Vil redusere sårbarheten for hackerangrep
Sist oppdatert: 15.06.2021
I dag slo vi av ekstern bruk av Microsoft ActiveSync for Oslo kommunes epostservere, en stor milepæl for IT-sikkerheten i kommunen
Av: Sindre Haugan
Hva er ActiveSync, og hvorfor er det så viktig at vi slår det av? Jeg tok en prat med Nelson Cheuque som jobber med IT-sikkerhet i Utviklings- og kompetanseetaten.
KAN DU KORT FORTELLE HVA ACTIVESYNC ER?
– Kort fortalt er det en eldre metode for å synkronisere e-post, kalender og lignende til mobilen din.
HVA VIL DET SI FOR OSS ANSATTE AT VI SLÅR DET AV?
– De fleste vil merke lite forskjell. Kanskje du må logge av og på, og med jevne mellomrom må du identifisere deg med brukernavn, passord og et ekstra sikkerhetsledd (f.eks. SMS-kode). Man blir vant til det, og det gir bedre IT-sikkerhet for alle.
HVORFOR BØR VI IKKE BRUKE ACTIVESYNC?
– I lys av det det digitale trusselbildet er anbefalingen fra både Nasjonal sikkerhetsmyndighet og Microsoft å slå av ActiveSync. Fjorårets hackerangrep på Stortinget utnyttet sårbarheten i denne protokollen. Så fort noen får tilgang til brukernavn og passordet ditt kan angriperen hente ut data, nullstille passord eller utgi seg for å være deg.
Nelson Cheuque er sikkerhetsansvarlig i UKE
HVORDAN SIKRER VI OSS BEDRE?
– Det viktigste grepet er et ekstra lag med sikkerhet i form av multifaktorautentisering (MFA). Her bruker du ett eller flere ekstra ledd for å identifisere deg, i tillegg til personlige passord. For eksempel en SMS-kode tilsendt til mobilen. Dette skjer automatisk, og er ikke noe ansatte må tenke på.
ER IKKE KUN PASSORD GODT NOK LENGRE?
– Problemet er svake passord, og at vi gjenbruker passord på tvers av gmail, snapchat og jobben. I gjennomsnitt har vi rundt hundre passord lagret rundt omkring på jobb og i privaten. Vi mennesker liker mønster, derfor lager vi ofte passord som er enkle å gjette. Gjenbruk er også vanlig, og vi tenker vel ofte; “Hvem vil vel hacke meg, jeg er jo ikke noe viktig?”
HVA KAN JEG SOM ANSATT GJØRE FOR Å REDUSERE RISIKOEN?
– Start med å sikre den private e-postadressen din. Den er gjerne knyttet til det meste av ditt digitale liv. For eksempel hvis du bruker Gmail har du mulighet til å sette opp multifaktorautentisering som tilsvarer det vi har på jobben. Det bør du sette opp. E-postkontoen din brukes mest sannsynlig til Facebook eller lagring av bilder. Mister du kontroll over e-posten, kan det være en universalnøkkel for angriperne.
VI HAR HØRT EN DEL OM CYBERANGREP I BÅDE INN- OG UTLAND DET SISTE, HAR TRUSSELBILDET ENDRET SEG?
Ja, motstanderne våre har blitt veldig flinke i jobben sin. I tillegg er de mer hensynsløse enn noen gang. Angrepet på Østre Toten kommune er et veldig godt eksempel på hvor galt det kan gå. Etter cyberangrepet måtte Østre Toten bruke flere måneder på å komme seg tilbake på beina. Angriperne ønsket penger og var villig til å fjerne alt av data og reserveløsninger for å tjene de pengene.
HVA MENER DU MED AT ANGRIPERNE ER MER PROFESJONELLE OG HENSYNSLØSE ENN FØR?
– Det er lett å dra paralleller til utviklingen av mafiavirksomhet som vi kjenner fra film og tv. Tonen er hardere enn tidligere, de er villig til å la angrep gå utover liv og helse ved å eksempelvis ramme de sentrale systemene til sykehus. Vi snakker ikke et par karer som angriper alene fra gutterommet. Angrepene er nøye koordinerte samarbeid mellom ulike kartell.
KAN DU SI LITT MER OM HVORDAN UKE JOBBER FOR Å STYRKE IT-SIKKERHETEN I KOMMUNEN?
– Vårt arbeid på IT-sikkerhetsområdet følger samme vurderingene du gjør som privatperson. Man stiller seg spørsmålet; “Hva er det mest dyrebare og uerstattelige vi ikke kan miste kontrollen på?” Som privatperson er det kanskje kontaktlister eller barnebilder, og i kommunen kan det være informasjon som kan skade samfunnet eller enkeltpersoner dersom det havner i feil hender. Jobben vår er å identifisere dette og iverksette tiltak for å redusere sikkerhetsrisikoen.
TAKK FOR PRATEN, NELSON. HAR DU NOEN AVSLUTTENDE ORD TIL ANSATTE I OSLO KOMMUNE?
– Spør om hjelp og tenk deg godt om. Hvis noe høres ut for godt til å være sant, så er det som regel det.