikke evnet å gjøre det som trengs, sier Schjøtt-Pedersen.

─ I en rekke undersøkelser, blant annet om objektsikring og kjøp av nye helikoptre, har Riksrevisjonen avdekket alvorlige svakheter i Forsvaret. Hvordan er det mulig at de som har ansvar for å sikre Norges suverenitet og selvstendighet har havnet i denne situasjonen? spør Schjøtt-Pedersen.

Riksrevisjonen har undersøkt perioden 2017 til 2020, som sammenfaller med forrige langtidsplan for forsvarssektoren. Selve rapporten er gradert etter sikkerhetsloven, men vi offentliggjør i dag en ugradert oppsummering.

Les den ugraderte oppsummeringen.

(PDF, 0,37 MB)Last ned ugradert oppsummering (pdf)

"Vi kommer til å følge opp denne undersøkelsen allerede om ett til to år for å se om situasjonen har blitt bedre. Årsaken til det er at funnene er så alvorlige. Normalt følger vi opp etter tre år, men her er det helt avgjørende at Forsvarsdepartementet tar tak raskt."

Sårbarheter i sikkerheten kan få store konsekvenser

Riksrevisjonens undersøkelse viser at sårbarheter i Forsvarets informasjonssystemer gir risiko for svekket operativ evne. Det betyr at det kan bli vanskeligere for Forsvaret å håndtere angrep mot norske mål. Riksrevisjonen kritiserer dette, men innholdet i kritikken er gradert.

Ellers mener Riksrevisjonen det er alvorlig at

Forsvarets evne til å oppdage og håndtere digitale angrep er begrenset i situasjoner med et økt trusselnivå
Forsvaret bruker informasjonssystemer som ikke tilfredsstiller sikkerhetslovens krav om å beskytte informasjon som skal skjermes
I tillegg mener vi det er sterkt kritikkverdig at Forsvaret

ikke har god nok oversikt over og kunnskap om informasjonssystemene
ikke har et mer solid system for sikkerhetsstyring
─ Svakhetene som Riksrevisjonen avdekker kan få store konsekvenser, både i fred, krise og krig. Vi snakker om grunnleggende sikkerhet i en stadig mer digital verden. Forsvaret må sikre informasjonssystemene sine og det må skje raskt, sier Schjøtt-Pedersen.

Digital sikkerhet er svært viktig og digitale angrep har i økende grad blitt en del av militære operasjoner. De kan få like alvorlige konsekvenser som et tradisjonelt angrep. Derfor er det avgjørende at Forsvaret sikrer informasjonssystemene de bruker i operasjoner.

Informasjonssystemene fungerer ikke godt nok sammen
Undersøkelsen viser også at Forsvarets informasjonssystemer ikke fungerer godt nok sammen. Det gir risiko for redusert effektivitet og kan få betydning i en situasjon der konfliktnivået øker og tid er avgjørende. Riksrevisjonen kritiserer dette, men innholdet i denne kritikken er også gradert.

Forsvaret har svært mange informasjonssystemer med ulike tekniske løsninger. Dette gjør det vanskelig å dele informasjon effektivt mellom systemene. I tillegg er det ressurskrevende.

Forsvaret har lenge hatt et mål om å redusere antallet systemer, men har i liten grad klart å begrense antallet. Det mener Riksrevisjonen er sterkt kritikkverdig.

For at Forsvarets informasjonssystemer skal fungere effektivt i operasjoner må informasjon kunne deles enkelt og sikkert mellom ulike systemer. Riksrevisjonens undersøkelse viser at det ikke er tilfelle.

Gradert rapport, ugradert oppsummering
Rapporten om Forsvarets informasjonssystemer er gradert på nivået «KONFIDENSIELT» etter reglene i sikkerhetsloven. Det betyr at den ikke er offentlig av hensyn til rikets sikkerhet.

─ Riksrevisjonen strekker seg langt for å sikre åpenhet om våre undersøkelser. Samtidig må vi følge sikkerhetsloven. Jeg vil understreke at det vi legger frem i dag gir et relativt fullstendig bilde av saken, selv om vi ikke kan gå ut med alle detaljer. Når Riksrevisjonen finner så alvorlige feil i statsforvaltningen er det svært viktig at innbyggerne får vite om det. Det er ikke mange andre som kan gi offentligheten denne typen informasjon om Forsvaret, understreker Schjøtt-Pedersen.

Den graderte rapporten er levert til Stortinget. I tillegg offentliggjør vi en oppsummering av rapporten - en ugradert versjon av Dokument 3:3 (2022─2023). Den er utarbeidet i god dialog med Forsvarsdepartementet, som er informasjonseier. Graderte opplysninger er fjernet og en del informasjon er skrevet om slik at informasjonen kan offentliggjøres. Dette gjelder også deler av Riksrevisjonens kritikk.

https://www.dagsavisen.no/nyheter/innenriks/2022/10/04/ikt-norge-om-kritikk-mot-forsvaret-bare-toppen-av-isfjellet/

IKT-Norge om kritikk mot Forsvaret: Bare toppen av isfjellet

Riksrevisjonen kritikk av Forsvarets cybersikkerhet er svært alvorlig, men enda mer alvorlig er at dette bare er toppen av isfjellet, uttaler IKT-Norge.

– Manglende kompetanse, situasjonsforståelse, sikkerhetskultur og vilje til cybersikkerhet ser ut til å gjelde store deler av det norske samfunnet, skriver bransjeorganisasjonen i en pressemelding.

– IKT-Norge har det siste året kommet med kraftige advarsler. Vi har pekt på en rekke tilfeller som hver for seg er svært alvorlige, men som sammen utgjør en uholdbar situasjon for Norge, heter det videre.

Selve rapporten fra Riksrevisjonen er hemmelighetstemplet, men ifølge en ugradert oppsummering kommer det fram at svakheter som er avdekket, etter riksrevisjonens syn kan få store konsekvenser for rikets sikkerhet.

Funnene til Riksrevisjonen er svært alvorlige, sier leder Torbjørn Bongo i Norges offisers- og spesialistforbund til VG.

– Svært mange ansatte i Forsvaret er glad for at Riksrevisjonen nå setter et kritisk søkelys på Forsvarets IKT-systemer. Mange har sagt tydelig ifra internt. Men dette er et så sensitivt område for Forsvaret og for rikets sikkerhet at det har vært for krevende for mange å varsle, sier Bongo.

Han mener Forsvarets IKT-systemer levd på sikkerhetsmyndighetenes nåde i lengre tid. Overfor VG bekreftes dette bildet av både Nasjonal sikkerhetsmyndighet og forsvarsledelsen.

https://www.regjeringen.no/no/aktuelt/nasjonal-sikkerhetsmaned-er-i-gang/id2930570/

(fra oktober 2022)

Statsråd Emilie Enger Mehl åpnet mandag 3. oktober nasjonal sikkerhetsmåned 2022 – en årlig nasjonal dugnad for å øke den digitale sikkerhetsbevisstheten i Norge.

Gasslekkasjene i Østersjøen og den pågående krigen i Ukraina har økt både oppmerksomheten og interessen for sikkerhet – og i vårt digitaliserte samfunn er digital sikkerhet noe som angår oss alle. Utfordringen er at mange fortsatt mangler nødvendige ferdigheter og kunnskaper for å møte trusler i det digitale rom.

– Tidligere var digital sikkerhet noe for de spesielt interesserte. Nå er det noe som angår absolutt alle. Jeg ser på årets sikkerhetsmåned, i den tiden vi er inne i, som en verdifull mulighet til å styrke det digitale forsvaret av Norge, sa justis- og beredskapsminister Emilie Enger Mehl, da hun 3. oktober åpnet Nasjonal sikkerhetsmåned 2022 sammen med NorSIS og Nasjonal sikkerhetsmyndighet.

Hun pekte på at regjeringen har bidratt til å bedre beredskapen også innenfor det digitale rom, blant gjennom å styrke Nasjonal sikkerhetsmyndighet (NSM) og PST.

Sammen for en trygg hverdag
Nasjonal sikkerhetsmåned arrangeres hvert år for å øke engasjementet, bevisstheten og kunnskapen om digital sikkerhet, både i befolkningen og i virksomheter. Det er Norsk senter for informasjonssikring (NorSIS) som koordinerer nasjonal sikkerhetsmåned i Norge på oppdrag fra Justis- og beredskapsdepartementet.

I år er temaet for nasjonal sikkerhetsmåned «Sammen for en trygg digital hverdag», med oppmerksomhet på løsepengeangrep og ulike former for sosial manipulering.

Hele denne måneden foregår det en rekke aktiviteter for å styrke den digitale sikkerhetsbevisstheten i Norge. Det arrangeres blant annet foredragsdugnad, seminarer og kampanjer i sosiale medier. Informasjon om aktiviteter under sikkerhetsmåneden – samt gode råd og veiledninger for å øke digital sikkerhet – finner du på nettstedene til NorSIS og Nasjonal sikkerhetsmyndighet.

Les mer om Nasjonal sikkerhetsmåned hos NorSIS

Cyberangrep har blitt hverdagskost

Under åpningen av sikkerhetsmåneden la Nasjonal sikkerhetsmyndighet (NSM) fram sin årlige rapport Nasjonalt digitalt risikobilde 2022.

Rapporten viser en økning i antallet registrerte angrepsforsøk mot norske virksomheter i første halvdel av 2022. Antallet angrep som har lykkes har imidlertid gått ned sammenliknet med 2021. Særlig er det teknologibedrifter, virksomheter innen forskning og utvikling og offentlige forvaltningsorganer som rammes av cyberangrep.

Ofte utnytter trusselaktørene trivielle feil og svakheter. Det er både unødvendig og kan være kostbart, og NSM ser at en rekke digitale hendelser kunne vært unngått om norske virksomheter hadde iverksatt grunnleggende sikkerhetstiltak.

Les mer og last ned rapporten hos NSM

Gjennom NSM har myndighetene utarbeidet en rekke nasjonale råd og anbefalinger for IKT-sikkerhet for virksomheter. NorSIS har i tillegg råd og veiledninger til privatpersoner.

NMSs grunnprinsipper for IKT-sikkerhet

Fakta og veiledninger om å være trygg på nett hos NorSIS

https://www.regjeringen.no/no/tema/samfunnssikkerhet-og-beredskap/id1120/

Samfunnssikkerhet og beredskap
"Forebygging er vår viktigste oppgave når det gjelder hendelser som truer sentrale samfunnsinstitusjoner, vår felles sikkerhet eller den enkeltes trygghetsfølelse. Kriser må møtes ved bruk av de samlede nasjonale ressurser, basert på klare strukturer, ansvarsforhold og kommandolinjer mellom sivile og militære aktører og tilstrekkelig kompetanse på alle nivå."

https://www.regjeringen.no/no/dokumenter/meld.-st.-22-20202021/id2841118/

Meld. St. 22 (2020–2021)
Data som ressurs — Datadrevet økonomi og innovasjon
Tilråding fra Kommunal- og moderniseringsdepartementet 26. mars 2021, godkjent i statsråd samme dag. (Regjeringen Solberg)

Dokumentet i PDF format (17,3 MB)

https://nsm.no/aktuelt/digitalt-risikobilde-2022-cyberangrep-har-blitt-hverdagskost

Den sikkerhetspolitiske situasjonen er i endring. Cyberangrep er hverdagskost. Det får konsekvenser også i Norge. Nasjonalt digitalt risikobilde 2022 viser vei videre.

Å holde tritt med det stadig skiftende risikobildet er krevende for de aller fleste norske virksomheter. Gasslekkasjen i Østersjøen har satt sikkerhet øverst på agendaen. Rapporten fra Nasjonal sikkerhetsmyndighet (NSM) gir innsikt i hvilke digitale sikkerhetstiltak virksomheter bør prioritere for å beskytte egen virksomhet og verdier.

Det haster mer enn tidligere å implementere risikoreduserende tiltak. Vi har et utfordrende risikobilde, og det skaper stor usikkerhet. I NSM ser vi at en rekke digitale hendelser kunne vært unngått om norske virksomheter hadde iverksatt grunnleggende sikkerhetstiltak.

Utsatte sektorer

I den første halvdelen av 2022 har NSM registrert en økning i antallet forsøk på kompromitteringer mot norske virksomheter. Antallet faktiske kompromitteringer, hvor trusselaktører har lyktes, er lavere enn i samme periode i 2021.

Særlig tre sektorer har vært utsatt for ulike typer cyberangrep det siste året, viser NSMs statistikk. Det er teknologibedrifter, forskning og utvikling, og offentlige forvaltningsorganer. NSM-direktør Sofie Nystrøm understreker at det er svært viktig at virksomheter i disse sektorene er særlig årvåkne. Samtidig kan vi lære av erfaringene vi har gjort oss, i arbeidet fremover hvor olje og gass, elektronisk kommunikasjon og kraftbransjen er eksempler på utsatte sektorer.

Opprettholde tillit

Bakteppet for årets rapport er et helt enn hva vi hadde for bare et år siden. Da så vi trusler mot usikre hjemmekontorløsninger og forsøk på såkalt korona-svindel og phishing. Nå ser vi forsøk på å kompromittere infrastruktur og politiske hevnaksjoner.

Før sommeren i Norge ble en rekke offentlige nettsider – som politiet, Nav og UDI – utsatt for tjenestenektangrep. Nettsidene opplevdes ustabile og trege. Vår utenriksminister ble hengt ut. Dette er angrep som har som formål å forvirre, skape usikkerhet og misnøye.

- Kritiske tjenester ble ikke rammet, men det som er veldig kritisk – og bekymringsverdig – er at det rokker ved tilliten til viktige funksjoner i samfunnet vårt. Og tilliten i det norske samfunnet er i seg selv et mål for trusselaktører. Den tilliten må vi beskytte og opprettholde, sier Sofie Nystrøm.

Last ned rapporten: «Nasjonalt digitalt risikobilde 2022» (PDF, 4MB)

Risikorapporter fra 2019 og tidligere

Risiko 2019 - Krafttak for et sikrere Norge (PDF, 1MB)

Risiko 2018 - Verdifulle individer, virksomheter og infrastruktur (PDF, 1020KB)

Risiko 2017 - Risiko og sårbarheter i en ny tid (PDF, 1MB)

Risiko 2015 (PDF, 1MB)

Rapport om sikkerhetstilstanden 2014 (PDF, 1MB)

Rapport om sikkerhetstilstanden 2012 (PDF, 332KB)

Rapport om sikkerhetstilstanden 2011 (PDF, 488KB)

Rapport om sikkerhetstilstanden 2010 (PDF, 348KB)

Rapport om sikkerhetstilstanden 2009 (PDF, 174KB)

Rapport om sikkerhetstilstanden 2007-08 (PDF, 112KB)

Risikovurdering 2007 (PDF, 121KB)

Risikovurdering 2006 (PDF, 106KB)

Risikovurdering 2005 (PDF, 85KB)

Risikovurdering 2004 (PDF, 160KB)

Risikovurdering 2003 (PDF, 508KB

"Må bli færre muligheter til å gjøre feil"

▼

https://nsm.no/getfile.php/133735-1592917067/NSM/Filer/Dokumenter/Veiledere/nsms-grunnprinsipper

Allmänt · ‽IT · ∴ · interrobangit · Svenn Dybvik · § · §IT

Dela · Kommentera

.

Kommentera

Av Svenn Dybvik - 17 oktober 2024 05:45

https://www.datatilsynet.no/regelverk-og-verktoy/rapporter-og-utredninger/5g-og-personvern/sikkerheten-i-5g-nettet/

Personvernutfordringer

Vi vil her se nærmere på hvilke direkte og indirekte konsekvenser bruk av 5G kan ha for personvernet. Vi har tatt utgangspunkt i problemstillinger knyttet til personvernregelverket.

Mer presis posisjonering og sårbarhet

Det er særlig tre problemstillinger vi mener kan ha direkte konsekvenser for personvernet ved bruk av 5G.

1. Mer presis posisjonering av individer

Alle smarttelefoner kan posisjonere brukeren ved hjelp av GNSS (fellesbetegnelse for satellittbaserte systemer for navigasjon og posisjonering med global dekning), herunder blant annet GPS og Galileo. For å kunne posisjonere brukeren hurtigere og mer nøyaktig, vil telefonen ofte også bruke signaler fra basestasjonene i mobilnettet, samt Bluetooth- og WiFi-signaler.

Med 5G blir det flere basestasjoner og kortere avstand mellom stasjonene (dette beskrev vi nærmere i kapittel 2). Det gjør at geografisk posisjonering av tilkoblede enheter i nettverket blir mye mer presis sammenlignet med i dag. I 5G-nett kan posisjonsnøyaktigheten være ti meter eller mindre utendørs og tre meter innendørs (mdpi.com, engelsk).

At det er mulig å posisjonere en bruker, er ingen ny problemstilling. Også uten 5G kan bruken av posisjonsdata være uoversiktlig og potensielt ulovlig i noen tilfeller. NRK har i flere artikler belyst problemstillingen der posisjonsdata samles inn av ulike applikasjoner og selges videre på markedet med feilaktig informasjon til brukerne om at disse har blitt "anonymisert" (se for eksempel NRK-artiklene "Avslørt av mobilen" og "Norske offiserer og soldater avslørt av mobilen".

Med mer nøyaktig posisjonering av enkeltindivider er det i personvernsammenheng relevant å se på hvordan dataene brukes og hvem som får tilgang til dem. Opplysninger om hvor en person befinner seg til enhver tid, vil kunne avsløre opplysninger om bosted, arbeidssted og andre opplysninger som samlet sett vil være egnet til å identifisere vedkommende. Posisjonsdata vil derfor som oftest være opplysninger som faller inn under personvernregelverkets virkeområde.

I tillegg til å identifisere individer, vil mer nøyaktige posisjonsdata være egnet til å avsløre flere personopplysninger om vedkommende. Eksempler på dette kan være legebesøk, hvilke butikker du handler i, eller hvor ofte du befinner deg på den lokale puben. Posisjonsdata kan videre avsløre om du er aktiv deltaker i et spesifikt religiøst fellesskap, får behandling for en bestemt lidelse eller har vært tilstede der en kriminell handling foregikk, basert på hvilke bygg du har besøkt på ulike tidspunkt. Det betyr at posisjonsdata også kan brukes til å målrette annonsering basert på hvilken butikk du står utenfor eller hvilken helsehjelp du muligens trenger.

2. Sårbarheter i infrastruktur

Når den frittstående infrastrukturen for 5G er på plass, vil den legge til rette for bedre sikkerhet, blant annet ved sterkere autentisering og kryptering. Men det finnes også noen nye sårbarheter som kan ha konsevenser for personopplysningene som behandles i 5G-nettet.

Som vi så i kapittel 2, skiller 5G seg fra tidligere generasjoner nettverk ved å være mer programvareorientert og operere i en skybasert arkitektur, noe som vil muliggjøre en mer fleksibel bruk av infrastrukturen. I den sammenhengen er det viktig å være oppmerksom på potensielle sårbarheter i programvaren og operativsystemet som programvaren kjøres på.

Med et mer programvarebasert nett er det også flere aktører involvert i driften. Når infrastrukturen fordeles på flere aktører, blir verdikjedene lengre, og kompleksiteten kan øke for de som skal drifte mobilnettet. Dette kan igjen føre til høyere sannsynlighet for at det oppstår sårbarheter.

Hvis mange viktige samfunnsfunksjoner (for eksempel helsetjenster, nødetater og trafikkstyring) er avhengige av 5G-nettet, kan det få ekstra store konsekvenser hvis nettet går ned eller utsettes for sikkerhetshendelser. Hvis angrep eller feil i ett system fører til at mange andre systemer slutter å fungere, kan vi kalle det systemet et "single point of failure". Dette beskrev vi nærmere i forrige kapittel.

3. Hvem er behandlingsansvarlig?

Mulighetene som kommer med skiveldeling og edge-computing, fører til at flere aktører kan tilby tjenester direkte i eller gjennom mobilnettet. Vi kan for eksempel se for oss at et strømmeselskap leier en skive for å sikre at de har nok kapasitet til å formidle TV-serier og filmer til mobilbrukerne sine. Alternativt kan de distribuere det mest brukte innholdet sitt fra edge-servere som er nærme store brukergrupper.

For tjenester hvor det behandles personopplysninger, kan det oppstå usikkerhet, både for brukerne og de involverte aktørene, om hvem som er behandlingsansvarlig og hvem som er databehandlere. Dette gjelder særlig hvis det er mange aktører involvert. Hvis ansvarsforholdene ikke er identifisert av de ulike aktørene på forhånd, kan det bli utfordrende for brukerne å vite hvem de skal utøve rettighetene sine overfor. Resultatet kan bli at de som benytter tjenestene begrenses i mulighetene de har til å ivareta sitt eget personvern.

Om behandligsansvar

Hovedansvaret for at behandlingen av personopplysninger er lovlig, ligger hos den som er behandlingsansvarlg i(personvernforordningen artikkel 24, lovdata.no).

Den behandlingsansvarlige har plikt til å gi de registrerte klar og tydelig informasjon om behandlingen av personopplysninger, hvilke rettigheter de har og hvordan de kan utøve disse rettighetene. Informasjonen skal gis på en kortfattet, åpen, forståelig og lett tilgjengelig måte.
Les mer om de registrertes rettigheter.

5G aksellererer bruk av tingenes internett

Vi har videre identifisert noen personvernproblemstillinger som vi tror blir aktualisert av 5G-nettet, ikke på grunn av teknologien i seg selv, men fordi 5G legger til rette for en eksplosiv økning i tilkoblede enheter. Vi trekker frem de viktigste personvernutfordringene her.

Ansvarspulverisering

Ofte er mange aktører involvert i å levere software og hardware i tingenes internett. Ta en smart-bil for eksempel: de er utstyrt med kameraer, sensorer, apper og mikrofoner som hjelper med å navigere, optimalisere kjøringen, oppdage feil i maskineriet og varsle ved ulykker. Aktørene er ofte basert i forskjellige land og over flere sektorer. Da kan det være krevende å vite hvilket regelverk som gjelder og hvem som er ansvarlig for å ivareta personvernet og informasjonssikkerheten. Ulike aktører kan også ha ulike interesser, standarder og rutiner knyttet til personvern og behandling av personopplysninger.

I tilfeller der mange aktører er involvert, kan det også ekstra utfordrende å vite hvilken aktør som er behandlingsansvarlig for hvilke behandlingsaktiviteter. Det vil i mange tilfeller innebære et samarbeid både mellom ulike behandlingsansvarlige og mellom behandlingsansvarlige og et større antall leverdandører/databehandlere. I noen tilfeller kan også maktbalansen mellom de ulike aktørene være skjev. For eksempel kan det være utfordrende for små aktører å sette krav til behandling av personopplysninger hvis leverandøren er et stort multinasjonalt selskap.

Alt dette vil kunne bidra til å skape en mer uoversiktlig situasjon, og vi mener at det i den sammenhengen er sannsynlig at vi i økende grad vil se situasjoner der det fremstår uklart både for den registrerte (altså sluttbrukeren) og de involverte markedsaktørene hvem som egentlig er ansvarlig for behandlingen av personopplysninger. En slik ansvarspulversiering fører til økt risiko for at regelverket ikke følges, slik som kravet om å gi brukeren informasjon, gjennomføring av nødvendige sikkerhetstiltak og at det er et gyldig behandlingsgrunnlag (for eksempel samtykke).

Tap av kontroll hos bruker

Økningen i antall tilkoblede enheter og det at data samles inn fra så mange ulike kilder (som den enkelte ikke nødvendigvis er klar over), gjør at det vil være ekstra utfordrende å ha oversikt over hvilke data som samles inn, hvem som samler inn data og hva dataene brukes til. Allerede i dag oppleves personvernerklæringer fra tjenestene vi bruker som overveldende og vanskelig tilgjengelige. Dette har blant annet Forbrukerrådet fremhevet og problematisert (forbrukerradet.no).

Et av hovedmålene med personvernregelverket er at hver enkelt av oss skal ha en viss kontroll og oversikt over bruken av våre opplysninger. Derfor er informasjonskravet i regelverket grunnleggende for at hver enkelt skal kunne ivareta rettighetene sine. For å kunne utøve en rettighet må du først og fremst vite at opplysningene dine blir behandlet. Regelverket gir den enkelte rett til innsyn i egne opplysninger, korrigering av uriktige opplysninger eller å be om sletting av opplysninger – for å nevne noe.

Tilkoblede enheter tilbyr i noen tilfeller persontilpassede tjenester som har reelle konsekvenser for den enkelte. Eksempler kan være pris på forsikring, medisindose og hvilke annonser du får se. I slike tilfeller er det ekstra viktig at brukeren vet at opplysningene brukes, og hvordan, for å kunne oppdage feil og uønsket forskjellsbehandling, og ikke minst ivareta rettighetene sine.

Det store antallet aktører som er involvert i tingenes interentt, og risikoen for ansvarspulverisering, utgjør en tilleggsutfordring for brukernes personvern dersom de involverte aktørene ikke er enige eller bevisste på hvem som har ansvar for for eksempel sikkerhets- og informasjonstiltak.

Sikkerhetsutfordringer i tingenes internett

Personvernregelverket krever robusthet i løsninger for å sikre personopplysningenes integritet, konfidensialitet og tilgjengelighet. Det betyr at det ikke bare er at opplysningene ikke skal komme i uvedkommendes hender som er et krav (konfidensialitet), men også at opplysningene ikke utilsiktet endres eller blir utilgjengelige for den eller de som skal ha tilgang.

Når det kommer til tingenes internett er det en rekke personvernrelaterte sikkerhetsutfordringer. De viktigste er:

Tilbydere av ting som tradisjonelt ikke har vært tilkoblet internett, for eksempel joggesko og varmeovner, har ikke alltid tilstrekkelig kompetanse til å sørge for at informasjonssikkerheten i tilkoblede produkter er god nok.
Sikkerheten er avhengig av regelmessige oppdateringer for å reparere sårbarheter – noe som avhenger av at produsenten tilgjengeliggjør oppdateringer, og at brukere faktisk oppdaterer enheten.
Antallet tilkoblede enheter og de mange kanalene slik som mobiltelefoner, insulinmålere, trygghetsalarmer, velferdsteknologi-dingser, vaskemaskiner eller industrielle sensorer, gjør at angrepsflaten for hacking blir større.

https://www.datatilsynet.no/regelverk-og-verktoy/rapporter-og-utredninger/5g-og-personvern/anbefalinger-for-a-fa-til-godt-personvern-med-5g/

Anbefalinger for å få til godt personvern med 5G

Med 5G vil vi oppleve en akselerasjon av bruk av personopplysninger og mer presis sporing av hvor enheter og eierne deres er til en hver tid. Med mer intensiv bruk av data blir enda viktigere å ivareta personvernet til brukerne.

Godt personvern i 5G-nettet er helt avgjørende – ikke bare for å kunne møte kravene i personvernforordningen, men også for å bygge ansvarlige løsninger der brukerne har tillit til at dataene deres blir ivaretatt på en god måte.

Personvernregelverket krever at personvern skal bygges inn i alle løsninger og i all teknologi der personopplysninger blir behandlet (innebygd personvern). Dette kravet er relevant både der 5G-nettet blir benyttet av virksomheter (for eksempel private nettverk muliggjort av skivedeling) og for enheter som brukes i nettverket (for eksempel autonome biler og smartklokker).

Vi har formulert noen anbefalinger vi mener er viktige for å ivareta personvernet i en 5G-sammenheng.

Anbefalinger til myndigheter og nettleverandører

Bygg et robust 5G-nett.Sørg for tilstrekkelig kompetanse. Overgangen til programvaredefinerte nettverk og mer skytjenestelignende infrastruktur, medfører endringer i kompetansebehovet til myndighetene og mobilnettleverandørene. For å beskytte 5G-nettet mot misbruk og angrep, og for å kunne regulere og drifte nettet på en sikker måte, må myndighetene og operatørene til enhver tid passe på å ha egnet kompetanse.

Tekniske krav til mobilnettet reguleres i ekomloven som forvaltes av Nasjonal Kommunikasjonsmyndighet (nkom.no).
Personvernregelverket stiller krav til å sikre robusthet i behandingssystemet og tjenstene i forordningens artikkel 32 (lovdata.no). Hvis det skjer et brudd eller nettverket bryter sammen, kan det ha konsekvenser for personvernet ved at man for eksempel mister tilgang til personopplysinger eller sikkerheten i systemer kompromiteres.

Anbefalinger til aktører som leverer tjenester over 5G

Bygg personvernet inn i løsningen. Sett deg inn i kravene i regelverket. Du må for eksempel ha rettslig grunnlag for å behandle personopplysninger og kun samle data som er strengt nødvendig. Se veiledningen vår om innebygd personvern og innebygd personvern i programvareutvikling.
Minimer bruk av posisjonsdata. 5G muliggjør presis sporing av mennesker. Praktiser dataminimeringsprinsippet, gi tydelig informasjon om hvordan posisjonsdata brukes og gjør det lett å skru av sporing dersom det ikke er nødvendig for å levere tjenesten.
Ivareta informasjonssikkerheten. For å beskytte personopplysninger, må de som produserer enheter til 5G-nettet utvikle produktene sine sikre fra starten av, som en integrert del av utviklingsprosessen ("security by design"), og sørge for at standardkonfigurasjonen er så sikker som mulig ("security by default"). Les mer om grunnprinsippene for IKT-sikkerhet hos Nasjonal sikkerhetsmyndighet.
I tillegg må produsentene støtte produktene under hele livstiden til produktene, slik at sårbarheter blir reparert og oppdateringer distribueres på en effektiv måte. Videre må produsentene gjøre det så lett som mulig for brukerne å ivareta sikkerheten i enhetene.
Ha en tydelig ansvarsfordeling. For å unngå sikkerhetshendelser i bruk av 5G-skiver blir det svært viktig for leverandører og brukere av 5G-skiver å være tydelige på og avtale seg imellom hvem som har ansvar for hva, slik at alle parter evner å sørge for «sin» del av sikkerheten. I tilkoblede enheter kan det være mange aktører involvert i behandlingen av data. Sørg for at det er tydelig hvilke roller og ansvar de ulike aktørene har for behandling av personopplysningene. Dette inkluderer å infomere brukeren om bruk av personopplysninger.

Anbefaling til sluttbrukere av tjenester i 5G-nettet

Begrens deling av posisjonsdata. 5G-nettet muliggjør mer presis posisjonering av individer enn tidligere nettverk. Noen tjenester gir brukerne mulighet til å endre innstillinger for bruk av posisjonstjenester og hvilke applikasjoner eller enheter som har tilgang til posisjonsdata. Brukerne kan også vurdere å skru av posisjonen når de ikke bruker tjenester som er avhengig av denne typen informasjon for å fungere hvis tjenesten gir mulighet for det.
Gjør deg kjent med mulighetene for å sikre dataene dine. De fleste tilkoblede enheter lar brukeren justere innstilliger for sikkerhet og bruk av data. Bruk innstillingene til å konfigurere enheten slik at den behandler dataene dine på en måte du er komfortabel med, og husk å gjennomføre sikkerhetsoppdateringer jevnlig. Vurder å la være å kjøpe eller bruke tjenester som ikke gir god nok informasjon eller valgmuligheter for bruk av dine data.
Bruk rettighetene dine. Du har rettigheter etter personvernregelverket, inkludert rett til informasjon, retting og sletting av opplysninger. Hvis du opplever at opplysningene dine misbrukes bør du klage til virksomheten det gjelder. Du kan også klage til Datatilsynet.

Fordi vi her kommer med anbefalinger rettet mot sluttbrukerne av tjenester, vil vi presisere at ansvaret for å overholde regelverket alltid ligger hos den behandlingsansvarlige (virksomheten som er ansvarlig for behandling av personopplysningene).

Allmänt · ‽IT · ∴ · interrobangit · Svenn Dybvik · § · §IT

Dela · Kommentera

.

Kommentera

Av Svenn Dybvik - 18 september 2024 00:00

https://www.datatilsynet.no/regelverk-og-verktoy/rapporter-og-utredninger/5g-og-personvern/hva-er-5g-og-6g/

Hva er 5G (og 6G)?

5G er en ny og forbedret mobilnetteknologi som kan håndtere enorme mengder data. Det er en etterfølger av 4G, 3G og 2G, og har forbedret ytelse sammenlignet med disse.

5G skiller seg fra tidligere generasjoner ved å være mer programvareorientert og operere i en skybasert arkitektur (forskning.no), noe som vil muliggjøre en mer fleksibel bruk av infrastrukturen. Dette kan åpne opp for bruksområder som fjernkirurgi, selvkjørende biler, utvidet virkelighet (augmented reality), flygende IoT (droner) og industriell automatisering.

5G legger til rette for en smartere nettverkskommunikasjon og kobling mellom mennesker, maskiner og tilkoblede enheter. Målet med den globale 5G-standarden er å skape interoperabilitet (muliggjøre samhandling mellom ulike systemer) mellom nettverkstjenester og enheter, tilby energieffektive og sikre systemer med høy kapasitet og øke datahastigheten betydelig med mye mindre forsinkelse i responstid.

5G har flere egenskaper:

Høy hastighet
- Høyere dataoverføringshastighet (opptil 20 Gbps) som gjør det enkelt for brukerne å laste ned innhold veldig raskt
- 1000 ganger høyere dataoverføringskapasitet per område og 10-100 ganger høyere dataoverføringskapasitet per enhet sammenlignet med 4G
Lav forsinkelse
- 1-10 ms ende-til-ende forsinkelse (sammenlignet med 20-50 ms for 4G)
Flere enheter
- En million tilkoblede enheter per kvadratkilometer (over ti ganger flere enn med 4G)
Skivedeling («slicing») av mobilnettet
- Myndigheter og virksomheter kan reservere egne nett på det samme mobilnettet
- På denne måten kan nettverk tilpasses for å effektivt betjene behovene til ulike bruksområder eller applikasjoner.

Kilder

Teknologien i 5G

Alle trådløse systemer kommuniserer ved hjelp av radiobølger. Radiobølger kan angis i frekvens (hertz / Hz) eller bølgelengde (meter). Hittil har mobiltelefoni opptil 4G i Norge foregått over utvalgte frekvenser mellom 450 MHz og 2690 MHz (les mer på nkom.no). Dette spennet brukes også til andre ting, for eksempel DAB-radio og trådløse nettverk. Vi tar ikke for oss så mye mer om radioteknologi her. De viktigste poengene å ta med seg videre er at:

høyere frekvenser er bedre egnet til å overføre data i høy hastighet enn lavere frekvenser.
høyere frekvenser blokkeres lettere (f.eks. av bygninger eller fjell) enn lavere frekvenser.

Med 5G foreslås det å ta i bruk langt høyere frekvenser enn det som har vært benyttet til mobilnett tidligere. Disse vil kunne støtte svært høye overføringshastigheter over korte avstander.

Utrullingen av 5G beror på noen få viktige teknologiske forbedringer, og kombinasjonen av disse definerer 5G-teknologien. Før vi gjennomgår dem er det imidlertid greit å vite litt overordnet om hvordan infrastrukturen i mobilnettet ser ut.

https://www.datatilsynet.no/regelverk-og-verktoy/rapporter-og-utredninger/5g-og-personvern/hva-er-5g-og-6g/

Småcellenettverk

Dagens trådløse nettverk er avhengige av kraftige celletårn for å kringkaste signaler over lange avstander. Siden millimeterbølger har vanskeligere for å passere fysiske hindringer, vil små mobilcellenett løse problemet ved å bruke tusenvis av små cellestasjoner til å fylle dekningshull mellom en basestasjon og mobilenheter. Små celler er forminskede basestasjoner plassert 250 meter eller mer fra hverandre og brukes til å utvide nettverksdekning og kapasitet. At cellene er mye mindre enn basestasjoner, gjør det enklere å feste dem på lysstolper og på bygninger. For å overføre data rundt hindringer, vil disse basestasjonene være mye nærmere hverandre enn tradisjonelle tårn. Når en bruker beveger seg bak en hindring, vil smarttelefonen automatisk bytte til en ny basestasjon slik at brukeren opprettholder forbindelsen.

Massiv MIMO (multiple input multiple output)

Nettverkskapasiteten til ethvert trådløst system kan forbedres ved å øke antallet sende- og mottaksantenner til systemet. 4G-basestasjoner har 12 porter for antenner som håndterer all mobiltrafikk. I 5G vokser dette tallet til rundt 100 porter i en basestasjon, noe som gjør det til massiv MIMO. MIMO er trådløse systemer som bruker to eller flere sendere og mottakere til å sende og motta data simultant. Enkelt forklart muliggjør det at en basestasjon kan sende og motta signaler fra enda flere brukere samtidig.

Stråleforming og strålestyring

Stråleforming er en signalbehandlingsteknikk for radiobølger som identifiserer den mest effektive ruten til en bestemt bruker. Man kan tenke seg at man prøver å ringe i et område fullt av bygninger. Signalet reflekteres av bygningene og krysser andre signaler fra brukere i området. En massiv MIMO-basestasjon mottar alle disse signalene og holder styr på tidspunktet og retningen. Den bruker deretter signalbehandlingsalgoritmer til avgjøre nøyaktig hvor hvert signal kommer fra og finner den beste overføringsruten tilbake til hver mobiltelefon.

Skivedeling

I de tidligere mobilnettene er den tilgjengelige nettverkskapasiteten i prinsippet delt likt mellom alle brukere knyttet til en basestasjon. Med 5G kan private og offentlige virksomheter forhandle frem avtaler med monilnettoperatørene og reservere en del av nettverket for seg selv (en skive). Operatørene kan ved hjelp av programvare dele det fysiske mobilnettet inn i ulike virtuelle nettverk. Les mer på ndla.no.

Virituelle nettverk kan for brukeren fremstå som et separat og selvstendig nettverk, selv om det fysisk kan være en del av et større nettverk eller et lokalnettverk. Disse virtuelle nettverkene er gjensidig isolert, administrert uavhengig og opprettet på forespørsel. Les mer om dette på researchgate sine nettsider (engelsk).

Silk er hvert nettverk tilpasset for å effektivt betjene behovene til visse bruksområder eller applikasjoner. Det kan for eksempel være aktuelt for beredskapssituasjoner hvor nødetatene kan reservere egne nett og utveksle data som tekst, bilder og video på en robust måte og på den måten styrke situasjonsforståelsen.

Multi-access Edge Computing

Drevet av økende krav til høy hastighet og lav forsinkelse, må både nettverksfunksjoner og innhold bevege seg nærmere brukeren, det vil si så langt mot kanten av radionettverket som mulig. Multi-access Edge Computing (MEC) er basert på virtualisering og forskyver skytjenester til kanten (the edge) ved å tilby prosessering nærmere brukeren, uavhengig om dette er en privatperson eller en virksomhet.

I et normalt skytjenestemiljø kan skytjenester være fysisk langt unna brukerne, og denne avstanden kan skape forsinkelser. Forsinkelser kan reduseres ved at prosesseringskraften flyttes nærmere informasjonen som skal prosesseres.

Hva er 6G?

Mens 5G-utrullingen er i gang, har interessen for sjette generasjons mobilnett (6G) allerede skutt fart innen forskning og privat næringsliv. Selv om realiseringen er noen år frem i tid, forventes 6G å tilby nettverksarkitektur som tilrettelegger for en mer datasentrisk, dataavhengig og automatisert virkelighet.

For å imøtekomme kravene til en tilkoblet verden, vil 6G akselerere trendene vi ser med 5G. Dette innebærer blant annet innføring av løsninger for smarte byer og smart industri gjennom brukersentrisk maskin-til-maskin-kommunikasjon. For å realisere neste generasjons tilkobling, vil 6G tilby flere tjenester med kunstig intelligens og distribuert kommunikasjon, og muliggjøre enda flere tilkoblede enheter samtidig.

Hver generasjon mobilnettverk er generelt kjennetegnet av forbedrede kommunikasjonsteknologier. For 5G er massiv MIMO og millimeterbølger (mmWave-bånd) begge viktige muliggjørende teknologier.

Muliggjørende teknologier i 6G omfatter også bruken av "nye" frekvenser på radiospekteret som ennå ikke har blitt vurdert for mobilbruk, nemlig terahertz-båndet. Les mer om dette hos mmWave Networking Group (mmwave.dei.unipd.it, engelsk).

https://www.datatilsynet.no/regelverk-og-verktoy/rapporter-og-utredninger/5g-og-personvern/

5G og personvern

Femte generasjons mobilnett (5G) er rullet ut i Norge. Norske myndigheter og næringsaktører mener 5G vil spille en nøkkelrolle i fremtidens industri, og at teknologien åpner opp for helt nye næringsområder. Vi vil her se nærmere på teknologien og skissere noen utfordringer og anbefalinger når det gjelder personvernet.

Innledning

Folk flest vil først og fremst merke overgangen til 5G ved at de får raskere nett på mobilen. 5G legger dessuten til rette for en eksplosiv vekst i av internettilkoblede enheter, også kjent som tingenes internett (IoT - Internet of Things). Tingenes internett er med oss i hjemmet, på arbeidsplassen og på kroppen. Eksemper er TV-er, brødristere, panelovner, kjøleskap, biler, lys, røykvarslere og barneleker som er koblet til internett.

Innhold

For å kunne si noe om hvordan denne nye generasjonen mobilnett påvirker personvernet vårt, er det nødvendig å forstå teknologien. Vi vil derfor først beskrive de viktigste tekniske komponentene i 5G for å forstå hvordan denne teknologien påvirker bruk av personopplysninger. Vi går så gjennom de viktigste informasjonsikkerhetsaspektene ved 5G.

Videre vil vi trekke frem de viktigste personvernkonksevensene knyttet til bruk av 5G. Til slutt har vi noen anbefalinger om hvordan myndigheter, nettleverandører, virksomheter og folk flest kan ivareta personvernet i møtet med 5G.

Vi har valgt å ikke inkludere vurderinger rundt sikkerhetpolitiske hensyn i valg av leverandør av 5G-infrastruktur i dette arbeidet.

Oppsummering

5G skiller seg fra tidligere generasjoner mobilnett ved å være mer fleksibelt. Det er mindre avhengig av spesiell maskinvare, har flere konfigurasjonsmuligheter gjennom programvare og et grensesnitt som legger til rette for økt grad av samhandling mellom ulike enheter.

Når det gjelder konkrete personvernkonsevenser, vil 5G-nettet gi mer presis posisjonering av enkeltindivider fordi 5G krever en infrastruktur med flere basestasjoner som står tettere. Når den frittstående infrastrukturen for 5G er på plass, vil den legge til rette for bedre sikkerhet ved blant annet sterkere autentisering og kryptering. Men det finnes også noen nye sårbarheter som kan ha personvernkonsekvenser fordi 5G-nettet er mer programvarebasert enn tidligere generasjoner nett.

Med 5G kommer også mulighet for å dele inn nettverket i skiver der flere aktører kan tilby tjenester direkte i eller gjennom mobilnettet. For tjenester hvor det behandles personopplysninger, kan det oppstå usikkerhet både for brukerne og de involverte aktørene om hvem som er behandlingsansvarlig og hvem som er databehandlere.

Vi mener 5G bidrar til å forsterke en del av personvernutfordringene vi ser i dag, hovedsakelig ved å legge til rette for økt utbredelse av tingenes internett. Vi ser økt risiko for ansvarspulverisering blant aktørene som er involert i innsamling og anlyse av data fra tilkoblede dingser. Dette kan medføre at det blir vanskeligere for enkeltpersonver å ha oversikt over hvordan deres data samles inn og brukes. For dårlig informasjonssikerhet i tilkoblede enheter, skaper også økt risiko for personvernet til brukerne. 5G legger til rette for bedre sikkerhet, men denne forbedringen blir først realisert når det fysiske 5G nettet (5G stand alone) er ferdig utbygd.

Med mer intensiv bruk av data blir det enda viktigere å ivareta personvernet til brukerne. Godt personvern er helt avgjørende, ikke bare for å kunne møte kravene i personvernforordningen, men også for å bygge ansvarlige løsninger der brukerne har tillit til at dataene deres blir ivaretatt på en god måte. Personvernregelverket krever at personvern skal bygges inn i alle løsninger og i all teknologi der personopplysninger blir behandlet. Dette kravet er relevant både der 5G-nettet i seg selv blir benyttet av virksomheter (for eksempel private nettverk muliggjort av skivedeling) og for enheter som brukes i nettverket (for eksempel autonome biler og smartklokker). Les mer om innebygd personvern.

https://www.datatilsynet.no/regelverk-og-verktoy/rapporter-og-utredninger/5g-og-personvern/sikkerheten-i-5g-nettet/

Lik risiko for nedgraderingsangrep

Alle mobilnett er sårbare for nedgraderingsangrep. Dette er ingen 5G-spesifikk sårbarhet, men en sårbarhet som eksisterer som resultat av tilsiktet fleksibilitet og hvordan mobile enheter fungerer. Det er en kombinasjon av 2G-, 4G- og 5G-kompatibelt utstyr i mobilnettet i Norge (3G-nettet ble skrudd av i 2021, og 2G-nettet skal etter planen skrus av i 2025). For å sikre at man skal kunne kommunisere til enhver tid, bytter mobiltelefonene automatisk nett ved behov. En angriper kan derfor «jamme» frekvensene til 5G- og 4G-basestasjonene innen et område, slik at mobilutstyret innenfor dette området kobler seg til 2G-nettene. Deretter kan angriperne utnytte sårbarhetene i 2G-nettet med billige falske basestasjoner, for eksempel til å avlytte telefonsamtaler og lese/endre/blokkere tekstmeldinger.

I konfigurasjonen til mobiltelefonene finnes det fremdeles ingen mulighet for å kun la telefonen koble seg til 5G- eller 4G-nettene. Enkelte Android-mobiler har dog fått mulighet til å deaktivere 2G (digi.no). Helt nye mobiltelefoner er derfor også sårbare for nedgraderingsangrep, fordi de støtter eldre teknologier. Grunnen til at 2G-nettet fortsatt eksisterer, er at det finnes gamle enheter i drift som ikke støtter 4G eller 5G. Det gjelder hovedsakelig M2M-enheter (maskin-til-maskin), slik som for eksempel boligalarmer, heiskommunikasjon og biler.

Hvis man i fremtiden avdekker sårbarheter i 4G-teknologien, vil angripere kunne gjennomføre tilsvarende nedgraderingsangrep for å utnytte disse. Risikoen ved nedgraderingsangrep er noe vi må leve med så lenge mobilnettet støtter eldre standarder.

Internet of Things (IoT)

En av fordelene som ofte nevnes med 5G, er at teknologien skal være billigere og mer effektiv enn tidligere. I tillegg legger de nye mulighetene innen mMTC (massive Machine Type Communications) grunnlag for tilkobling av svært mange IoT-enheter i nettet samtidig. Aktører vi har snakket med fremhevet nettopp mulighetene 5G gir for norsk industri. Dette er også noe av grunnen til at Kommunal- og distriktsdepartementet og Næringsdepartementet tok initiativ til å opprette et 5G-industriforum i mai 2022 (nkom.no). Mange antar derfor at flere IoT-enheter vil kobles direkte til 5G-nettet i fremtiden.

IoT-enheter er i utgangspunktet ikke kjent for å være spesielt godt sikret, noe det kan være flere grunner til. For det første benyttes IoT-teknologi til å koble ting på internett som historisk sett har vært frakoblet, for eksempel kjøleskap, vaskemaskiner og varmeovner. Produsentene av slike enheter har tidligere ikke trengt å forholde seg til IT-sikkerhetsaspektet ved produktene deres, og kan derfor mangle kompetanse til å sikre produktene de tilbyr. For det andre er det ikke sikkert at eierne av IoT-enheter har kompetanse til å bruke og konfigurere enhetene sikkert, i den grad det er mulig.

De mange sårbarhetene som finnes i forskjellige IoT-enheter har gjort at disse har blitt brukt som ledd i store sikkerhetsangrep, ofte uten at eierne deres har visst om det (digi.no).

Det er viktig å fremheve at de fleste av dagens IoT-enheter har vært koblet på alminnelige lokale nettverk, hvor en ruter med innebygget brannmur (for eksempel en WiFi-ruter) i mange tilfeller har fungert som en beskyttende barriere mellom IoT-enhetene og internett. De fleste IoT-enheter har altså ikke vært direkte eksponert mot internett. IoT-enheter som baseres på 5G vil imidlertid være det, noe som øker sannsynligheten for direkte angrep mot slike enheter.

Inntoget av IoT-enheter i 5G-nettet vil sannsynligvis by på utfordringer, både for mobilnettleverandørene, produsentene og brukerne. Det kan for eksempel gjelde produsenter som ikke evner å tilby sikre produkter i utgangspunktet, eller som ikke evner å holde produktene sikre over tid. Vi kan også se for oss scenarier hvor industrielle virksomheter med mange 5G-sensorer i drift ikke har kompetanse til å konfigurere enhetene sikkert, eller ikke evner å oppdatere dem i tide, og dermed vil utsette både seg selv og 5G-nettet for sikkerhetsrisikoer.

Det blir helt nødvendig å sørge for tilstrekkelig kompetanse for både mobilnettleverandører, IoT-produsenter og brukere for å minimere risikoene som den økte bruken av IoT-enheter i 5G-nettet kan medføre. Det er viktig slik at sikkerheten i mobilnettet kan ivaretas på tross av alle de nye enhetene i nettet, at produktene utvikles på en sikker og personvernvennlig måte i utgangspunktet og at brukerne evner å drifte produktene på en sikker måte.

Større angrepsflate

Egenskapene som 5G-nettet vil få, legger til rette for en eksplosiv økning av antall tilkoblede enheter. Når flere enheter kobles til det samme nettet vil det få en større angrepsflate. Det vil si at det blir mulig å angripe nettet gjennom flere kanaler enn tidligere. En kan for eksempel angripe nettet via mobiltelefoner, kjøleskap, vaskemaskiner eller industrielle sensorer. Jo flere tilkoblede enheter, desto flere muligheter. Hvis hackere klarer å ta over en million kjøleskap med samme sårbarhet, kan de potensielt bruke disse for å forsøke å overbelaste mobilnettet slik at vi andre ikke kan bruke det. De kan også bruke kjøleskapene i et angrep mot en annen virksomhets infrastruktur.

I tillegg til at enhetene som er tilkoblet nettet må være sikret, må nettet i seg selv være godt sikret mot misbruk og angrep, og teleoperatørene må passe på at de har tilstrekkelig kompetanse til å drifte nettene og skivene på en sikker måte.

Fundamentalt ny infrastruktur

En av de fundamentale endringene med 5G, er at kjernenettet ikke lenger driftes fra maskinvare som er spesielt laget for mobilnett. 5G-kjernenettet kan opprettes, konfigureres og driftes på helt alminnelige servere og datamaskiner, så lenge man har tilgang til den nødvendige programvaren. Selv om dette utelukker enkelte sårbarheter, åpner det for andre. Mobilnettleverandørene må for eksempel både forholde seg til sårbarheter i 5G-programvaren og sårbarheter i operativsystemet som programvaren kjøres på.

Videre er både kjernenettet i seg selv og funksjonaliteten som vil tilbys i nettet programvaredefinert. Skivedeling baseres for eksempel på virtualisering som har vært en del av skytjenester i lang tid. Overgangen til programvaredefinerte nettverk gir mer fleksibilitet, men krever omstilling hos mobilnettleverandørene slik at de evner å sikre nettverkene. En kan også se for seg at det oppstår usikkerhet om hvem som har ansvaret for sikkerheten i de ulike skivene. Er det mobilnettleverandøren, tredjeparts "skiveforhandlere" eller kjøperne som skal sørge for sikkerheten?

Vi har sett den samme utfordringen hos brukere av skytjenester, hvor sikkerheten avhenger like mye av brukerne som av tilbyderne. Det spiller for eksempel liten rolle om infrastrukturen til en leverandør av e-posttjenester er godt sikret, hvis brukeren setter passordet sitt til "123456". Med flere aktører blir verdikjedene lengre og kompleksiteten øker, noe som igjen kan føre til høyere risiko for sikkerhetsbrudd.

Skivedeling åpner potensielt også for utilsiktet dataflyt mellom de ulike virtuelle nettverkene (skivene). Det finnes ingen kjente slike sårbarheter enda, men muligheten blir en logisk følge av at nettverkene er programvaredefinerte, og ikke definert av forskjellige fysiske enheter.

"Single point of failure"?

Hvis angrep på ett system fører til at mange andre systemer slutter å fungere, kan systemet bli et "single point of failure". Jo flere kritiske enheter som flyttes til samme nett, desto høyere blir sikkerhetskravene for nettet.

Nødnettet må være tilgjengelig hele tiden. For at det skal være mulig, må nettet for eksempel være sikret mot naturkatastrofer og terrorangrep. Hvis forsvaret blir avhengige av nettet for å være operative i en stridssituasjon, må nettet være mer motstandsdyktig mot blant annet rakettangrep og hackerangrep fra ressurssterke fiender.

Hvis nettet blir et "single point of failure» for mye samfunnskritisk funksjonalitet, må det bygges på en svært robust måte. Det kan for eksempel ikke være slik at store deler av nettet slutter å fungere hvis en basestasjon eller et datasenter blir satt ut av drift. Det betyr at mobilnettleverandørene må investere mer i nettet, slik de har noe som kan ta over oppgavene til de delene av nettet som er ute av drift. Jo mer robusthet man ønsker i nettet, desto dyrere vil det være å bygge. Kostnaden står i motsetning til at nettilbyderne er private aktører som neppe har insentiv til å investere noe mer enn akkurat det som kreves av myndighetene og for å tilfredsstille kundenes behov.

Robustheten i nettet avhenger slik sett både av myndigheters reguleringsevne, kundenes betalingsvilje og nettleverandørenes investeringsvilje i funksjonalitet som kanskje sjelden eller aldri blir satt på prøve, men som vil være helt kritisk dersom det blir satt på prøve.

Ukryptert landskode og nettverkskode

Selv når vi får på plass frittstående 5G, vil landskode (Mobile Country Code, MCC) og nettverkskode (Mobile Network Code, MNC) sendes ukryptert over mobilnettet. Norge har for eksempel en unik identifikator, og de ulike mobiloperatørene i Norge har unike identifikatorer.

Sannsynligheten for å identifisere enkeltabonnenter via MCC/MNC i Norge er svært lav, fordi flertallet som er koblet på en basestasjon her har et norsk abonnement. I utlandet vil det derimot være høyere sannsynlighet for å kunne identifisere norske mobilabonnenter ved hjelp av disse kodene, fordi det vil være færre norske mobilabonnenter koblet til de ulike basestasjonene.

Problemstillingen settes på spissen i områder med mange basestasjoner, typisk i byer, hvor det vil det være mulig å bestemme posisjonen til en telefon med norsk mobilabonnement innenfor et relativt begrenset område – for eksempel i et bygg eller et kvartal. En angriper som overvåker en person med norsk abonnement i utlandet, vil dermed kunne anslå sannsynligheten for at personen de overvåker befinner seg i et forventet område. Det samme vil gjelde for personer med utenlandsk mobilabonnement i Norge.

Allmänt · ‽IT · ∴ · interrobangit · Svenn Dybvik · § · §IT

Dela · Kommentera

.

Kommentera

Av Svenn Dybvik - 19 augusti 2024 00:00

https://nsm.no/regelverk-og-hjelp/rapporter/nasjonalt-digitalt-risikobilde-2023

▲ Nasjonalt digitalt risikobilde 2023

Rapporten skal bidra til bedre digital sikkerhet i offentlige og private virksomheter gjennom eksempler og råd.

Last ned rapporten: Nasjonalt digitalt risikobilde 2023 (PDF, 11MB)
Lytt til rapporten: Podcast - Nasjonalt digitalt risikobilde 2023

Nasjonalt digitalt risikobilde 2023 tar opp problemstillinger knyttet til statssikkerhet, samfunnssikkerhet og individsikkerhet innenfor det digitale domenet.

Rapporten tar blant annet opp at:

NSM forventer at utviklingen innenfor kunstig intelligens og store språkmodeller vil føre til ytterligere profesjonalisering hos angripere.
Cyberoperasjoner kan få økt fysisk slagkraft når industrielle systemer i økende grad kobles til internett.
Økt cybersikkerhet gjør andre metoder for tilgang til informasjon mer attraktive. Innsiderisikoen kan øke ved ensidig fokus på cybersikkerhet. Det er avgjørende å tenke sikkerhet i alle domener.
Valgpåvirkning gjennom cyberoperasjoner setter demokratier under press.
Les også: Norge rammes av avanserte målrettede cyberangrep

Nasjonalt digitalt risikobilde skal motivere til bedre digital sikkerhet i offentlige og private virksomheter. NSM vil følge opp arbeidet med å styrke den digitale sikkerheten på alle nivåer i samfunnet vårt. Rapporten henvender seg til ledere og personell med sikkerhetsoppgaver i alle sektorer. Du kan også lytte til rapporten som podcast.

Ny rapport slår alarm om bølgjer av dataangrep

Ny rapport slår alarm om bølgjer av dataangrep – NRK Vestland

Nasjonalt tryggingsorgan (NSM) åtvarar om bølgjer av dataangrep i rapporten «Nasjonalt digitalt risikobilete»

I Noreg aukar talet på svindelsaker – IT-ekspert meiner vi har mykje å lære av svenskane

Meiner Noreg kan lære av Sverige for å redusere svindelforsøk – NRK Nordland

Rundt 40 millionar kroner i månaden blei tappa frå kundar sine bankkontoar.

Det blei sett på som angrep på essensiell infrastruktur og kritisk for tilliten til bankvesenet.

https://www.dn.no/teknologi/nsm/cybersikkerhet/it-sikkerhet/ny-rapport-slar-alarm-om-alvorlige-hull-i-norges-digitale-sikkerhet/2-1-1537749

Flere angrep mot forsvarssektoren

"– informasjonssystemene som understøtter grunnleggende nasjonale funksjoner (GNF), ikke er tilstrekkelig kartlagt, og ofte ikke har etablert et forsvarlig sikkerhetsnivå."

https://norsis.no/sikkerhetskultur2023/

▲ Nordmenn og digital sikkerhetskultur 2023

Disse metodene bruker svindlerne

https://www.vg.no/annonsorinnhold/altibox/sikkerhet/

Distraksjon. Blir du ofte distrahert av mye detaljert informasjon? Svindelforsøkene vil ofte ha et ekstremt fokus på detaljer, slik at du blir tvunget til å flytte fokuset vekk fra det faktum at du er i ferd med å bli lurt.
Sosial aksept. Har du ekstra respekt for autoriteter? Da er du ikke alene. Derfor vil svindlerne ofte utgi seg å være en autoritet, som for eksempel politiet, banken, skattevesenet eller ledelsen i selskapet du jobber i.
Uærlighet. Svindlerne vil gjerne forsøke å få deg til å gjøre noe litt umoralsk eller ulovlig, slik at du i etterkant skal la være å anmelde saken.
Grådighet/behov. Ønsker du gratis penger, billige produkter eller en reise til superpris? Det kommer neppe seilende tilfeldig i en e-post. Det gjør heller ikke premier i konkurranser du ikke kan huske å ha deltatt i, gylne investeringsmuligheter eller gratis kryptovaluta.
Phishing: En av de vanligste svindelmetodene går ut på å få deg til å oppgi brukernavn og passord på en falsk nettside, slik at svindlerne kan bruke denne informasjonen andre steder. Får du en e-post med en link til en side hvor du må logge inn, bør varsellampene blinke.
Tidspress. Dårlige avgjørelser blir ofte tatt dersom vi kjenner på tidspress. Har du ikke tid til å tenke deg om før en avgjørelse må tas, er det en stor sjanse for at du er i ferd med å bli svindlet.

https://norsis.no/nasjonal-sikkerhetsmaned/

▲ Hvert år i oktober markerer og koordinerer NorSIS Nasjonal Sikkerhetsmåned.

Årets tema: Sosial manipulering

Sosial manipulering er blitt en stadig mer vanlig metode for svindel, kontokapring og uautorisert tilgang til virksomheters digitale systemer, spesielt med den moderne teknologiens utvikling.

I korte trekk går «sosial manipulering» ut på å manipulere mennesker til å utføre spesifikke handlinger eller avsløre informasjon som er nyttig for angripere.

Kriminelle utnytter sosiale medier, e-post, tekstmeldinger, telefonsamtaler og andre digitale kanaler for å kontakte potensielle ofre. De later som om de representerer kjente virksomheter, offentlige aktører, banker, nettbutikker eller til og med venner og familie. De appellerer til følelser som fristelser, frykt og tillit, og håper at du handler impulsivt uten å tenke deg om.

Målet deres er å overbevise deg om at du må handle raskt eller dele sensitiv informasjon for å unngå problemer eller dra nytte av en tilsynelatende god mulighet.

Et vanlig eksempel er såkalte «phishing»-angrep via e-post eller meldinger, der svindlere sender falske meldinger som later som om de kommer fra en pålitelig kilde. De ber kanskje om at du oppdaterer kontoinformasjonen din, klikker på en skadelig lenke eller laster ned vedlegg som inneholder skadelig programvare.

Når du gir etter for disse forespørslene eller utfører handlingene de ber om, får svindlerne tilgang til dine personlige data eller stjeler pengene dine.

Både privatpersoner og virksomheter er hele tiden utsatt for dette, derfor ønsker vi med årets tema å skape mer bevissthet og kunnskap for at alle skal bli mindre sårbar for dette fenomenet.

Vi har produsert en pakke med tekster til sosiale medier, infoplakater og videoer som kan benyttes fritt.

LAST NED

Tips til virksomheter for vurdering av sosiale medie-apper

Hvilke apper kan ansatte ha på telefonen? NSM har utarbeidet tips til virksomheter som skal utarbeide rutiner for bruk av sosiale medier internt.

Sosiale medie-apper er et utbredt innslag på mobile enheter. Det kan innebære risiko for norske virksomheter. Ansatte kan ha slike apper både på private enheter og tjenesteenheter som har tilgang til virksomhetens interne digitale tjenester eller infrastruktur. NSM har derfor samlet tips og begrepsavklaringer til hjelp i virksomhetens digitale risikoarbeid.

Tipsene lister opp noen viktige kriterier for å vurdere risikoen knyttet til sosiale medie-apper og for å vurdere risikoreduserende tiltak. Dette er kun ment å supplere en ordinær risikovurdering og utgjør ikke en fullstendig beskrivelse av risikovurderingen en virksomhet bør utføre. Det betyr at blant annet vurdering av tillit til leverandører av IT-tjenester og apper, og vurdering av kryptoalgoritmer og -nøkler ikke omtales her. Noen av disse problemstillingene er omtalt i NSMs 13 råd for bedre sikkerhet på mobile enheter.

Se hvilke tiltak ansatte selv kan ta i bruk: NSMs 13 råd for bedre sikkerhet på mobile enheter

Verdi- og skadevurdering

Hvilke verdier som bør beskyttes i forbindelse med bruk av tjenesteenheter, vil være forskjellig fra virksomhet til virksomhet. Det kan også variere med rolle eller stilling den enkelte medarbeider har i virksomheten.

For mobile tjenesteenheter er det flere faktorer som kan være relevante å ta med i verdi- og skadevurderingen. Listen under er en veiledende, men ikke uttømmende, stikkordsliste:

Hva slags informasjon kan bli lagret på enheten?
Hvilke deler av virksomhetens interne digitale infrastruktur kan enheten kobles opp mot?
Hvilke virksomhetsinterne tjenester og opplysninger kan enheten få tilgang til?
Hvor sensitiv virksomhetsintern informasjon kommuniseres gjennom enheten
Behandles virksomhetsintern informasjon kun i apper som er plassert i egne «kontainere»?
Har enheten mikrofon eller kamera?
Er mobilenheten underlagt flåtestyring, og hvor streng er denne?
Er det behov for å forhindre sporing av personen som bruker tjenesteenheten?

Når det gjelder apper for sosiale medier, er det viktig å vurdere mulighetene for å begrense sporing. Sporing er en betegnelse som omfatter både bruks- og kommunikasjonsmønster i det digitale domenet og muligheten til å spore den geografiske posisjonen til den fysiske enheten. Her kan det være hensiktsmessig å ta hensyn til om brukeren er trusselutsatt av andre årsaker enn arbeidsforhold, for eksempel personer som har sperret adresse i Folkeregisteret.

Vurdering av tjenester og apper i kategorien sosiale medier

Det finnes mange apper for sosiale medier, og disse tilbyr gjerne svært ulike tjenester. Et viktig felles trekk er at disse tjenestene ofte tilbys uten betalt abonnement.

Ansatte i en virksomhet kan ha tjenstlig behov for enkelte apper for sosiale medier. For å gjøre en god risikovurdering er det hensiktsmessig at virksomheten forstår app- og tjenestetilbyders forretningsmodell.

Enkelte tjenester og apper tilpasset sosiale medier kan brukes til å sette opp en lukket tjeneste for intern kommunikasjon i egen virksomhet, og dermed tilbys som en del av virksomhetens interne tjenester. Her er det viktig ikke å forveksle en åpen offentlig tjeneste med en lukket sikker tjeneste da utforming og funksjonalitet kan ha store likhetstrekk.

Om apper og digital sikkerhet generelt

Virksomheten bør alltid gjøre en risikovurdering av alle apper som skal tillates installert på tjenesteenheter.

For virksomheten er det vesentlig å vurdere

hvilke opplysninger appen kan fange opp om brukeren
om appen kan fange opp informasjon uten at brukeren har gitt et informert samtykke
om appen kan utnyttes til å kompromittere noen av virksomhetens digitale tjenester eller infrastruktur

Et tiltak for å redusere risiko er å plassere apper som behandler virksomhetsintern informasjon i egne «kontainere» (kontainerisering). Det gir hver applikasjon et eget isolert område, hvor den har alt den trenger for å kjøre samtidig som den er beskyttet fra andre applikasjoner. Det er også viktig med tiltak som bidrar til at alle medarbeidere i virksomheten er bevisst på skillet mellom privat og virksomhetsintern informasjon.

Anbefalt praksis er at digitale enheter skal oppdatere programvare automatisk slik at sårbarheter og feil som leverandøren retter, fortløpende blir oppdatert på brukernes enheter. Det medfører også at ny funksjonalitet distribueres, og at apper automatisk kan få nye egenskaper. Virksomheten må derfor gjøre en løpende risikovurdering av alle apper som oppdateres automatisk.

Det kan være stor usikkerhet knyttet til vurderingen av en enkelt app. Dette gjør at vurderingen av mulige uønskede konsekvenser må vektlegges. Muligheten for alvorlige konsekvenser er tilstrekkelig grunnlag for å følge «føre var»-prinsippet.

Noen vesentlige faktorer i vurderingen av apper

Det er viktig å merke seg at mange apper gir mulighet for å åpne vanlige nettsider. Dette gjøres ofte i appens egen nettleser, og ikke i nettleseren brukeren vanligvis benytter. Derfor må risikovurderingen av en app for sosiale medier også omfatte andre tjenester brukeren kan nå gjennom appen. Appens innebygde nettleser kan ha andre og mer alvorlige sårbarheter enn den nettleseren som er satt opp som standard for enheten.

Det er også viktig å vurdere hvilke opplysninger som overføres eller deles mellom forskjellige apper. Enkelte tilbydere av sosiale medier har bygget et økosystem av tjenester som deler informasjon om brukere og den enkelte brukers handlingsmønster knyttet til samtlige tjenester.

Denne innsamlingen av opplysninger gjør det også nødvendig å vurdere risiko dersom ansatte, fra virksomhetens enheter, logger seg inn med sin private bruker på forskjellige webtjenester. Dette gjelder også når apper for de samme tjenestene ikke er installert på virksomhetens enheter.

Om meldingsapper

Det er vesentlig at meldingsapper bruker ende-til-ende-kryptering med en tilstrekkelig sterk algoritme og nøkkellengde. Dersom tjenesten tillater at brukere unntaksvis kan sende meldinger ukryptert, må dette være tydelig markert i appens brukergrensesnitt.
Det er også nødvendig å vurdere hvordan nye brukere blir registrert i meldingstjenesten. Har tjenesten etablert gode rutiner for å håndtere tilfeller der brukere på falskt grunnlag utgir seg for å være ansatt i en virksomhet?

Instruks og opplæring for ansatte

Det er viktig at virksomheten aktivt bidrar til at de ansatte har god risikoforståelse når det gjelder oppgavene de utfører og informasjonen de håndterer i arbeid for virksomheten. God, tydelig og tidlig informasjon om dette temaet er et bidrag til at virksomheten utvikler en god sikkerhetskultur.

Virksomheten må etablere gode rutiner for hvordan brukerkontoer i sosiale medier skal håndteres når ansatte slutter. Dette gjelder både kontoer som formelt eies av virksomheten, og eventuelle rettigheter som virksomheten midlertidig har gitt en konto som tilhører de enkelte medarbeidere i virksomheten. Virksomheten bør også ha etablert klare regler for eventuell bruk av virksomhetens navn og varemerker på medarbeideres private kontoer, slik at det ikke oppstår tvil om kontoen representerer virksomheten eller en privatperson.

Mobile enheter og tjenestemobiler

Mobile enheter er mobiltelefoner, nettbrett, bærbare datamaskiner og lignende utstyr.
Betegnelsen tjenesteenhet, hvor det ofte dreier seg om tjenestetelefon, brukes når utgifter til utstyr og abonnementer er dekket for å dekke tjenstlig behov. Også utstyr som arbeidsgiver midlertidig låner ut til ansatte er tjenesteenheter.
Det er ikke noe krav om at én enkelt enhet skal dekke alle tjenstlige behov. Det kan være hensiktsmessig å skille mellom ordinære tjenesteenheter og slike tjenesteenheter som kun skal brukes til spesielle formål.

Fem effektive tiltak mot dataangrep

Her beskrives fem effektive tekniske tiltak som systemeiere bør benytte for å beskytte sine systemer mot internett-relaterte dataangrep.

De vanligste angrep utføres med ondsinnet programvare mot de ansattes datamaskiner samt ved gjetting av enkle passord. De fleste av disse angrepene er teknisk sett mulig å stoppe, selv om ansatte skulle klikke på ondsinnet programvare. NSM har i flere tiår utviklet tekniske sikkerhetstiltak for beskyttelse av IKT-systemer. Ut fra disse erfaringer ser vi at virksomheter kan stanse de fleste dataangrep med følgende tiltak:

https://nsm.no/fagomrader/digital-sikkerhet/rad-og-anbefalinger-innenfor-digital-sikkerhet/5tiltak

Beskytt deg!

https://www.politiet.no/rad/beskytt-deg-mot-svindel-og-id-tyveri/#raad-til-deg-som-er-rammet-av-id-tyveri-button

Allmänt · ‽IT · ∴ · interrobangit · Svenn Dybvik · § · §IT

Dela · Kommentera

.

Kommentera

Av Svenn Dybvik - 21 juli 2024 00:30

NATO

https://www.sto.nato.int/Pages/default.aspx

"assessment of Science & Technology (S&T) trends and their potential impact on NATO military operations"

https://www.nato.int/nato_static_fl2014/assets/pdf/2023/3/pdf/stt23-vol1.pdf

https://www.nato.int/nato_static_fl2014/assets/pdf/2023/3/pdf/stt23-vol2.pdf

Emerging and disruptive technologies

https://www.nato.int/cps/en/natohq/topics_184303.htm

"The strategic context"

"Emerging and disruptive technologies are increasingly touching all aspects of life – from electronics like phones and computers, to everyday activities like shopping for food in the grocery store and managing money in the bank. These technologies are also having a profound impact on security. Innovative technologies are providing new opportunities for NATO militaries, helping them become more effective, resilient, cost-efficient and sustainable. These technologies, however, also represent new threats from state and non-state actors, both militarily and to civilian society.

NATO’s 2022 Strategic Concept,"

Artificial intelligence and human-autonomy teaming in military operations

https://www.ffi.no/publikasjoner/arkiv/trusting-machine-intelligence-artificial-intelligence-and-human-autonomy-teaming-in-military-operations

https://ffi-publikasjoner.archive.knowledgearc.net/bitstream/handle/20.500.12242/3231/2193366.pdf

Conceptualise Foreign Information Manipulation

https://www.ffi.no/publikasjoner/arkiv/the-space-of-influence-developing-a-new-method-to-conceptualise-foreign-information-manipulation-and-interference-on-social-media

https://ffi-publikasjoner.archive.knowledgearc.net/bitstream/handle/20.500.12242/3189/2149121.pdf

Morfologiske analyser

https://www.ffi.no/sok?tags=Morfologisk%20analyse

Informasjonsintegrasjon for et moderne forsvar

https://www.ffi.no/publikasjoner/arkiv/stordata-og-avansert-analyse-sluttrapport-for-ffi-prosjekt-informasjonsintegrasjon-for-et-moderne-forsvar

https://ffi-publikasjoner.archive.knowledgearc.net/bitstream/handle/20.500.12242/2959/21-02647.pdf

Totalberedskapskommisjonen

https://www.regjeringen.no/no/dokumenter/horing-nou-202317-na-er-det-alvor-totalberedskapskommisjonen/id2985496/?expand=horingssvar

NOU 2023:17

Rustet for en usikker fremtid

https://www.regjeringen.no/contentassets/4b9ba57bebae44d2bebfc845ff6cd5f5/no/pdfs/nou202320230017000dddpdfs.pdf

https://www.regjeringen.no/no/dokumenter/horing-nou-202317-na-er-det-alvor-totalberedskapskommisjonen/id2985496/?showSvar=true&term=&page=1&isFilterOpen=true

Styringsdokumenter for Forsvaret

(utvalgte)

https://www.ffi.no/om-ffi/styringsdokumenter/Tildelingsbrev%202023%20for%20Forsvarets%20forskningsinstitutt.PDF

Instruks virksomhetsstyring forsvarssektoren

https://www.regjeringen.no/no/dokumenter/oppdatert-instruks-for-okonomi--og-virksomhetsstyring-i-forsvarssektoren/id2537099/

"Forsvarets planmessighet 2021-2024"

https://www.regjeringen.no/no/tema/forsvar/ltp/LTP/id2611090/

NATO Allies and Partners take part in world’s largest cyber defence exercise

https://www.nato.int/cps/en/natohq/news_214144.htm

NATO Cyber defenca / försvarsmakten aktuellt

https://www.nato.int/cps/en/natohq/topics_78170.htm
https://www.forsvarsmakten.se/sv/aktuellt/2023/04/forsvarsmaktens-lag-vann-varldens-storsta-cybersakerhetsovning/

"resilience of critical infrastructure"

https://www.nato.int/cps/en/natohq/news_216631.htm?selectedLocale=en

https://www.nato.int/cps/en/natohq/topics_132722.htm

https://www.nato.int/cps/en/natohq/topics_80906.htm

▲

Electromagnetic warfare

Military operations conducted in all environments use the electromagnetic spectrum to create effects that support military objectives. As a part of the battlespace, NATO forces conduct Electromagnetic Operations (EMO) in the Electromagnetic Environment (EME). EMO involves activities that exploit the EME to enable or enhance NATO operations and hinder the potential adversary's ability to do the same. As the combat arm of EMO, Electromagnetic Warfare (EW) activities provide military action that exploits electromagnetic energy to provide situational awareness and create offensive and defensive effects.

From attacks on radar systems, to jamming of communications and navigation systems, to electronic masking, probing, reconnaissance and intelligence gathering, EW can be applied in all operational domains – air, land, maritime, space and cyber. It is therefore vital that NATO remains ready and able to counter any potential adversary’s use of EW.
EW should not be confused with cyber warfare and capabilities. Broadly speaking, cyber operations use various hacking techniques to infiltrate and disrupt a target’s computer systems, in order to obtain intelligence or degrade the target’s capabilities. EW uses directed energy to cut off access to the electromagnetic spectrum, blocking signals between technologies and rendering them inoperable. Of course, by interfering with computer infrastructure, EW can affect operations in the cyber domain.
The NATO Electromagnetic Warfare Policy and NATO Electromagnetic Spectrum (EMS) Strategy govern the Alliance’s use, development, testing and training of EW capabilities and tactics.
NATO conducts exercises where Allies test out advanced EW techniques against simulated threats using state-of-the-art electronic defences. Observations and lessons learned from these exercises help identify gaps and shape recommendations to prepare NATO for future developments in electromagnetic warfare.
Electromagnetic warfare was previously referred to as ‘electronic warfare’ by NATO, and the two terms are often used interchangeably. ‘Electromagnetic warfare’ is now preferred, to emphasise the importance of the electromagnetic spectrum in EW.

Allmänt · ‽IT · ∴ · interrobangit · Svenn Dybvik · § · §IT

Dela · Kommentera

.

Kommentera

Av Svenn Dybvik - 22 juni 2024 00:00

The National Cyber Security Centre

https://www.ncsc.gov.uk/

AI and cyber security: what you need to know

Understanding the risks - and benefits - of using AI tools.

https://www.ncsc.gov.uk/guidance/ai-and-cyber-security-what-you-need-to-know

Phishing attacks: defending your organisation

How to defend your organisation from email phishing attacks.

https://www.ncsc.gov.uk/guidance/phishing

Vulnerability management

This area provides advice, guidance and other resources aimed specifically at those with an interest in vulnerability management.

https://www.ncsc.gov.uk/collection/vulnerability-management

Using containerisation

Guidance on how to build and use containerised applications securely.

https://www.ncsc.gov.uk/collection/using-containerisation

Securing your devices

How to ensure your devices are as secure as possible.

Securing your devices - NCSC.GOV.UK

Devices like smartphones, tablets and PCs are getting more and more secure, but hackers are getting better at attacking them too.

So if you've just bought a new or second hand device, or haven't looked at your security settings for a while, you should take some time to make sure you're protected against the latest threats. Fortunately, most manufacturers provide easy-to-use guidance on how to secure your devices.

You can also check to see if you device is still supported with the Which? device support checker tool.

We've provided some links to their advice below.

We recommend you take some time to go through these guides* every few months, or when you get a new device, to make sure you're protected.

*(links lead to the relevant external websites)

Allmänt · ‽IT · ∴ · interrobangit · Svenn Dybvik · § · §IT

Dela · Kommentera

.

Kommentera

Av Svenn Dybvik - 23 maj 2024 00:00

https://www.enisa.europa.eu/publications/enisa-threat-landscape-2023

ENISA Threat Landscape 2023

This is the eleventh edition of the ENISA Threat Landscape (ETL) report, an annual report on the status of the cybersecurity threat landscape. It identifies the top threats, major trends observed with respect to threats, threat actors and attack techniques, as well as impact and motivation analysis. It also describes relevant mitigation measures. This year’s work has again been supported by ENISA’s ad hoc Working Group on Cybersecurity Threat Landscapes (CTL).

https://www.enisa.europa.eu/publications/enisa-threat-landscape-2023/@@download/fullReport

https://www.enisa.europa.eu/

Warfare and Geopolitics are Fuelling Denial-of-Service Attacks

The European Union Agency for Cybersecurity (ENISA)’s new report on the Denial-of-Service (DoS) attacks threat landscape finds 66% of DoS attacks are politically motivated.

The analysis is based on 310 verified Denial-of-Service (DoS) incidents during the reporting period of January 2022 to August 2023. However, this total number only represents the incidents gathered from open sources.

A large-scale study is also included of publicly reported incidents. The study focuses on the motivations of attackers, their goals and the socio-political profiles of targets.

DOS attack threat landscape report 2023

Since the beginning of 2022, DoS attacks have turned into a novel and massive threat using new techniques and are fuelled by warfare motivations.

In the last few years, DoS attacks have become easier, cheaper and more aggressive than ever before. The emergence of new armed conflicts around the world acted as fuel to new waves of DoS attacks where newly formed threat actors pick and choose targets without fear of repercussions.

Objective of report:

To provide a better understanding of this type of threat by analysing the motivations and impact of the DoS attacks and raise awareness at the same time by suggesting prevention and remediation recommendations.

The research performed illustrates that most impacted sectors over the reported period covering January 2022 to August 2023 are associated with government services. These attacks stand as retaliation acts triggered by political decisions.

The report highlights that the last few years, DoS attacks have increased in number especially in the public administration and have become easier and more aggressive than before, largely due to geopolitical reasons. The current DoS threat landscape is greatly influenced by the emergence of the recent armed conflicts around the world and especially by the Russia-Ukraine War that fuelled new waves of DoS attacks where recently introduced threat actors select targets without the fear of repercussions.

The study also illustrates that while no sector is exempted from DoS attacks, the government infrastructure has become a preferred target by threat actors that often manage to be successful by causing downtime.

KEY TAKEAWAYS

The most affected sector was the government administration sector, accounting for receiving 46% of attacks.
It is estimated that 66% of the attacks were motivated by political reasons or activist agendas.
Overall, 50% of the global incidents were found to be related to the Russian-Ukrainian war.
The study shows that 8% of the attacks caused total disruption in the target.
The analysis of DoS attacks' motivations and goals is based on the new taxonomy used to classify such attacks based on information publicly available about the attacks the targets for a more systematic analysis approach.
Warfare is a key gameplayer and organisations would benefit from prevention and remediation strategies.
Reporting of DoS attacks has not reached the maturity needed to allow for the real extent and impact of such attacks.

Key challenges

The detection, description and analysis of DoS attacks is highly complex and different from other cybersecurity attacks. In other types of cybersecurity attacks, such as exploitation of services or even supply chain attacks, the attackers leave artefacts behind that the incident responders can find, analyse, share, confirm, verify and ultimately use for some explanation or even attribution. In the case of DoS attacks artefacts do not exist or are usually fake ones. This is part of the reasons why official databases of such attacks are difficult to be compiled.

The report sheds light on 3 types of information one must be warned against when seeking to analyse DoS incidents:

The good quality of information: paradoxically, this is the information coming from reports and claims made by the attackers themselves.
The bad quality of information: information coming from DoS protection providers that actually stopped the attacks.
The ugly quality of information: information coming from reports created by the targets.

What is a Denial-of-Service or DoS attack?

There is a wide range of difficulties when it comes to defining what a DoS attack is.

Denial-of-service attacks (DoS) are defined for this report as availability attacks in which attackers, partially or totally, obstruct the legitimate use of a target's service by depleting or exploiting the target's assets over a period of time.

A Distributed Denial-of-Service (DDoS) attack DDoS is a subset of DoS attacks. DoS attacks can be distributed which means that they may originate from thousands of sources from all over the world, usually relying on large-scale botnets or proxies.

Further Information

ENISA Threat Landscape for DoS Attacks - 2023

ENISA Threat Landscape - 2023

Contact

For press questions and interviews, please contact press (at) enisa.europa.eu

Stay updated - subscribe to RSS feeds of both ENISA news items & press releases!

News items:

http://www.enisa.europa.eu/media/news-items/news-wires/RSS

PRs:

http://www.enisa.europa.eu/media/press-releases/press-releases/RSS

https://www.enisa.europa.eu/news/checking-up-on-health-ransomware-accounts-for-54-of-cybersecurity-threats

Checking-up on Health: Ransomware Accounts for 54% of Cybersecurity Threats

The European Union Agency for Cybersecurity (ENISA) releases today its first cyber threat landscape for the health sector. The report found that ransomware accounts for 54% of cybersecurity threats in the health sector.

The comprehensive analysis maps and studies cyberattacks, identifying prime threats, actors, impacts, and trends for a period of over 2 years, providing valuable insights for the healthcare community and policy makers. The analysis is based on a total of 215 publicly reported incidents in the EU and neighbouring countries.

Executive Director of the European Union Agency for Cybersecurity (ENISA), Juhan Lepassaar, said: “A high common level of cybersecurity for the healthcare sector in the EU is essential to ensure health organisations can operate in the safest way. The rise of the covid-19 pandemic showed us how we critically depend on health systems. What I consider as a wake-up call confirmed we need to get a clear view of the risks, the attack surface and the vulnerabilities specific to the sector. Access to incident reporting data must therefore be facilitated to better visualise and comprehend our cyber threat environment and identify the appropriate mitigation measures we need to implement.”

The findings

The report reveals a concerning reality of the challenges faced by the EU health sector during the reporting period.

Widespread incidents. The European health sector experienced a significant number of incidents, with healthcare providers accounting for 53% of the total incidents. Hospitals, in particular, bore the brunt, with 42% of incidents reported. Additionally, health authorities, bodies and agencies (14%), and the pharmaceutical industry (9%) were targeted.
Ransomware and data breaches. Ransomware emerged as one of the primary threats in the health sector (54% of incidents). This trend is seen as likely to continue. Only 27% of surveyed organisations in the health sector have a dedicated ransomware defence programme. Driven by financial gain, cybercriminals extort both health organisations and patients, threatening to disclose data, personal or sensitive in nature. Patient data, including electronic health records, were the most targeted assets (30%). Alarmingly, nearly half of all incidents (46%) aimed to steal or leak health organisations' data.
Impact and lessons learned by the COVID-19 Pandemic. It is essential to note that the reporting period coincided with a significant portion of the COVID-19 pandemic era, during which the healthcare sector became a prime target for attackers. Financially motivated threat actors, driven by the value of patient data, were responsible for the majority of attacks (53%). The pandemic saw multiple instances of data leakage from COVID-19-related systems and testing laboratories in various EU countries. Insiders and poor security practices, including misconfigurations, were identified as primary causes of these leaks. The incidents serve as a stark reminder of the importance of robust cybersecurity practices, particularly in times of urgent operational needs.
Vulnerabilities in Healthcare Systems. Attacks on healthcare supply chains and service providers resulted in disruptions or losses to health organisations (7%). Such types of attacks are expected to remain significant in the future, given the risks posed by vulnerabilities in healthcare systems and medical devices. A recent study by ENISA revealed that healthcare organisations reported the highest number of security incidents related to vulnerabilities in software or hardware, with 80% of respondents citing vulnerabilities as the cause of more than 61% of their security incidents.
Geopolitical Developments and DDoS Attacks. Geopolitical developments and hacktivist activity led to a surge in Distributed Denial of Service (DDoS) attacks by pro-Russian hacktivist groups against hospitals and health authorities in early 2023, accounting for 9% of total incidents. While this trend is expected to continue, the actual impact of these attacks remains relatively low.
The incidents examined in the report had significant consequences for health organisations, primarily resulting in breaches or theft of data (43%) disrupted healthcare services (22%) and disrupted services not related to healthcare (26%). The report also highlights the financial losses incurred, with the median cost of a major security incident in the health sector estimated at €300,000 according to the ENISA NIS Investment 2022 study.
Patient safety emerges as a paramount concern for the health community, given potential delays in triage and treatment caused by cyber incidents.

New report from the NIS Cooperation Group

The NIS Cooperation Group releases today its report on “Threats and risk management in the health sector – Under the NIS Directive”. As a first assessment on the measures currently in place, the study sheds light on the different cybersecurity challenges in risk mitigation faced by the EU health sector. Together with relevant threat taxonomies and cyber incident data, the report discloses business continuity and mitigation recommendations to limit the likelihood and impacts of a cyber related incident.

Background

The ENISA threat landscape reports map the cyber threat landscape to help decision makers, policy makers and security specialists define strategies to defend citizens, organisations and cyberspace.

The report’s content is gathered from open sources such as media articles, expert opinions, intelligence reports, incident analysis and security research reports; as well as through the members of the ENISA Cyber Threat Landscapes Working Group (CTL working group).

The analysis and views of the threat landscape by ENISA is meant to be industry and vendor neutral. Information based on OSINT (Open-Source Intelligence) and the work of ENISA on Situational Awareness also helped document the analysis presented in the report.

Further Information

Health Threat Landscape – ENISA report 2023

ENISA topic: Health

ENISA topic: Cyber threats

CSIRT capabilities in healthcare sector – ENISA report 2021

Cloud security for healthcare services – ENISA report 2021

Procurement guidelines for cybersecurity in hospitals

References

https://www.enisa.europa.eu/about-enisa/data-protection

▼

ENISA is committed to the protection of individuals’ privacy and data protection.

The rights to privacy and data protection are fundamental rights, set out in articles 7 and 8 of the EU Charter of Fundamental Rights.

ENISA, as an EU Agency, is subject to the Regulation (EU) 2018/1725 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies. This Regulation has the same level and types of rules for the protection of personal data as the General Data Protection Regulation (GDPR), which is applicable to all EU Member States.

In order to function and meet its tasks and objectives, ENISA needs to collect and further process personal data of its staff members, as well as other natural persons in the context of its different activities in the areas of human resources, procurement and finance, corporate services (e.g. IT services), as well as in the context of the functioning of ENISA’s governance bodies and core operations.

What is personal data?

Personal data is any information relating to an identified or identifiable natural person. An identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identifier, such as a name, an identification number, location data, an online identifier or to one or more factors specific to his or her physical, physiological, genetic, mental, economic, cultural or social identity.

Examples of personal data include: names, pictures, contact details, emails, CVs, diplomas, recommendation letters, professional & family life, bank details, transaction information, medical data, judicial & criminal records, CCTV footage, log files, IP addresses, cookies, etc.

How does ENISA process personal data?

ENISA process personal data in accordance with the principles and provisions of Regulation (EU) 2018/1725.

These provisions mandate the personal data shall be:

processed lawfully, fairly and in a transparent manner;
collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes (“purpose limitation”);
adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (“data minimisation”);
accurate and, where necessary, kept up to date (“accuracy”’);
kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed (‘storage limitation’);
processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).

ENISA adheres to its obligations under the Regulation (EU) 2018/1725 and provides for the data subjects rights under this Regulation.

Further information:

ENISA’s central register of data processing activities

Data subjects rights under Regulation (EU) 2018/1725

ENISA’s Data Protection Officer

Data protection with regard to ENISA’s website

https://cybersecuritymonth.eu/

https://cybersecuritymonth.eu/press-campaign-toolbox/visual-identity/banners/ecsm-partnerstoolkit.zip

https://cybersecuritymonth.eu/smarterthanahacker

https://privacyforum.eu/

https://www.enisa.europa.eu/publications/pseudonymisation-techniques-and-best-practices

Pseudonymisation techniques and best practices

This report explores further the basic notions of pseudonymisation, as well as technical solutions that can support implementation in practice. Starting from a number of pseudonymisation scenarios, the report defines first the main actors that can be involved in the process of pseudonymisation along with their possible roles. It then analyses the different adversarial models and attacking techniques against pseudonymisation, such as brute force attack, dictionary search and guesswork. Moreover, it presents the main pseudonymisation techniques and policies available today.

https://www.enisa.europa.eu/publications/pseudonymisation-techniques-and-best-practices/@@download/fullReport

https://www.enisa.europa.eu/publications/data-pseudonymisation-advanced-techniques-and-use-cases

Data Pseudonymisation: Advanced Techniques and Use Cases

This report, building on the basic pseudonymisation techniques, examines advanced solutions for more complex scenarios that can be based on asymmetric encryption, ring signatures and group pseudonyms, chaining mode, pseudonyms based on multiple identifiers, pseudonyms with proof of knowledge and secure multi-party computation. It then applies some of these techniques in the area of healthcare to discuss possible pseudonymisation options in different example cases. Lastly, it examines the application of basic pseudonymisation techniques in common cybersecurity use cases, such as the use of telemetry and reputation systems.

https://www.enisa.europa.eu/publications/data-pseudonymisation-advanced-techniques-and-use-cases/@@download/fullReport

https://www.enisa.europa.eu/publications/engineering-personal-data-sharing

Engineering Personal Data Sharing

This report attempts to look closer at specific use cases relating to personal data sharing, primarily in the health sector, and discusses how specific technologies and considerations of implementation can support the meeting of specific data protection. After discussing some challenges in (personal) data sharing, this report demonstrates how to engineer specific technologies and techniques in order to enable privacy preserving data sharing. More specifically it discusses specific use cases for sharing data in the health sector, with the aim of demonstrating how data protection principles can be met through the proper use of technological solutions relying on advanced cryptographic techniques. Next it discusses data sharing that takes place as part of another process or service, where the data is processed through some secondary channel or entity before reaching its primary recipient. Lastly, it identifies challenges, considerations and possible architectural solutions on intervenability aspects (such as the right to erasure and the right to rectification when sharing data).

https://www.enisa.europa.eu/publications/engineering-personal-data-sharing/@@download/fullReport

https://www.enisa.europa.eu/news/securing-personal-data-in-the-wake-of-ai

Securing Personal Data in the Wake of AI

This year’s Annual Privacy Forum focused on pressing personal data protection challenges raised by the ever faster-paced developments witnessed today in digital technologies and legislative initiatives.

Organised by the European Union Agency for Cybersecurity (ENISA) together with the directorate general of the European Commission for communications networks, content and technology (DG Connect) and the National Institute for Research in Digital Science and Technology (INRIA), the 2023 edition of the event took place in Lyon, France.

This 11^th edition brought together a total of 26 speakers and over 400 participants both physically and remotely.

Panels of experts were given the chance to address some of the most pressing topics in relation to the securing of personal data, including:

Emerging Technologies for personal data protection;
Machine learning and personal data processing;
Personal data sharing under the European Data Strategy;
Promoting GDPR compliance and data subject rights.

European Union Agency for Cybersecurity, Executive Director Juhan Lepassaar, commented: “ENISA has been analysing AI risks for the last 5 years. To prepare for a secure and trusted AI, the safeguards need to be in place. Today AI and in particular machine learning pose great challenges to data protection and privacy. Trust is what underpins the secure adoption and maturity of these technologies. Personal data protection measures are an impactful way to gaining this trust.”

Wojciech Wiewiorowski, European Data Protection Supervisor: “It would be reductive to not look at the benefits that AI can bring to society, such as faster decision making and easy-to-use automation. However, the risks to individual rights are significant and can have a profound impact on our democracies. By proactively addressing these risks, we can harness the potential of AI while safeguarding privacy rights. It is crucial to take action now to ensure responsible and ethical implementation of AI technologies.”

Challenges and opportunities: the conference’s key take-aways

Within the three panel discussions, regulators from EU Institutions, France, Spain and Norway together with policy makers and industry practitioners, debated on which are the data protection engineering challenges for the years to come, what is the role of Data Protection Authorities in the artificial intelligence era and the data protection prospects and contemplations when processing medical data in the post pandemic era.
Further to these discussions, invited speakers also elaborated on the AI regulatory approaches on artificial intelligence across the two sides of the Atlantic and how Zero Knowledge Proof technique can be deployed as a privacy enhancing technique in real life applications.

The Annual Privacy Forum was co-located and organised back to back with the EDPS IPEN workshop as part of their strategic cooperation and the Memorandum of Understanding signed between ENISA and the EDPS in 2022.

Further Information

Relevant ENISA publications:

Engineering Personal Data Sharing – ENISA report 2023
Data Protection Engineering – ENISA report 2022
Deploying pseudonymisation techniques
Data Pseudonymisation: Advanced Techniques and Use Cases
Pseudonymisation techniques and best practices
ENISA topic – Data Protection

Other information:

About the Annual Privacy Forum

The Annual Privacy Forum (APF) has become a renowned forum among policy-makers, researchers and industry stakeholders in the area of privacy and personal data protection who join forces to advance information security. The forum is set against the EU legislative background that is mainly, but not exclusively, comprised of the GDPR and the draft ePrivacy Regulation. The event sets the stage for new research proposals, solutions, models, applications and policies. In the last few years, the forum has also developed a deeper industry footprint to complement its original research and policy orientation.

About the European Union Agency for Cybersecurity (ENISA)

The EU Agency for Cybersecurity has been working in the area of privacy and data protection since 2014, by analysing technical solutions for the implementation of the GDPR, privacy by design and security of personal data processing. The Agency has been providing guidance on data pseudonymisation solutions to data controllers and processors since 2018.

Contact

For press questions and interviews, please contact press (at) enisa.europa.eu

Allmänt · ‽IT · ∴ · interrobangit · Svenn Dybvik · § · §IT

Dela · Kommentera

.

Kommentera

Av Svenn Dybvik - 24 april 2024 00:00

https://www.ncsc.gov.uk/

The National Cyber Security Centre

https://www.ncsc.gov.uk/collection/problem-book/hardware-security

https://www.ncsc.gov.uk/collection/cloud/using-cloud-services-securely/how-to-lift-and-shift-successfully

https://www.ncsc.gov.uk/collection/defending-democracy/guidance-for-high-risk-individuals

https://www.ncsc.gov.uk/collection/guidelines-secure-ai-system-development

https://www.ncsc.gov.uk/section/information-for/individuals-families

https://www.ncsc.gov.uk/section/information-for/self-employed-sole-traders

https://www.ncsc.gov.uk/section/information-for/small-medium-sized-organisations

https://www.ncsc.gov.uk/section/information-for/large-organisations

https://www.ncsc.gov.uk/section/information-for/public-sector

https://www.ncsc.gov.uk/section/information-for/cyber-security-professionals

https://www.ncsc.gov.uk/collection/defending-democracy

Defending democracy

Introduction

This collection brings together expanded guidance to raise awareness of the cyber threats to democratic processes, institutions, and the people involved in them. The aim is to prevent or reduce related attacks against both organisations and individuals.

The context here is the threat of foreign cyber interference with the aim of influencing UK democratic processes. Democratic events such as elections are attractive targets for adversaries, and organisations and individuals must be prepared for threats, old and new. Defending UK democratic institutions and processes is a priority.

Who is this guidance for?

Organisations

political parties or organisations, think tanks
local authorities, central government, devolved administrations

Individuals

working in organisations as above, that puts them at higher risk of targeting
working in IT or SOC roles in organisations as above

This collection contains

Guidance for high-risk individuals
There has been a rise in targeting of individuals’ personal accounts instead of corporate ones, as security is less likely to be managed by a dedicated team. This is not a mass campaign against the public but a persistent effort to target people whom attackers consider to hold information of interest. This guidance sets out how individuals can protect their accounts and devices.

Further guidance will be added to this collection in 2024.

Guidance for high-risk individuals on protecting your accounts and devices

What is a high-risk individual?

In a cyber security context, you are considered a high-risk individual if your work or public status means you have access to, or influence over, sensitive information that could be of interest to nation state actors.

High-risk individuals include those working in political life (including elected representatives, candidates, activists and staffers), academia, journalism and the legal sector.

In recent years there have been a number of targeted cyber attacks against high-risk individuals in the UK, to attempt to gain access to their accounts and devices. This has resulted in the theft and publication of sensitive information, which can also cause reputational damage.

How and why you may be targeted

There are different ways an attacker may gain access to your accounts or devices. Spear-phishing is one method that attackers have used in the past to compromise high-risk individuals.

A joint NCSC advisory with international partners describes this technique and warns of a state actor that has targeted high-risk individuals in the UK in this way.

Using this guidance

This guidance will help you improve the security of personal accounts and devices, and keep you better protected online.

Personal accounts and devices are the responsibility of the individual and may be considered an easy target for threat actors, as they may perceive them to have fewer security measures in place.

As far as possible, you should continue to use corporately managed accounts and devices for your work, as they will be centrally managed and secured.

Protecting your accounts

Your personal accounts are a likely target for attackers. If an attacker gains access to one of your accounts, they may be able access to the information on them. Taking the actions below will significantly reduce the chance of a successful attack.

Use strong passwords

When an attacker compromises an account, it is often because they have either stolen or guessed the password. Weak passwords are vulnerable to attack. Research shows that weak passwords often contain names, places or a run of numbers. The more complex a password is, the more secure it becomes. The NCSC recommends using a sequence of three random words to make a password complex but easy to remember.

Having strong passwords can lessen the chance that your account is compromised. Important accounts that contain sensitive information (such as your personal and work email, social media and online banking) should have a strong password that is unique to that account.

It can be difficult to remember passwords, so it’s fine to write them down and keep them safe where other people can’t access them, separate from your devices. You can also use a password manager. Password managers are a convenient and secure way to store your passwords, either in your browser or an app, which uses one ‘master’ password or biometrics. Both Android and iOS devices have secure and trusted password manager functions built in:

Accessing password manager functions on IOS (Apple)

Accessing password manager functions on Android

You should not share your passwords for any of your accounts. Password sharing heightens the risk of account compromise and weakens your online security.

Enable two-step verification on your accounts

Setting up two-step verification or 2SV (also known as multi-factor authentication or two-factor authentication) on an account makes it considerably more secure. It means that even if an attacker knows your password, they can’t access your account. It works by asking you to complete a second step when you sign in, usually by entering a code sent by SMS, email or via an app. Authentication apps such as Google Authenticator or Microsoft Authenticator are designed just for this purpose, and are more secure and convenient than SMS.

For some accounts, you can choose to only use 2SV when signing in from a new device or changing your password. This means you don’t have to enter a code every time you use a service.

Where should I set up 2SV?

You should set up 2SV on all personal accounts that could be considered a high-value target for an attacker, such as your email, messaging apps like WhatsApp, and social media. If 2SV isn’t available on an account, make sure it has a strong and unique password or consider changing to a service that offers 2SV.

The NCSC has separate guidance to help you set up 2SV.

Receiving 2SV requests

If you receive a 2SV request that asks if you are trying to access your account but you are not trying to log in, do not grant permission. It's possible that an attacker knows your password and is trying to access your account. In this instance, 2SV is doing its job, but you should change your password. If you use the same password on other accounts, you should change it for them too.

Never share an access code with others, even if prompted, as this can give attackers control of your account.

Review your social media use and settings

Consider how much personal information you are sharing on social media. Attackers may use the information you post to engineer a spear-phishing attack and attempt to gain access to your account and data.

You should also consider maintaining separate professional and personal social media accounts.

You can review the privacy settings for each account to decide what is most appropriate for you. The major platforms provide instructions on how to manage your privacy settings. You can find links to these instructions in the NCSC guidance on using social media safely, alongside additional information on managing your digital footprint and spotting fake accounts.

Be aware that attackers may pose as other people on social media platforms, even if you appear to have mutual contacts. They may seek to cause you reputational damage, by sending you malicious links to click to gain access to sensitive information. It’s possible that over the next few years, attackers may also make increasing use of voice clones or ‘deep fakes’ to trick users to reveal sensitive information.

The UK National Protective Security Authority has guidance about false profiles that helps you spot them on social media and professional networking sites.

For any public social media accounts that you use in a professional context, consider using a social media management service. This means that colleagues or employees will be able to create posts for you without you sharing your passwords. You should avoid using the same password for the management service as any of your social media accounts connected to it. You can read the NCSC guidance on protecting what you publish for further information.

Review your use of messaging apps

Messaging apps such as WhatsApp, Messenger and Signal are now an important part of how we communicate in everyday life. It's important to use them securely and pay special attention when connecting with people professionally.

If you use a messaging app for personal use on a personal device, you should consider the following:

use disappearing messages that automatically delete after a set period – by turning this on you will limit what a successful attacker could access if they do manage to get in
consider the recipient – are they who they say they are, and who else is in the chat group?
avoid accepting message requests from unknown accounts – consider calling first to verify who they are

As with all apps, you should make sure that the latest security updates are installed and set up two-step verification (2SV) for when you log in.

Protecting your devices

As with your accounts, attackers may also try to compromise your devices – computers, phones or tablets – to achieve their aims. If they manage to access them, they can steal sensitive or personal information, carry out monitoring, or even impersonate you.

There are several things you can do to secure your devices.

Install updates

Installing security updates promptly is one of the most important things you can do to protect yourself from a cyber attack.

Out-of-date software, apps and operating systems often contain security vulnerabilities, and vendors regularly release updates to fix them. So if you receive a prompt to update your device or apps, you should do it, as it will prevent attackers taking advantage of these security flaws.

Most apps offer an auto-update option, meaning that updates will automatically download when they are available (or when you next connect to wifi), and install at the earliest time suitable for you, or the next time the device restarts. You should make sure this option is enabled on your device. You can read the NCSC guidance on software and app updates to help you enable automatic updates for popular devices and services.

You should only download software and apps from official stores, like Google Play or Apple App Store. They scan software for viruses before making it available, giving you more reassurance that what you’re downloading is safe

Use 'Lockdown Mode'

For additional security, you should consider enabling Lockdown Mode for your Apple devices. Lockdown Mode has been designed for individuals who might be targeted by sophisticated threat actors. On Windows devices, you have the option to enable ‘S mode’ which only allows applications from the Microsoft Store to be downloaded and installed. This prevents malicious programs running on your device.

Replace old devices

As older devices are replaced by newer models, vendors stop releasing security updates, making them more vulnerable to attack. You should avoid using devices that are no longer supported and upgrade your device if support is ending soon.

You can check to see if you device is still supported with the Which? phone support checker tool.

Protect physical access

You should protect your devices with a password or pin that must be entered when the device is powered on or restarted. This will help prevent someone who has managed to get physical access to your device accessing the information on it.

To unlock from standby, you can also use a password, PIN or a biometric, such as a fingerprint or facial recognition. Use whichever method you find convenient.

Avoid plugging your devices into public USB charging points, and instead use a traditional power plug.

Most devices come with a feature that allows you to track the location of a device and remotely wipe it if it's lost or stolen. On an iPhone, make sure Find My is turned on, and for Android devices, enable Find My Device.

Know how to erase data from devices

Our devices often contain sensitive work, personal and financial data, which can still be recovered even if the files have been deleted. So it's important to know how to erase the data if a device is lost or stolen, or you permanently give it to someone else to use. The NCSC has guidance to help you securely erase data on your devices.

What to do if you think you've been attacked

If you receive a suspicious email, do not click on any links, or reply to the email, until you're certain the sender is genuine. The NCSC has guidance on how to spot and deal with phishing emails.

If you receive a suspicious email you should report it to your organisation’s IT support team, who will be able to offer advice, even if has been sent to a personal account.

If you have clicked on a link, or think you’ve been hacked, don’t panic, even if you think you have made a mistake. If something goes wrong on a device or account that your organisation has provided, report it to IT support. The security team shouldn’t blame you for reporting that something has happened to you, as it helps them fix things, and try to stop it happening again, to you or anyone else.

Topics

https://www.ncsc.gov.uk/section/advice-guidance/all-topics?topics=Device

https://www.ncsc.gov.uk/section/advice-guidance/all-topics?topics=Personal%20data

https://www.ncsc.gov.uk/section/advice-guidance/all-topics?topics=Social%20media

https://www.ncsc.gov.uk/section/information-for/individuals-families

Individuals & families

What is cyber security?

Cyber security is the means by which individuals and organisations reduce the risk of being affected by cyber crime.

Cyber security's core function is to protect the devices we all use (smartphones, laptops, tablets and computers), and the services we access online - both at home and work - from theft or damage. It's also about preventing unauthorised access to the vast amounts of personal information we store on these devices, and online.

Cyber security is important because smartphones, computers and the internet are now such a fundamental part of modern life, that it's difficult to imagine how we'd function without them. From online banking and shopping, to email and social media, it's more important than ever to take steps that can prevent cyber criminals getting hold of our accounts, data, and devices.

Cyber Aware and staying secure online

From banking to shopping, and streaming to social media, people are spending more time than ever online. Cyber Aware is the government's advice on how to stay secure online.

https://www.ncsc.gov.uk/cyberaware

Protecting your data and devices

https://www.ncsc.gov.uk/guidance/data-breaches

How to protect yourself from the impact of data breaches

https://www.ncsc.gov.uk/guidance/buying-selling-second-hand-devices

How to erase the personal data from your phone, tablets, and other devices

https://www.ncsc.gov.uk/guidance/smart-security-cameras-using-them-safely-in-your-home

How to protect 'smart' security cameras and baby monitors from cyber attack.

https://www.ncsc.gov.uk/guidance/securing-your-devices

How to ensure your devices are as secure as possible.

https://www.ncsc.gov.uk/guidance/video-conferencing-services-using-them-securely

How to set up and use video conferencing services, such as Zoom and Skype, safely and securely

https://www.ncsc.gov.uk/information/5g-explainer

A summary of what 5G is, how it will affect the UK and how the NCSC is helping to secure it.

https://www.ncsc.gov.uk/guidance/online-gaming-for-families-and-individuals

How to enjoy online gaming securely by following just a few tips

https://www.ncsc.gov.uk/guidance/shopping-online-securely

How to shop safely online.

https://www.ncsc.gov.uk/guidance/what-is-an-antivirus-product

Detect and prevent malicious software and viruses on your computer or laptop.

https://www.ncsc.gov.uk/guidance/social-media-how-to-use-it-safely

Use privacy settings across social media platforms to manage your digital footprint.

https://www.ncsc.gov.uk/guidance/sextortion-scams-how-to-protect-yourself

Advice in response to the increase in sextortion scams

https://www.ncsc.gov.uk/guidance/smart-devices-in-the-home

Many everyday items are now connected to the internet: we explain how to use them safely.

https://www.ncsc.gov.uk/guidance/using-tls-to-protect-data

Using TLS to protect data

Recommended profiles to securely configure TLS for the most common versions and scenarios, with additional guidance for managing older versions.

Allmänt · ‽IT · ∴ · interrobangit · Svenn Dybvik · § · §IT

Dela · Kommentera

1 2 3 4 5 6 7 8

interrobangit

Gå till gästboken

Svenn Dybvik presentation ▼

Svenn Dybvik

Visa presentation

Svenn Dybvik

Lenkebenker

KONTAKT

reservoar residuum

2025
2024
- December (1)
- November (1)
- Oktober (1)
- September (1)
- Augusti (1)
- Juli (1)
- Juni (1)
- Maj (1)
- April (1)
- Mars (1)
- Februari (1)
- Januari (1)
2023
2022
- Juni (1)
- Maj (1)
- April (1)
- Mars (1)
- Februari (1)
- Januari (1)
2021
- December (1)
- November (1)
- Oktober (1)
- September (1)
- Augusti (1)
- Juli (1)
- Juni (1)
- Maj (1)
- April (1)
- Mars (1)
- Februari (1)
- Januari (1)
2020
- December (1)
- November (1)
- Oktober (2)
- September (1)
- Augusti (1)
- Juli (1)
- Juni (1)
- Maj (1)
- April (1)
- Mars (1)
- Februari (1)
- Januari (1)

Personvernutfordringer

Mer presis posisjonering og sårbarhet

1. Mer presis posisjonering av individer

2. Sårbarheter i infrastruktur

3. Hvem er behandlingsansvarlig?

Om behandligsansvar

5G aksellererer bruk av tingenes internett

Ansvarspulverisering

Tap av kontroll hos bruker

Sikkerhetsutfordringer i tingenes internett

Anbefalinger for å få til godt personvern med 5G

Anbefalinger til myndigheter og nettleverandører

Anbefalinger til aktører som leverer tjenester over 5G

Anbefaling til sluttbrukere av tjenester i 5G-nettet

Hva er 5G (og 6G)?

Kilder

Teknologien i 5G

Småcellenettverk

Massiv MIMO (multiple input multiple output)

Stråleforming og strålestyring

Skivedeling

Multi-access Edge Computing

Hva er 6G?

5G og personvern

Innledning

Innhold

Oppsummering

Lik risiko for nedgraderingsangrep

Internet of Things (IoT)

Større angrepsflate

Fundamentalt ny infrastruktur

"Single point of failure"?

Ukryptert landskode og nettverkskode

Ny rapport slår alarm om bølgjer av dataangrep

I Noreg aukar talet på svindelsaker – IT-ekspert meiner vi har mykje å lære av svenskane

Flere angrep mot forsvarssektoren

Disse metodene bruker svindlerne

Årets tema: Sosial manipulering

Verdi- og skadevurdering

Vurdering av tjenester og apper i kategorien sosiale medier

Om apper og digital sikkerhet generelt

Noen vesentlige faktorer i vurderingen av apper

Om meldingsapper

Instruks og opplæring for ansatte

Mobile enheter og tjenestemobiler

Fem effektive tiltak mot dataangrep

NATO

Emerging and disruptive technologies

"The strategic context"

Artificial intelligence and human-autonomy teaming in military operations

Conceptualise Foreign Information Manipulation

Informasjonsintegrasjon for et moderne forsvar

Totalberedskapskommisjonen

NOU 2023:17

Rustet for en usikker fremtid

"resilience of critical infrastructure"

AI and cyber security: what you need to know

On this page

Phishing attacks: defending your organisation

On this page

Vulnerability management

Using containerisation

Securing your devices

ENISA Threat Landscape 2023

Warfare and Geopolitics are Fuelling Denial-of-Service Attacks

Checking-up on Health: Ransomware Accounts for 54% of Cybersecurity Threats

References

What is personal data?

How does ENISA process personal data?

Further information:

Pseudonymisation techniques and best practices

Data Pseudonymisation: Advanced Techniques and Use Cases

Engineering Personal Data Sharing

Securing Personal Data in the Wake of AI

The National Cyber Security Centre

Introduction

Who is this guidance for?

This collection contains

Guidance for high-risk individuals

Guidance for high-risk individuals on protecting your accounts and devices