De siste dagene har PST fokusert på truslene i «cyberdomenet». Media har fortalt oss om konkrete forsøk på å hacke sentrale norske aktører og virksomheter, herunder en rekke politikere, ved målrettet «spear phishing». Tvilsomme aktører forsøker å skaffe seg tilgang til beskyttelsesverdig informasjon ved å lure myndighetspersoner til å klikke på lenker og vedlegg i e-post.
Utfordringene er åpenbare, og flere peker på ulike måter å løse dette på. Mange lurer på hvem som burde ha ansvaret.
Men prøver vi å løse galt problem? Er løsningen enklere enn vi forestiller oss?
Vi bruker e-post feil
Vi er alle vanedyr, og foretrekker gjerne å gjøre det vi alltid har gjort. På 70-tallet var folk i harnisk fordi myndighetene ville at folk skulle bruke bilbelte. Nå er det utenkelig å sitte i en bil uten. Vi aksepterte endringen fordi den var lur, men det var tungt i starten.
På 1800-tallet var det heller dårlig med HMS-løsninger i norske fabrikker. Nå er det utenkelig for folk i industrien og på byggeplasser å gå på jobb uten hjelm og forsvarlig sikring mot for eksempel fall. Da disse rutinene ble innført, skrek folk opp fordi det gjorde jobben vanskeligere og dyrere. Men vi aksepterte endringene.
De siste 20 årene har vi vent oss til å bruke e-post som arbeidsverktøy. Vi er vant til å sende og motta kattebilder og kontraktsforslag som vedlegg. Det sitter i ryggmargen. Det gjør ting enkelt. Problemet er at e-post er direkte uegnet til dette, og vi bruker e-post feil.
Vi må slutte med vedlegg
Vår måte å bruke e-post på er en invitasjon til trøbbel. Det gjøres mye godt arbeid, men IT-avdelingene holder ikke følge med de slemme med e-post-filtre og brannmurer. Vi må komme oss videre. Vi må slutte å bruke e-posten vår som et dokumentlager. Vi må slutte med vedlegg. Spesielt hvis vi er myndighetspersoner.
Vi er ganske naive. Å forvente at vedlegg og lenker er snille er litt som å putte alt i munnen. Sånn som barn gjør. Og vi insisterer på at sånn må det være.
Det er ikke helt rimelig å pålegge IT-avdelingene ansvar for å sikre oss når vi insisterer på å ha det superenkelt. Slik virkeligheten er, må vi være villige til å endre arbeidsvanene våre. Det er ingen som ringer puben og klager hvis man våkner opp med vondt i hodet etter for mange øl. Det er heller ikke politikernes feil. Det er behagelig å droppe å fjerne snøen fra taket på hytta, men du kan ikke klage til kommunen når taket ramler sammen.
Vi bør bruke andre verktøy
IT-sikkerhet handler om mange ting, men dette er en viktig del. I våre dager finnes det mange andre og bedre måter å dele informasjon på. Vi må utfordre aktører som Difi og andre til å skaffe oss sikre, nasjonale systemer som gjør at vi kan vokse fra den gammeldagse uvanen med vedlegg i e-post. Vi trenger gode nasjonale skytjenester uansett. I mellomtiden må vi lære oss når vi kan klikke og når vi ikke kan klikke. Ellers vil vi få trøbbel. Mye trøbbel.
Norge er innimellom tidlig ute med vanskelige endringer. Vi var blant de første som forbød røyking på serveringssteder. Vi stenger nå FM-nettet. Det er naivt å tro at vedlegg i e-post vil forsvinne, men en vakker dag kan vi kanskje gi beskjed til resten av verden at norsk forvaltning fjerner vedlegg og skrur av lenker i e-post.
«Men hva med akkurat nå?», er det naturlige spørsmålet. Hva med den trusselen vi har akkurat nå?
De slemme der ute er flinke til å skreddersy farlige e-poster, og det er faktisk ikke så lett å gjennomskue dem. Våre myndighetspersoner har det litt vanskelig for tida. Og vi må faktisk motta e-post-vedlegg fra andre en stund til. Så hva gjør vi på kort sikt?
Vi må endre måten vi jobber på
Jo. Vi må endre måten vi jobber på. Vi må si til mange sentrale personer i offentligheten at de ikke lenger kan bruke e-post på samme måte som oss andre. De må ta på sikkerhetsbeltet. Det vil oppleves litt mer tungvint, men sånn er det.
Det er på en måte ganske enkelt. Offentlig forvaltning og viktige norske virksomheter endrer litt på e-postsystemene sine. Viktige myndighetspersoner mottar ikke lenger vedlegg og lenker direkte i e-post-programmet. Alle vedlegg og lenker håndteres av egne sandkasse-systemer som sjekker om de er farlige før man får lov til å åpne dem. Man må altså vente litt før man kan klikke på Word-dokumentet eller PDF-en man venter på. Systemene finnes allerede. Man kan starte nå. Myndighetspersonene må si til sine IT-folk at «vi er villige til å jobbe annerledes». Dette vil ikke fjerne alle truslene, men veldig mange av dem.
Mange sier IT- og informasjonssikkerhet er fokusområder. Hva betyr det?
Disse endringene vil altså være litt tungvinte. Er vi villige til dette, eller er umiddelbar tilgang til kattebildene og invitasjonene til julebordet for viktige for oss? Jeg tror det er verdt det. Alternativet er langt verre. Vi må være litt voksne nå.
Kronikkforfatteren er senioringeniør ved IT-direktørens stab, Universitetet i Oslo, men skriver som privatperson. Kronikkforfatter har ingen tilknytninger til produsenter eller produkter.«»
Følg debatten: @NRKYtring på Twitter og NRK Debatt på Facebook
