På konferansen ble problemstillingen «det gjelder ikke meg» tatt opp flere ganger. Det handler om at alle tror cybersikkerhet for samfunnskritisk infrastruktur er en stor trussel, men ingen tror de selv kommer til å bli hacket.
Argumentet for dette er at man ofte regner med at det bare er de rikeste og største som er målskiver for hackere. Dette argumentet er dessverre ikke sant, da hackere kan nå ut til tusenvis av mål samtidig og målene kan være helt tilfeldige.
Alle kan bli angrepet
Roar Thon, fagdirektør sikkerhetskultur hos NSM, mener at alle vil bli hacket før eller senere. Spørsmålet er ikke om, men heller når. Digitalisering har ført til at fysiske og geografiske områder er utjevnet. Det kan foregå fra hvor som helst og fra hvem som helst.
Målene kan også være helt tilfeldige, hvilket vil si at alle kan bli utsatt på et tidspunkt. Derfor er forebyggende tiltak, øvelse av rutiner ved hendelser og ikke minst testing, spesielt viktig.
Hans aller viktigste budskap var imidlertid å få hver og en av oss til å forstå viktigheten av å gjøre de enkle tiltakene, som totrinnsverifisering ,å bytte passord ofte og ha ulike passord. Fortsatt er det mangel av de enkleste grepene som utgjør de største mulighetene for cyberangrep.
Gode sikkerhetsrutiner på Jæren
Det er flere måter å sikre hvordan man forebygger og håndterer en hendelse. I vårt intervju med datasikkerhetsekspert Margrete Raaum fra Kraftcert kom vi inn på en av angrepsmetodene som er kalt phishing.
Phishingangrep går ut på at man blir kontaktet via epost eller melding – gjerne fra et kjent selskap eller person, med en lenke til innlogging på uekte nettside som ser kjent ut. Målet blir lurt til å «logge inn» med passord og brukernavn slik at hackeren tilgang til målets data.
Hos Jæren Everk har de sammen med Nettalliansen gjort flere tiltak for å sikre rutinene og forebygge mot slike phishingangrep. Liv Margot Sviland, leder for HMS og kvalitet hos Jæren Everk, tar IKT-sikkerhet på alvor og gjennomfører årlig opplæring for alle ansatte.
Sender ut falske e-poster
- Vi tester de ansatte noen ganger i året ved å sende ut «fake» eposter med en internettlenke. En epost som for eksempel ligner en epost fra meg selv, med en liknende signatur, men er skrevet med en ordlyd som er forskjellig fra slik jeg ville ordlagt meg, sa Liv Margot Sviland.
Jæren Everk har hatt god erfaring med slike tester og har opplevd at de ansatte stadig blir flinkere til å sile ut de uekte epostene fra de ekte.
- Vi prøver å gjøre det vanskeligere hvert år, men ser at de ansatte stadig blir bedre til å ikke gå på limpinnen. Den letteste måten de kan identifisere om det er uekte epost er å undersøke om selve epostadressen til avsender stemmer.