Riksrevisjonen frykter flere dataangrep: – Har funnet betydelige mangler

Riksrevisjonen har flere ganger kommet med krass kritikk av IT-sikkerheten i statlige institusjoner som politiet og Oljedirektoratet. Nå frykter riksrevisor Per-Kristian Foss at for dårlig sikkerhet i norsk offentlighet vil føre til flere dataangrep.

Offentliggjøring av Dokument 3:2 om Riksrevisjonens kontroll med forvaltningen av statlige selskaper 2017.

STERKT KRITISK: Riksrevisjonen og riksrevisor Per-Kristian Foss har tidligere påpekt flere mangler ved IT-sikkerheten i statlige etater.

Foto: Vidar Ruud / NTB scanpix

– Ja, det er det grunn til å frykte. Vi vet at dette er ganske utbredt, de norske systemene er ikke spesielt gode, og det tar tid å rette opp feil. Det gis ikke tilstrekkelig politisk oppmerksomhet og dermed budsjettmessig dekning for å sikre seg mot angrep, sier Per-Kristian Foss.

– Vi vet at det skjer angrep mot norske selskaper som offentligheten ikke blir kjent med, så dette er mer utbredt enn det pressen kan rapportere om, forteller han.

Riksrevisjonen har i flere rapporter påpekt at samfunnskritiske institusjoner i det norske samfunnet har for dårlig datasikkerhet, selv om revisjonen ikke gransker selve Stortinget.

I sin siste rapport om forsvar, sikkerhet og beredskap i 2019 retter revisjonen hard kritikk mot datasikkerheten i både politiet, Utenriksdepartementet og Oljedirektoratet.

Stortinget

Epost-kontoen til flere stortingsrepresentanter er blitt hacket.

Foto: Håkon Mosvold Larsen / NTB sc

«Sterkt kritikkverdige»

Politiets datasikkerhet får gjennomgå i rapporten. Revisjonen omtaler blant annet forholdene som «sterkt kritikkverdige».

«Politiet har ikke sikret sine sentrale IKT-systemer tilstrekkelig mot etterretning og angrep. De er et attraktivt mål for datakriminalitet, noe som kan ramme politiets operative evne og føre til at sensitiv informasjon om enkeltmennesker kommer på avveie», skriver revisjonen.

Etaten har jobbet for å bedre IT-sikkerheten, men fremdeles er det mangler, påpekes det i rapporten.

Riksrevisjonen feller også en hard dom over datasikkerheten i Oljedirektoratet.

I rapporten fremhever blant annet revisjonen at IKT-systemene hadde svakheter som uvedkommende kunne utnytte i forbindelse med dataangrep.

Utenriksdepartementet får også kritikk for dårlig datasikkerhet.

– Mangelen på IKT-sikkerhet i statlige institusjoner, og til dels samfunnskritiske institusjoner, har vært en gjenganger i Riksrevisjonens rapporter i flere år, sier Foss.

– Vi undersøker jo ikke alt, men der vi har undersøkt, har vi funnet betydelige mangler, forteller han.

Teknologijournalist i NRK, Martin Gundersen, sier e-poster som har blitt lekket blant annet har blitt brukt i den amerikanske valgkampen tidligere.

– Mangler politisk backing

Tirsdag ble det kjent at Stortinget har vært utsatt for et omfattende IT-angrep.

IT-angrepet på Stortinget er nå anmeldt til PST, som undersøker om en statlig aktør kan stå bak.

– Det er mulig det ikke bare er et digitalt angrep, men at det kan være en del av en etterretningsoperasjon mot Norge, sier seniorrådgiver Annett Aamodt i PST til NRK.

Også 10.000 ansatte i sju kommuner i Innlandet er blitt utsatt for et alvorlig e-postangrep.

Per-Kristian Foss kan ikke uttale seg om IT-sikkerheten på Stortinget, men er sterkt kritisk til den politiske viljen til å prioritere databeredskap.

– Det mest alvorlige er at det tar år før dette rettes opp. Stortinget gir vanligvis full tilslutning til våre undersøkelser, men det går år og dag før departementene retter opp, påpeker han.

– Det som ofte mangler, er politisk backing fra den aktuelle statsråd til å gi dette prioritet.

Teknologidirektør i konsulentselskapet Bouvet, Simen Sommerfeldt, har tidligere bistått et politisk parti med IT-sikkerhet. Den gang jobbet han også opp mot Stortingets datasystemer.

– Etter det jeg erfarer fra den gang, så er Stortinget veldig gode på IT-sikkerhet. De har to-faktor-autentisering som standard. Jeg var ganske imponert over hvor god sikkerhet de hadde, mener Sommerfeldt.

NRK forklarer

Hvorfor er e-post så interessant for hackere?

E-post på mange måter nøkkelen til vårt digitale liv. Der finner man ofte samtaler som går flere år tilbake i tid og sensitive dokumenter.

 

Ved å få tilgang til en e-postkonto, kan man også få tilgang til andre tjenester på nett. Man kan oppgi på en nettside at man har glemt passordet. Da kommer det en lenke til e-postkontoen, og man får tilgang til nettstedet. 

Hvordan får hackere tilgang til noens e-post?

Det er ganske vanlig at folk bruker det samme passordet flere steder. Enkle passord kan en hacker gjette seg til. Mange har også passord på avveie fra tidligere datainnbrudd, noe hackere flittig bruker i nye angrep.

Er vanlige folks e-post utsatt?

De siste årene har det blitt stadig mer populært å angripe bedrifter og organisasjoner med såkalte løsepengevirus. Slike virus stenger alle datamaskiner de får tilgang til. Mange av disse angrepene starter med en tilsynelatende uskyldig epost sendt til en eller flere ansatte i bedriften.

 

Det er også vanlig at kriminelle angriper private e-postkontoer til personer med en viktig rolle i et selskap. Disse hackerne har gjerne finansielle motiver for angrepet.

Når private kontoer blir angrepet, er det fordi eieren på en eller annen måte er interessant for angriperen. 

Hvordan kan jeg sikre meg mot å bli hacket?

Det viktigste du kan gjøre er å få deg tofaktor på e-postkontoen du har på jobb og privat. Med tofaktor får du en unik og midlertidig kode på sms eller i en app. Det gjør det mye vanskeligere for en angriper – nå må de vite både passordet ditt og den unike koden for å bryte seg inn.

 

Eksperter anbefaler også at man skaffer seg en såkalt passord manager. Det er et program som lagrer alle passordene dine på ett sted. Slik kan du ha forskjellige passord på alle nettsider, samtidig som du bare trenger å huske ett passord.  

Les også: Sikkerhetsrådgiver imponert over Stortingets IT-sikkerhet

AKTUELT NÅ

SISTE NYTT

Siste meldinger