De fleste av oss er ganske naive når det kommer til datasikkerhet. Mange tror ikke at hacking er noe som vil ramme dem selv, men når det kommer til hacking er faktisk alle et mål.

Alle bedrifter kan være et mål for angrep der økonomisk vinning er målet for angrepet. Særlig bedrifter som har innsyn i økonomiske forhold. En bedrift som gjør det bra, vil være mer utsatt enn en som gjør det dårligere. Slike angrep skjer oftere og oftere, og de blir bare mer og mer sofistikerte.

Hva er sosial hacking?

Sosial hacking er den aller vanligste metoden for hacking, og den metoden de fleste bedrifter vil bli utsatt for. Sosial hacking vil si at angriperne benytter seg av psykologi for å manipulere. En populær metode er å utgi seg for å være noen andre og operere innenfor et tillitsrom som er gitt for den personen angriperen utgir seg for å være.

Du har kanskje sett filmen Oceans Eleven? I denne filmen utgir de seg for å være andre for å få tilgang til kasinoet, eller for å unnslippe å bli tatt. De benytter seg da av en form for sosial hacking. Et annet eksempel på sosial hacking er hvis du slipper noen inn (uten å sjekke om han/hun faktisk er den han/hun utgir seg for å være) fordi de har med seg en stige inn i butikken og sier de skal bytte ei lyspære på sjefens kontor.

Sosial hacking er den letteste formen for hacking og alle kan utføre det. Et annet eksempel på sosial hacking er å ha en dialog med en person på en slik måte at man ikke legger merke til at man faktisk blir tappet for informasjon. Denne informasjonen er som regel lagt opp til et større angrep senere, slik at angriperen ikke blir mistenkt. Det er også meget vanskelig å spore angriperen opp igjen. Veldig få bedrifter følger opp dette og spillerommet for ondsinnede handlinger blir derfor enormt.

Lag gode passord som er vanskelige å gjette seg til

Når bedriften benytter seg av innloggingssystemer som krever passord, er det veldig viktig å tenke på hvilket passord man benytter seg av. Et passord er ikke et passord med mindre det faktisk er vanskelig å gjette seg frem til det. Enormt mange benytter seg av ord som finnes i ordboka når de lager passord – dette bør man unngå. Det finnes metoder for å gå gjennom ordboka og gjette seg til folks passord. Som oftest legger man gjerne en stor bokstav først i passordet og kanskje et tall til sist.

Nummer 1 på listen nedenfor (123456) er det passordet som blir brukt aller mest i verden. For en maskin tar det mindre enn ett sekund å knekke dette passordet. (nordpass, 2022)

Topp 10 passord i Norge:

# Passord Tid for å knekke
1 123456 Under 1 sek.
2 123456789 Under 1 sek.
3 12345 Under 1 sek.
4 12345678 Under 1 sek.
5 passord Under 1 sek.
6 1234 Under 1 sek.
7 password Under 1 sek.
8 1234567 Under 1 sek.
9 lol123 Under 1 sek.
10 abc123 Under 1 sek.

Om man har noen av disse passordene eller en variasjon av dem, bør man gjøre noe med det snarest.

Det er også veldig vanlig for folk å benytte seg av sine egne navn, navnet på noe(n) man verdsetter veldig høyt, sin egen fødselsdag (veldig utsatt ved sosial hacking!), og at samme passord blir brukt på mange steder. Dette bør man unngå!

Et godt passord skal være så vanskelig for deg selv å huske som overhodet mulig og det skal ikke finnes i noen ordbok. Man bør også unngå å bytte ut bokstaver med tall (f.eks. at man bytter ut bokstaven «E» med «3»), da dette er en gammel form for kryptering som ikke lenger holder mål.

I de fleste tilfeller vil det være nok at man bruker tilfeldige små og store bokstaver, tall og spesialtegn (!%#¤ etc.). På de fleste innloggingssteder vil man bli instruert i hva som er minimum antall tegn. Det er lurt å overgå minimumet med noen tegn, og hvis man er i tvil kan man benytte seg av en passordgenerator som vil følge retningslinjene automatisk.

Ta sikkerhetskopier

Sikkerhetskopier eller backup, er noe vi i Norge er veldig dårlige til å ta seriøst både på privaten og i jobbsammenheng. En typisk fallgruve er at vi enten ikke tar noen backup i det hele tatt, eller at vi kun tar én sikkerhetskopi – ikke flere.

Når man tar sikkerhetskopier, kan det sammenlignes med sikkerheten i bilen man kjører. Man er veldig sjeldent utsatt for ulykker, men man tar alltid høyde for at det kan skje når man minst venter det. Er det nok med kun airbag? Hva med setebelte? For å oversette dette til sikkerhetskopiering, så burde man ha to til tre kopier tilgjengelig til enhver tid. Noen sikkerhetskopier bør være mer utilgjengelige og bedre sikret enn man normalt ville ha behøvd som privatperson. Dette for å unngå at man mister sikkerhetskopiene i et eventuelt angrep.

Å ta sikkerhetskopier for en bedrift er noe litt annet. Den bør helst være sikker med tanke på hvem som har tilgang og hvordan de har tilgang. Du slipper å ta stilling til de fleste av disse problemstillingene, hvis du bruker en skytjeneste som lagringsplass. Da er det opp til passordet og eventuelt også to-faktor-autentiseringen, ettersom skytjenestene har industristandardiserte backup-systemer. I enkelte skytjenester kreves det også to-faktor-autentisering for alle brukere.

Trusselbilde 2022

Risikotrekant-2. Kilde: (PST, 2022)

Vi lever i en tid der store nasjoner og allianser/organisasjoner dytter på hverandre på flere felt. Bør man være bekymret for sikkerheten til ulike bedrifter? Egentlig bør man alltid være bekymret for sine data, men nå kan faktisk hele nasjoner stå bak angrepene – ikke bare noen få individer som f.eks. er ute etter lettjente penger.

Trusselbildet som enkelte bedrifter er utsatt for kan være betydelig større enn for andre. Hvis bedriften har noe unikt ved seg i sin produksjon, vil risikoen øke. I norsk sammenheng betyr det gjerne produksjonsmessig teknologi (robotisering og automasjon) som fører til økt effektivisering. Bedriftshemmeligheter av enhver natur vil bety en økning i risiko for angrep. Jo mer digitalisert en virksomhet er, jo flere sårbarheter har de, og dette kan angriperne benytte seg av.

Alle bedrifter bør foreta en risikovurdering og identifisere trusler, både internt og eksternt. Verdiene som virksomheten har ansvaret for å ivareta, kan bli påvirket i form av avhengigheter som ikke lenger er tilgjengelige (e-tjenester, leveranser, kundedata osv.). Ved å avdekke eventuelle trusler eller sårbarheter skal det iverksettes forebyggende og konsekvensreduserende tiltak. (PST, 2022)

Det spesielle med tiden fremover vil være bedrifter som innehar teknologi som kan anvendes til modernisering og opprustning for militæret, land som Russland, Kina, Iran og Pakistan representerer en særskilt utfordring via fordekte anskaffelsesforsøk. (pst, 2022)

Kina har f.eks. en særegen lov som tilsier at enhver borger eller virksomhet kan pålegges å samarbeide med kinesisk etterretning. (pst særegne utfordringer ved kinesisk etterretningsaktivitet, 2022) Dette betyr at aktører som har legitime hensikter kan beordres til å innhente informasjon. Det er da viktig å begrense avhengigheten til kinesisk teknologi. Et godt eksempel på dette var da Huawei ble brukt til å hente inn informasjon fra brukerne sine for kinesisk etterretning.

Bedrifter bør være ekstra oppmerksomme på enkelte produsenter:

Produsent Nasjonalitet Produkttype Markedsandel globalt (2021, Q1)
Huawei Kinesisk Mobil 4%
Xiaomi Kinesisk Mobil 14%
Realme Kinesisk Mobil 4%
Lenovo Kinesisk Bærbar PC 25% (statista.com, 2022)
Oppo Kinesisk Mobil 11%
OnePlus Kinesisk Mobil (Oppo inkluderer OnePlus siden Q3 2021)
Vivo Kinesisk Bærbar PC 10%

(countrerpointresearch, 2022)

Ovenfor ser du de største aktørene innen elektronikk fra Kina. Disse kan bli beordret til å sanke inn informasjon om brukeren. Jo større produsenten er, jo flere kan avlyttes osv.

Lenovo har flere ganger vært utsatt for spionvare på maskinene sine. Nylig ble det også avdekket et sikkerhetshull i mange bærbare modeller fra Lenovo. Dette ga angriperne tilgang til alle filene på maskinen og de kunne ta full kontroll over maskinen via maskinvareprogrammet. Det vil si at selv om man bytter ut lagringsenheten så vil den fremdeles være utsatt for angrep.

PST har observert en ny trend for angrepsmetode, der angriperne benytter seg av elektronikken som er knyttet til Internett til å skjule seg. De bruker for eksempel PC-er, rutere, smart TV-er, for så å gå videre i sine angrep mot målet sitt. Det er derfor veldig viktig å oppdatere programvare, ikke ha utdatert maskinvare – som for eksempel rutere (veldig viktig).

Kort oppsummert

Ikke la hvem som helst få tilgang til maskinen din, passordene dine eller annen informasjon. Bruk gode passord og prøv å unngå omstridte elektronikkmerker.

Kilder:

countrerpointresearch. (2022, 04 29). countrerpointresearch global markedsandel. Hentet fra https://www.counterpointresearch.com/global-smartphone-share/

nordpass. (2022, 04 25). nordpass.com. Hentet fra https://nordpass.com/most-common-passwords-list/

pst. (2022, 04 29). pst særegne utfordringer ved kinesisk etterretningsaktivitet. Hentet fra pst.no: https://www.pst.no/alle-artikler/trusselvurderinger/ntv-2022/statlig-etterretningsvirksomhet/#Nettverksoperasjoner%20vil%20fremdeles%20utgj%C3%B8re%20en%20alvorlig%20trussel%20mot%20Norge

pst. (2022, 04 28). pst.no statlig-etterretningsvirksomhet. Hentet fra pst.no: https://www.pst.no/alle-artikler/trusselvurderinger/ntv-2022/statlig-etterretningsvirksomhet/

PST. (2022, 04 28). pst.no trusselvurdering. Hentet fra pst.no: https://www.pst.no/alle-artikler/trusselvurderinger/ntv-2022/

statista.com. (2022, 04 29). statista.com lenovo markedsandel laptop. Hentet fra statista.com: https://www.statista.com/statistics/255306/global-pc-market-share-held-by-lenovo-since-the-1st-quarter-2009/