Slik unngår du å bli hacket i utlandet

Fiskeriminister Per Sandberg har blitt kraftig kritisert for å ha tatt jobbtelefonen med til Iran. Her er sikkerhetsekspertens syv gode råd for bruk av mobil og datamaskin på reise.

Per Sandberg i Iran

Fiskeriminister Per Sandberg har fått kritikk både fra en tidligere etterretningssjef i PST og eget parti for å ha tatt mobiltelefonen med på ferie til Iran, samt å ikke ha varslet om reisen på forhånd. Det er stikk i strid med PSTs råd om å la jobbmobil og datamaskin bli hjemme på reise til Iran, Russland og Kina.

Foto: Per Sandberg/Privat

– VPN og kryptering er blant begrepene som særlig forretningsreisende nå bør lære seg betydningen av.

Marie Elisabeth Gaup Moe, SINTEF

Marie Moe, forskningsleder ved SINTEF.

Foto: Chris Guldberg/SINTEF

Det sier forskningsleder og ekspert på datasikkerhet, Marie Moe ved SINTEF, et av Europas største forskningsinstitutt.

Denne uken ble det kjent at fiskeriminister Per Sandbergs mobiltelefon nå tas hånd om av PST, etter en mye omtalt og kritisert ferietur til Iran. Per Sandberg tok også med jobbtelefonen til Kina og sier til DN at det også var feil.

Her er sikkerhetsekspertens syv gode råd om mobil og databruk på reise.

1. Vurder om jobbmobilen må bli hjemme:

Dette gjelder særlig om du skal på forretningsreise til Iran, Russland eller Kina. Dette er offisielle råd fra Politiets sikkerhetstjeneste (PST), og også i tråd med Nasjonal sikkerhetsmyndighets (NSM) råd til bedrifter i Norge. Dette gjelder særlig om du daglig benytter deg av en telefon som tilhører din arbeidsplass. Både SINTEF, IBM og de fleste store norske bedrifter følger i dag tilsvarende retningslinjer.

– PST anbefaler forsiktighet ved bruk av elektronisk utstyr i enkelte land, som for eksempel Iran, Russland og Kina. Her anbefaler jeg reisende om å følge rådene på UDs sider, og at man bør ta en prat med sikkerhetsansvarlig i virksomheten man jobber i for å gjøre en risikovurdering og tenke gjennom tiltak for å unngå risiko, sier Moe.

2. Pass godt på dingsene dine:

Allerede i sikkerhetskontrollen bør du holde øye med datadingsene dine. Dette er et yndet sted for å glemme både mobiltelefon og klokke, og kanskje til og med datamaskinen din, i alt stresset. Dette er også et sted hvor det er lett for andre å plukke opp tingene dine, så her må du passe litt ekstra på.

– Når du først har kommet til hotellet bør du unngå hotellsafen også, selv om den kan virke som et trygt sted å lagre datamaskinen. Begrepet «evil maid attack» finnes av en grunn, og beskriver hvordan uvedkommende overraskende enkelt kan få tilgang til hotellrommet og safen din, sier Moe.

Jonas Gahr Støre i profil, gulbrun bakgrunn

I februar 2017 ble Arbeiderpartiets stortingsgruppe utsatt for et fiendtlig hackerangrep. Angrepet ble av PST knyttet til fremmed etterretning.

Foto: Larsen, Håkon Mosvold / NTB scanpix

3. Logg av:

Hvis du går fra dingsene dine bør du ha logget av eller satt på skjermsparer først. For eksempel hvis du bare skal lade litt ved et bord i kafeen, mens du henter noe å drikke. Hvis du ikke har på tastelås eller skjermsparer er det lett for andre å få tilgang til innholdet og kanskje også sensitiv informasjon.

– Jeg har sett mange eksempler på at folk går fra datamaskinen sin, mens man er innlogget på bedriftens interne sider, uten å skru på skjermsparer. Da utsetter du både deg og bedriften for risiko, sier Moe.

4. VPN og kryptering:

Spesielt forretningsreisende bør venne seg til å bruke VPN til enhver tid, og aldri å surfe på åpne nett uten. VPN gir en ekstra beskyttelse mellom din informasjon og nettverket du er koblet opp mot. Hvis du også skal sende noe fra deg så bør du i tillegg kryptere meldingene dine, og særlig om det er et mobilnett du ikke stoler på. Det finnes en rekke apper som enkelt tilbyr kryptering. Hvis du bruker Facebooks messenger er det også her en funksjon for å skru på kryptering.

– Dette hindrer operatørene av nettverk eller andre myndigheter i å enkelt få tilgang til og kunne lese meldingene dine. Sender du sensitiv informasjon kan du enten kryptere hele e-posten eller meldingen eller bare vedleggene, sier Moe.

5. Ikke installer nye apper ukritisk:

På konferanser eller lignende kan man ofte bli bedt om å installere apper for å få tilgang til et program eller lignende. Det bør du være skeptisk til, sier sikkerhetseksperten. Det er også mulig å si nei til enkelte tilganger nye apper ber om. For eksempel kan mange apper fint fungere uten at de får tilgang til mikrofonen din og slik sett kan avlytte rommet. Det er ikke alltid en god grunn til at apper skal ha tilgang til alt.

– En mer avansert type angrep er der man kan få programvareoppdateringer som inneholder skadevare. Allerede i 2014 var det et målrettet angrep der en del luksushoteller ble utsatt for en type «man in the middle»-angrep. Hotellets gjester ble bedt om å registrere brukernavn og passord for å få tilgang til nettet. I neste omgang ble de bedt om å godta programvareoppdatering. Slik fikk angriperne tilgang til gjestenes maskiner, forteller Moe.

Morten Haga Lunde

Etterretningstjenestens sjef generalløytnant Morten Haga Lund la i mars frem sin årlige trusselvurdering. Der påpekes det at etterretning i det digitale rom er den mest alvorlige trusselen mot Norge.

Foto: Tore Meek / NTB scanpix

6. Bruk litt tid på tastelåsen:

Aktiver tastelåsen slik at den kjapt slår seg på. Tastelåsen bør ikke være en enkel pinkode eller et enkelt mønster. Mønster kan man ofte se fingermerker eller mønster etter på skjermen. Bruk heller et passord eller fingeravtrykk. Bruk også en skjermsparer med passord på datamaskinen.

7. Skru av:

WiFi og Bluetooth bør alltid slås av når du ikke bruker det. I tillegg bør hele datamaskinen eller nettbrettet slås helt av og puttes i veska når du går fra den. Du bør også «glemme» tidligere WiFi-nettverk når du ikke bruker dem. Mange har en lang liste med tidligere nettverk de har vært koblet til med telefonen. Hvis du da kommer i nærheten av nettverkene vil mobilen automatisk koble seg opp på.

– Dette kan også utnyttes av angripere til å lage et falskt nettverk som «ser ut som» om det du tidligere har vært koblet opp mot, sier Moe.

Til sist, for dem som har grunn til å være litt ekstra forsiktig, kan man også vurdere å sette mobilen i flymodus når man ikke bruker den. Det finnes også en type pose eller beholder man kan putte mobilen i slik at ingen signaler kommer inn eller ut. Både kryptering og VPN kan IT-avdelinga på jobben ofte hjelpe til med.

Næringslivets sikkerhetsråd har over flere år gjennomført «Mørketallsundersøkelsen» basert på at man tror det ofte ikke varsles om tap av utstyr eller andre trusler mot forretningers sikkerhet. I 2016 svarte over en fjerdedel av norske virksomheter – 412 av 1500 at de har opplevd uønskede sikkerhetshendelser det siste året.

– Så et godt råd til slutt er å si fra dersom du mister jobb-mobilen. IT-avdelingen har nemlig ofte mulighet til å gå inn og fjernslette innholdet, sier Moe.