Informasjonssikkert hjemmekontor

Av Nikolai Kobets Freund

Mens koronavirus-situasjonen (coronavirus/COVID-19) pågår utnytter kriminelle og nettsvindlere vår frykt og behov for informasjon. Da er det viktig å være ekstra nøye med hva vi klikker på. Vær kritisk til:

• Mistenkelige vedlegg
• Uvanlige nettadresser
• Dårlig språk i e-post
• Gratis-apper

Ved mistanke om nettsvindel eller sikkerhetsbrudd, må du melde fra til CSIRT: csirt@oslo.kommune.no. Det bes om at mistenkelige e-poster vedlegges og ikke videresendes, fordi den opprinnelige meldingen inneholder digitale spor. Det er også viktig å huske på at e-post er ikke en sikker kanal for deling av personopplysninger.

CSIRT, Computer Security Incident Responce Team følger opp sårbarheter og hendelser på felles IKT-plattform. Alle ansatte kan ta kontakt med CSIRT ved spørsmål eller bekymring om sikkerhet.

Følg gruppen Oslo/Informasjonssikkerhet og IKT for gode råd og informasjon om IKT-sikkerhet, og lær mer om hvordan vi sikrer god informasjonssikkerhet i UKE.

Smil! Oda (t.v.) og Anja oppfordrer deg til å holde kontakt med kolleger.

– Sikkerheten er ikke redusert.

Internkontrollør Anja Birkeland er rask til å berolige oss.

– Det er fremdeles sjekk av maskinsertifikat, så den midlertidige løsningen uten bekreftelseskode ved oppkobling via VPN anses ikke som en vesentlig risikoendring. Det er imidlertid viktig at vi ikke lagrer data lokalt på PC-en, i tilfelle den blir stjålet. Og vi må fortsatt ikke sende skjermingsverdig informasjon på e-post eller chat, det være seg bedriftsinterne dokumenter, personopplysninger eller andre ting vi ønsker å beskytte.

Med størsteparten av de ansatte på hjemmekontor trenger vi digitale verktøy for å holde kontakt, men Anja oppfordrer alle til å være varsomme med hva vi tar i bruk.

– Hold kontakten på systemer som er godkjent av Oslo kommune, som Workplace eller Skype for Business og ikke la deg friste til å laste ned tvilsomme gratis-apper for videokonferanse på telefonen. Prinsippet om å låse maskina før du går fra den gjelder også hjemme når det er flere personer der, særlig dersom du for eksempel jobber i HR- og økonomisystemet med tilgang til personopplysninger.

Mitt beste tips er å følge med på informasjonen fra Oslo/Informasjonssikkerhet og IKT på Workplace.

Ingen risikoendring
I forbindelse med økningen av bruk av hjemmekontor ble det gjort endringer på fjernarbeidsløsningen som gjør at man kan koble til Oslo kommunes nettverk på samme måte som på kontoret, altså uten å oppgi engangskode. Dette gjelder bare tykke klienter, altså vanlige PC-er, som har et digitalt sertifikat som kontrolleres før du slipper inn, og før maskinen kommuniserer med omverden.
 

Er det noen som kan høre deg? André passer på.

– Sikkerhetsnivået knyttet til fjernarbeidsløsningen er ikke nevneverdig redusert.

Sikkerhetsansvarlig André Nordbø er samstemt med internkontrollør Anja.

– Det viktigste å tenke på i disse tider med hjemmekontor er eksponeringen mot dem man bor sammen med. Når du skal ha møter, bør du gå til et stille rom der du ikke blir overhørt. Dersom dette ikke er praktisk mulig bør du informere de andre i samtalen om hvem som kan overhøre samtalen. Vær også ekstra nøye med å låse enheten når den forlates. For de som benytter privat utstyr via fjernarbeid (fa-klient.oslo.kommune.no) anbefaler vi på det sterkeste at du kun kobler opp fra utstyr som kun du benytter. Dette for å minimere risiko for at uvedkommende får tilgang til informasjon du har tilgang til, og sjekk at enheten du benytter er oppdatert med de siste sikkerhetsoppdateringene. Qualys BrowserCheck er et effektivt sted å sjekke dette, forteller André.
 

Windows-knappen + L. Conni låser PC-en, også i stua.

Conni Nielsen, fungerende seksjonsleder i information management, informasjonssikkerhet og analyse har en klar oppfordring: Lås enhetene dine.

– Det viktigste å passe på er hvem som har tilgang til din PC og telefon. Lås, når du ikke er tilstede. Jobber man med personopplysninger eller kritisk informasjon om UKE, så må man være ekstra varsom. Jeg anbefaler også på det sterkeste at du ikke klikker på lenker du ikke vet hva er. Det er mange som vil utnytte denne situasjonen og forsøke å svindle oss. Vær oppmerksom på om det skjer noe unormalt med arbeidsstasjonen og/eller systemet du arbeider med, og meld fra om det, sier Connie.
 

Rent og pent. Vegard desinfiserer utstyr.

1.linje IKT-ansvarlig Vegard Rasch-Fjeld mener også at det viktigste er å passe på tilgangen og minner om at PC-en er personlig.

– Datamaskinen er kun beregnet for bruk av deg som er ansatt i UKE og skal ikke benyttes av andre personer. Dette kan ikke presiseres sterkt nok, nå som du ikke lenger trenger å logge inn via VPN for å få tilgang.

Vegard er også tydelig på et annet punkt som kan være lett å glemme – desinfiser utstyret ditt!

– En sikkerhet mange glemmer i disse dager med smitte er bakterier som setter seg på utstyr, spesielt mobiltelefoner. Disse bør tørkes over med Antibac-servietter hver dag.

Antibac-servietter finnes i rekvisitarommet i 5. etasje, og så lenge beholdningen varer.
 

Ikke stress. Nelson Cheuque holder roen.

Sikkerhetsansvarlig Nelson Cheuque kommer avslutningsvis med et sunt råd som mange bør ta med seg. Han mener nemlig at det viktigste vanlige brukere kan gjøre i forhold til IT-sikkerhet og personvern nå, er å roe ned.

– Når vi er stresset, så gjør vi feil. Det beste du kan gjøre nå er å ta et skritt tilbake, puste dypt og så tenke over det som må gjøres. Og spørre oss i CSIRT eller Informasjonssikkerhet når du lurer på noe, sier Nelson.

– Jeg har tillit til mine kollegaer og jeg tror om de får tid til å tenke seg om så vil de gjøre det rette.
 

Her finner du flere gode råd for hvordan du kan tilrettelegge for hjemmekontor.