Tag: sikkerhet

Overgrep på nettet

Posted by SondreB – 09.03.2010

Pass på barnaHver eneste dag skjer det overgrep på nettet. Overgrepene utføres av mennesker over og under myndig alder – og mot mennesker av alle alder.

Dette er i dag blitt et betraktelig samfunnsproblem, ett som kommer til å øke dramatisk fremover. Hva kan man som ett individ og foresatt for andre foreta seg for å unngå overgrep og misbruk?

For lenge, har mange vist for liten skepsis til nettet, dette er en veldig naturlig holdning pga den psykolgiske effekten en datamaskin har på oss mennesker. Vi er naturlig tiltroende mot datamaskinen, vi er mer åpne i diskusjoner og dialoger på avstand. Avstand som kan være både fysisk- og mental (dårlig bruk av ord, fant ikke noe bedre) avstand.

Vi er flinke på noen områder…

Som foreldre og foresatte er det viktig at man følger opp nettbruken til dem man er verge for. Akkurat som man ville vernet om menneskene ellers ute i verden.

Det er to viktige trender som har vokst frem, trender som nødvendigvis ikke har fått nok oppmerksomhet. Først skal jeg forsøke å illustrere problemstillingen.

Vi lærer våre barn at dem ikke skal akseptere godterier fra ukjente, at dem ikke skal gå inn i bilen til fremmede, at dem skal passe seg for “skumle” mennesker. Barn er smarte, ofte mer enn vi tilegner dem. Men de er også veldig nyskjerrige og får fort tillitt til andre mennesker. På nettet blir barn på noen måter eldre enn de normalt er ute i verden, og på andre områder blir de yngre og mer utsatte.

Når barn ikke er gamle nok til å være alene, da følger vi dem i lekeparker og holder et godt øye med barna. Vi påser at de ikke faller og slår seg i lekeapparatene og man er påpasselig med andre voksne i nærheten. Det er en fysisk nærhet til hva som skjer.

Mennesker med onde hensikter er overalt

Når man går nedover en handlegate i en norsk storby, er sjansene relativt store for at man passerer straffedømte og enda flere som har utført kriminelle handlinger som aldri har blitt oppdaget og dømt. Klarer du å skille dem ut i folkemengden?

Akkurat som det er mennesker med negative hensikter i det virkelige liv, er det også en stor mengde av disse på nettet. Det er også slik at kriminelle har en lavere terskel for kriminelle handlinger på nettet, via verkstøy som datamaskinen, på lik linje med hvordan vi har en lavere terskel for å ha tillitt til andre på nettet.

Vær mer kritisk til nettet

Jeg nevnte tidligere en trend som har visst seg å bli et problem, det er at Internett og datamaskinen har på flere områder bytter rollen som barnepasser fra TVen. TV er et trygt medium, alt som vises på TV er kontrollert og styrt. TVen har mistet noe av sin rolle etter Internett kom til, et mer interaktivt medium hvor vi selv kan bestemme hvilket innhold vi vil konsumere. I dag bruker ca. 25% av 5-6 åringer datamaskiner og Internett.

På nettet kan alt skje, og etterhvert flytter alt til nettet. Det er mange år siden den fysiske bankfilialen ble nedlagt og nettbank er i allemannsbruk for lenge siden. Selvangivelsen leveres automatisk i disse dager, med mulighet for å endre på nettet. Skattelistene er på nettet, med full åpenhet om inntekt og skattebetaling for alle norske borgere. Vi ser filmer på nettet, morsomme videoklipp som vi får tilsendt på sosiale nettverk. Vi legger ut feriebilder, kommuniserer med gamle og nye venner. Det er lite som skjer i dag uten at nettet er innvolvert, både i jobb og private sammenhenger.

Dette gir grunn til bekymring og at man skal være varsom som foreldre og foresatte ovenfor dem man er verge for. Informasjonen og kommunikasjonen som kommer ned fra nettet er ufiltrert og usensurert.

Aldersgrense på nettet?

Noen vil før eller senere fremme et ønske om aldersgrense for bruk av nettet. Det er selvsagt fullstendig urimelig. Skal man kreve at foresatte følger barn frem til dem er 18 år på vei til skolen? Aldersgrense er ingen løsning, man må øke bevisshet for hvor farlig og skadelig nettet kan være.

Følg opp nettbruken

Barn bør aldri overlates fullstendig alene til nettet. Akkurat like lite som man lar et barn gå fullstendig alene rundt i Oslo-sentrum på kveldstid, skal man heller aldri la barn operere fullstendig alene på datamaskinen og nettet.

Som ansvarlig ovenfor et barn, bør man alltid sjekke opp hvem barna kommuniserer med over nettet. En rask telefonsamtale eller andre mekanismer kan brukes for å verifisere identiteten til noen. Det finnes millioner av interessante mennesker på nettet, hvis noen viser seg å være tvilsomme, bør man blokkere dem og ignorere videre kommunikasjon.

Selv voksne mennesker kan bli utsatt for svindel, overgrep og andre kriminelle handlinger i forbindelse med nettet og fysisk kontakt med (u)kjente mennesker. Nylig ble Ashleigh Hall på 17 år voldtatt, kvalt og dumpet av en tidligere sexdømt person på 33-år. Hun trodde hun skulle møte en gjevnaldret og kjekk gutt, som hun ble kjent med på Facebook. Dette er bare ett av mange triste og tragiske eksempler på hvor viktig det er å være forsiktig med bruk av nettet.

Nyttige nettmøter (“meetups”)

Jeg treffer ofte nye mennesker på nettet, som jeg igjen møter i det “virkelige liv” gjennom såkalte meetups. Dette er åpne arrangement som vanligvis er annonsert på f.eks. meetup.com, facebook eller lignende nettverk. Dette er ypperlige muligheter for å utvide sitt personlige nettverk og møte interessante mennesker for utveksling av ideer og meninger.

Hvis man får kontakt med noen over nettet, kan det være tryggere å møte på et arrangement hvor det er flere andre og likesinnede som deler interesser og hobbyer. Man bør være skeptisk til å møte enkeltpersoner helt alene etter man treffer noen på nettet. Når man tenker tilbake på travle handlegater i norske byer, ville du vært villig til å velge ut én enkelt person og avtale å møte denne personen på tomannshånd? Er det en risiko du er villig til å ta, eller la dine barn ta?

Alltid bruk sunn fornuft, tenk over risiko og følg med på barnas nettbruk. Følg opp de menneskene barna kommuniserer med, verifiser at dem faktisk er hvem de gir seg ut for å være.

(Foto av el_clinto)

Lagre lite, lagre kort

Posted by SondreB – 24.10.2009

Datacenter
Dagens samfunn er nesten fullstendig digitalisert. Hvis vi fikk problemer med datamaskinene og Internett ville det fått dramatiske konsekvenser for oss alle. Mange av oss har for lenge siden sluttet å bære med oss kontanter, vi drar frem plastkortene fra lommene og ser aldri noe til fysiske penger. Man kan nesten begynne å tenke over hvor lenge det er til butikker begynner å ta ekstra betalt, en slags “kontant-skatt”, for de som ønsker å betale med kontanter fremfor lettvinte digitale løsninger. Hva skal man gjøre når man står der uten kontanter og datasystemet har kræsjet?

Utviklingen innen datalagringskapasitet har gjort det mulig å lagre utrolige mengder med informasjon, selv i mange, mange år, uten større kostnader. Mange bedrifter ser på informasjonen som en av sine viktigste verdier. Hundrevis av norske bedrifter og nettjenester har kunderegister på mange hundre tusen kunder, noen av disse lagrer all informasjonen på kritikkverdig måte, som kontroller av Datatilsynet har avdekket. Mange av bedriftene har ikke gode nok rutiner for behandling av sensitive personopplysninger og informasjon er ofte tilgjengelig uten tilgangsrestriksjoner. Selv informasjon som kontonummer, kortnummer og personlige passord lagres i klartekst i store databaser hos enkelte bedrifter.

Det er lett å forstå motviljen hos mange til å faktisk etablere rutiner for rensking og sletting av gammel informasjon fra ulike dataregistre. Store databaser over kunder kan brukes til så mangt. Enkelte beholder kopier av inaktive kunder i opptil flere år, enkelte har faktisk aldri slettet en kunde. Dette er meget problematisk og direkte brudd på bestemmelser i personopplysningsforskriften § 28 som stiller krav om at det ikke skal lagres personopplysninger lengre enn det som er nødvendig.

Personopplysningsloven og Personopplysningsforskriften er vårt lovverk som skal beskytte vårt personvern. Loven og forskriften brytes daglig i mange bedrifter, om det er av ignoranse for loven og forbrukerenes rettigheter eller noe annet vet jeg ikke. Konsekvenser av lekkasjer fra bedrifter som håndterer sensitive personopplysninger kan være katastrofale for de menneskene de angår. Det kan kanskje virke som det er av mindre konsekvens for bedriftene, når de viser slik tilsynelatende lite respekter for lovverket. Det er også slik at strafferammen for brudd på loven er som følger: § 10-3. Straff Den som forsettlig eller grovt uaktsomt unnlater å følge reglene i kapitlene … straffes med bøter eller fengsel inntil ett år eller begge deler.

Tidligere i høst kunne vi lese om hvordan Sørlandets sykehus lekket sensitiv pasientinformasjon på nettet, dette kan være et brudd på både personalhelsetjeneste- og spesialisthelsetjenesteloven. Vi får håpe at dette får reaksjoner på mange områder, reaksjoner som kan få andre helseforetak, samt privat og offentlig sektor til å endre sin praksis og forbedre sine rutiner for behandling av personopplysninger.

Stadig oftere kan vi lese om mennesker som har blitt utsatt for ID-tyveri (identitetkrenkelse), med den lette tilgjengelighet av personopplysninger på nettet er det vanskelig for folk flest å beskytte seg mot slikt. Det ble i mai utarbeidet forslag til endringer på straffeloven 1902 som tidligere har vært spisset mot misbruk av pass og identifikasjonspapirer, men det største problemet i dag er misbruk av identiteter for økonomisk vinnings-kriminalitet over nettet. Det ble foreslått en strafferamme på identitetskrenkelse til bot eller fengsel inntil to år.

Lekkasjer av personopplysninger vil forekomme, også i fremtiden med enda mer avanserte datasystemer. Det er ikke mulig å sikre seg fullstendig fra lekkasjer, men det er fullt mulig å redusere konsekvensene ved lekkasjer. Lovverket har forskrifter som beskriver hvilke retningslinjer som er gjeldende for behandling og lagring av personopplysninger, disse eksisterer av en god grunn og bør alltid følges.

Lagre lite, lagre kort – det er en grunnregel som alle burde følge, også vi som forbrukere. Hvis man har behov for å registrere seg hos en bedrift, som kun har digitale produkter og tjenester, da burde det i de aller fleste tilfellene være fullstendig unødvendig å opplyse om postadresse og bosted. Hvis en kunde har sluttet å handle hos deg, da bør du slette opplysningene innen en rimelig tid. Kanskje det kunne vært en idé å sende ut en epost til gamle kunder og opplyse at deres konto vil bli slettet innen en måned hvis de ikke foretar seg noe?

Det ville vært en befrielse om man kunne stole på at lovverket for personvern ble fulgt. Det er desverre ikke slik, det kan virke som det mer er unntaket, enn regelen, at lovverket blir fulgt. Direkte skremmende kan det være når man returnere til en nettbutikk man ikke har brukt på flere år og man oppdager at de fortsatt har lagret ordre og bestillinger du gjorde for mange år siden. Bankene lagrer opplysninger om vår nettbank- og kortbruk i veldig lang tid, dette er opplysninger som kan misbrukes av veldig mange om den ble tilgjengelig. Transaksjoner på kredittkort har i andre land blitt utnyttet til å gjøre kredittvurderinger og rangering av kunder, dette er ikke lovlig i Norge, men hvordan det praktisk kan stoppes er vanskelig å vite uten innsyn i datasystemene.

Selvsagt er det mye nyttige opplysninger og verdier man kan få av analyser på store dataregistre, som inneholder informasjon om bruksmønster, som f.eks. hva man handler. Personalisert handel er en av de metodene som benyttes for å få oss til å handle mer, markedsføring og reklame som er rettet direkte mot oss som identifiserbare individer. Det eksisterer informasjon i mange databaser som kan brukes til stor samfunnsverdi, men problemet er ofte at informasjonen er lagret uten godkjenning. Opplysninger er også ofte personidentifiserende, noe som gjør dem til personopplysninger som er dekket av lovverket og har behov for personvern.

Det kan og bør etableres rutiner og dataløsninger som vasker data og sensurerer opplysninger som ikke kreves for behandlingen og gjennomføringen av bestemte prosesser. F.eks. kan det være veldig interessant å beholde data på kreftundersøkelser av nordmenn, men disse opplysningene må vaskes slik at enkelte individer ikke lengre kan identifiseres. Burde være slik at man kan forvente at alle opplysninger koblet mot oss som individer ble slettet innenfor rimelig tid når man avslutter sitt kundeforhold, man bør kunne være sikker på at personopplysninger om oss ikke ligger lagret på store datasentere rundt omkring i verden.

Husk på grunnregelen, lagre lite, lagre kort. Ikke krev at kunden skal opplyse flere detaljer enn det som kreves for å gjennomføre formålet og etabler rutiner for å slette eller vaske data etter de forskriftene som er gjeldende. Dette er grunnleggende prinsipper for personvern som alle borgere i et fritt demokrati skal få nyte.

(Foto av NeoSpire og lisensiert under Creative Commons)

Passord

Posted by SondreB – 18.10.2009

Keys

Ønsker i dag og bruke noen minutter på å fortelle litt om passord, forklare en analogi til det virkelige livet og hvordan håndteringen av dine passord skjer i praksis i dagens IT-systemer.

Dine passord er dine nøkler

Du kan se på dine passord som dine nøkler. Nøklene bruker du for å låse deg inn og ut av ulike ting, f.eks. boligen din. Bilen, sykkelen, kisten, toalettet, soverommet, m.m.. Nøklene bruker vi for å bevise vår identitet ovenfor det som er låst. Har vi ikke riktig nøkkel, får vi ikke tilgang.

Det er ofte slik at vi ikke har unike nøkler for alle dørene, når man bor i et borretslag kan det hende at den samme nøkkelen åpner bakgården, kjelleren og inngangsdøren. Nøkler man bruker inne i huset for å låse og åpne dørene inne i bygningen er ofte helt like. Skulle vi brukt unike nøkler for alt som skal låses, ville det fort bli mye arbeid å holde styr og bære med seg alle nøklene. Noen ganger ville du faktisk måtte prøve flere nøkler, før du fant den riktige.

Nøkler kommer i mange former, fra digitale smart kort, kort med magnetstripe, nøkler til boligen, brannøkler, sikringsnøkler, hengelåsnøkler, skapnøkler, osv.

Datasystemer er våre dører

Tenk på alle dørene, boksene og hindringene som må låses opp for datasystemene du bruker idag. Operativsystemet på PCen krever sitt passord, et annet passord for å lese e-post. Vi har passord for å prate med våre venner på Facebook. Passord for Twitter og på lynmeldingsprogrammer (Google Talk, Yahoo Messenger, Live Messenger). Vi må finne frem nøklene våre på hver og en av disse systemene for å bevise vår identitet. Noen tjenester har begynt å ta i bruk sertifikater for pålogging og genererte PIN koder, som f.eks. nettbankene. Dette gir oss økt sikkerhet og kan sammenlignes med smartkort. Veldig få mennesker klarer å benytte ulike passord for alle påloggingene som kreves.

Døren er dum, dataen er smart

Dører har i veldig lang tid vært dumme, hverken er de vennlige eller serviceinnstilte. De gir ingen instruksjoner. Selv om dører i dag begynner å bli smartere og sikrere, er det fortsatt slik at veldig mange dører fortsatt er stokk dumme og kommer aldri til å forstå din frustrasjon når den ikke vil låses opp. Døren vet aldri hvem som har forsøkt å åpne døren eller hvilke nøkler som ble forsøkt.

Datamaskinen derimot, den har vært smart fra første stund. Den vet alt som skjer og den kan lagre, behandle og kommunisere informasjon på tvers av fysiske lokasjoner. Datamaskinen vet alltid hvem som har forsøkt å åpne døren (mer eller mindre) og den vet nøyaktig hvilke nøkler som ble forsøkt med. Når du fyller ut passordet på PCen din er ofte passordet skjult slik at andre ikke kan se på skjermen din samtidig, men man skal huske på at datamaskinen alltid ser hva du skriver inn.

Hvem kan man stole på?

Når man forstår at datamaskinen lett kan lese passordene vi bruker, er det vanskelig å forstå hvordan noe kan være sikkert. Hvordan kan man vite hvem man skal stole på? En generell regel man kan huske er at operativ systemet i de aller fleste tilfellene er ganske trygt, frem til man får spionprogramvare eller andre virus o.l.. Når man beveger seg ut på nettet blir det mye mer vanskelig å vite hvem man kan stole på, selv de store aktørene gjør feil. Tjenester som MySpace.com (sosialt nettverk) og Doffin.no (offentlig innkjøp) og Netthandelen.no (nettbutikk) behandler våre nøkler på en kritikkverdig måte. Noen bruker ikke SSL-sertifikat på nettsiden som sikrer kommunikasjonen fra PC til server og de lagrer passordene i klartekst. Passord som de også sender usikret ut til kunder på e-post. Datatilsynet har avdekket kritikkverdige lagringsforhold hos QXL og Netthandelen. Det er viktig at vi som forbrukere får et mer bevisst forhold til hvordan våre sensitive personopplysninger blir lagret og behandlet.

Nøkkelknippe for dine passord

Akkurat som vi har nøkkelknippe for våre nøkler, finnes det også programvare som gjør sammen jobben. Et slikt program er KeePass Password Safe. Dette programmet vil gjøre det enklere for deg å bruke forskjellige passord på flere datasystemer på en sikrer måte. Her kan du lagre alle kontoene du benytter deg av og lagre database filen med alle passordene på en sikker plass, f.eks. en USB minnepenn. Du kan låse databasen med et globalt passord, slik at du kun trenger å huske ett passord.

KeePass

KeePass vil automatisk generere sterke passord for deg, men det er beklageligvis slik at mange websider har restriksjoner på hvor kraftige passord man får lov til å bruke. MySpace har en begrensning på maks 10 tegn og den populære Finn.no har en begrensning på 4 til 12 tegn. De burde virkelig ikke tillatte så lite som 4 tegn og definitivt burde de støtte mye sterkere passord.

Phising

Phising er et dataangrep der man blir utsatt for en falsk webside som ser ut som den ekte. Det som skjer er at noen har kopiert websiden og lurt deg inn på en side, f.eks. med en link fra Twitter, Messenger eller e-post. Nyere nettlesere har fått bedre beskyttelse mot phising angrep, men de skjer fortsatt.

Når man blir utsatt for et phising angrep kan det fort være tilfellet at man forsøker alle nøklene man tidligere har brukt. Som forklart, vil dem som står bak angrepet og websiden få en kopi av alle nøklene du forsøker å bruke. Konsekvensen og mulighetene for misbruk av disse nøklene er enorme.

Hvis man benytter seg av et verktøy som beskrevet ovenfor, vil du unngå at du prøver alle passord variantene du vanligvis bruker og heller benytter deg av auto genererte og sterk passord.

Beskytt deg selv med fornuftig behandling av dine personlige nøkler. Du ville vel ikke lagt nøklene dine fritt tilgjengelig for andre å kopiere og misbruke? Da bør du heller ikke risikere at noen stjeler dine tilganger, kontoer og personlige informasjon og data. Hvis du oppdager et nettsted som sender passord i klartekst på e-post, rapporter det på PasswordFail.com.

(Foto av Bohman og lisensiert under Creative Commons)