Det første jeg tenker på når noen sier at et valg har blitt “hacket”, er at noen har lykkes å manipulere datamaskiner som brukes til å avgi, eller telle stemmer. At en fremmed makt, pengesterke industrier eller et av partiene i en valgkamp, kan de fleste se for seg. Til tross for flere påstander om at slike ting har skjedd, har svært få tilfeller, om noen, blitt bekreftet fra seriøst hold.
Når vi i dag snakker om at valg blir hacket, er de helt andre ting man refererer til. I det amerikanske presidentvalget i 2016, lakk det ut data fra kretsen rundt Hillary Clinton. I det franske presidentvalget for noen dager siden, skjedde det som nå har fått sin egen hashtag MacronLeaks. Tusenvis av e-poster med vedlegg som dokumenter og bilder, ble hentet ut i en hackerkampanje rettet mot personer i Macrons stab. Flere fikk både sine offisielle og private e-postkontoer hacket. Det dreier seg om drøyt 9GB med data som nå deles via ulike fildelingsplattformer. Det spekuleres nå rundt hvem som sto bak og hva man ville oppnå. Marcons rådgivere er skråsikre på at uansett hvem det er som står bak, ønsket de å skade demokratiet. At de som står bak hacking ønsket å skade Macron og partiet “En Marche!” er nok mer sannsynlig. Hverken Macron, “En Marche!” eller det franske demokratiet, har sett ut til å ta nevneverdig skade av lekkasjen. Det virker derimot stadig klarere at politikere bør tenke seg om både en og to ganger, før de sender saker og ting i digitale kanaler. Så hva kan man oppnå ved å hacke en haug med e-postkontoer i en valgkamp? Hva ønsker man å finne? Svaret er enkelt; man leter etter informasjon. Informasjon er makt og et hack kan avdekke informasjon man kan bruke til å påvirke velgere. Det kan dreie seg om avtaler gjort bak lukkede dører, personlige affærer som hindrer en i å utøve et politisk verv, snusk, grums, dumheter og så videre. Å bli utsatt for et hack er så klart en ubehagelig opplevelse. Man regner kommunikasjonen som trygg og man uttrykker seg kanskje annerledes innad i en gruppe, enn man gjør i full offentlighet. Et hack kan også brukes som verktøy for å vise noens sårbarhet, eller svekke deres troverdighet. Hvis de ikke klarer å passe på e-postene sine, hvordan kan de styre et land? Politisk drittkasting er absolutt ikke noe nytt fenomen, man har bare bedre verktøy få finne møkka og spre den. Det finnes så klart ting du kan gjøre for å sikre den nettrelaterte kommunikasjonen din, likevel velger vi ofte det lettvinte foran det sikre. Her følger 5 råd til vår politikere foran det forestående stortingsvalget:
0 Comments
Den siste tiden har NRK og andre medieaktører avslørt store mangler i sikkerhetstenkning rundt drifting og lagring av data. Det synes som om både offentlige og private aktører lever i en rosa lykkeboble av uvitenhet rundt hva som kreves for å holde viktige og sensitive data trygge.
Å flytte data fra norske datasentre til datasentre hos utenlandske aktører er problematisk av flere grunner. Lagring av sensitive data reguleres av lover og regler. Det offentlige bør gå foran som et godt eksempel, snarere enn å være verst i klassen. Personvern bør bety mye for offentlige aktører. De siste dagene har mediene vært preget av en særdeles stygg sak. Helse Sør-Øst har inngått en avtale HPE om lagring og drifting av pasientdata. 2,8 millioner mennesker er berørt. Drøyt 100 utenlandske IT-arbeidere har i kortere og lengre perioder hatt tilgang til pasientdata. Teknologidirektør Thomas Bagley i Helse Sør-Øst benektet at dette var tilfelle. NRK sitter derimot på overveldende bevis for at dette er tilfelle og det er mye som skurrer i Helse Sør-Østs håndtering av saken. NSM (Nasjonal Sikkerhetsmyndighet) har uttrykt at det ikke er mulig å sikkerhetsklarerer personer fra landene som skal være involvert på vegne av HPE. Det dreier seg om land som Bulgaria, Malaysia og India. Bare her burde varselklokkene ringe for direktørene i helseforetaket. For en som meg, som jobber med sikkerhet, er det nesten umulig å forstå hvordan beslutningstakere i Helse Sør-Øst kan ha trodd at de hadde kontroll på denne situasjonen. Drifting av store mengder data er ofte ekstremt komplekse operasjoner. Loggene som NRK har fått ta del i, viser at mer enn 100 arbeidere har hatt nærmest ubegrenset tilgang til dataene det er snakk om. Administratorrettigheter gis ikke for å begrense en bruker, tvert om. Å tro at man har full oversikt over hva en gruppe mennesker med denne typen rettigheter foretar seg, er en ren utopi. Er det mangel på kunnskap eller ren arroganse som får ledelsen til å hevde de har kontroll? Fra et bransjeperspektiv representerer denne utflaggingen flere problemer. For det første, skulle man tro at det offentlige har behov for at vi opprettholder en viss standard på infrastruktur innen samfunnskritiske oppgaver. Helse må vel i høyeste grad anses for å være en av dem. Flagger vi ut, mister vi viktig kunnskap, kompetanse og ikke minst arbeidsplasser. For det andre sender det et uheldig signal til et fagfelt som utvikler seg raskere enn noe annet. Er det bare pris som gjelder? Hva med å være “selvforsynt” med gode stabile tjenester som holder en høy kvalitet og er i samsvar med lover og regler. Burde ikke det prioriteres? Jeg skjønner at Helse Sør-Østs egne IT-eksperter er sinte, frustrerte og skremte. Jeg fatter hvorfor de snakker med mediene og viser fram de overtrampene som har blitt begått. Jeg er ganske sikker på at HPE-kontrakten har vært oppe til diskusjon og at mange kloke hoder har påpekt farer og utfordringer uten å bli hørt. Det er respektløst både mot de som prøver å gjøre jobben sin, men også mot 2,8 millioner pasienter som ikke har fått sin rett til personvern ivaretatt. Vi snakker ofte om digital dømmekraft og digital kompetanse. I dette tilfellet har ledelsen i Helse Sør-Øst bevist at de ikke er i besittelse av noen av delene. Les mer om saken her (link til NRK) I desember skjer det som ikke skal skje. En 14 år gammel gutt og en tobarnsmor som lufter hunden sin blir begge drept. Gjerningsmannen viser seg å være en 15 år gammel gutt. Motivet er uklart men tragedien er et faktum like fullt. 3 familiers liv vil aldri bli de samme igjen. Mediene kappes om å komme med så mange opplysninger som mulig. Når gjerningsmannen er i varetekt, begynner det en kynisk og hard konkurranse om å komme med mest mulig informasjon om saken og gjerningsmannen. At den sistnevnte i dette tilfellet er 15 år, spiller liten rolle.
At mediene skal opplyse også om de vanskelige nyhetene levnes det liten tvil om. Men de drar det langt, veldig langt. De vet noe du foreløpig ikke vet, de kjenner identiteten til gjerningsmannen og de er komplett sprekkferdige av trang til å informere og opplyse. Personkarakteristikker listes opp sammen med fritidsinteresser, skole, tilknytninger til idrett, menighet og foreningsliv. De kunne egentlig like gjerne trykket fullt navn og bilde, for opplysningene de legger ut er mer enn tilstrekkelige til at en hver figur med internett og google kan finne ut hvem gjerningsmannen er. På et forum får saken enormt med oppmerksomhet. På kort tid er det over 500 kommentarer i tråden om drapene. Det blir en klappjakt på forumet etter å finne gjerningsmannens fulle navn, adresse, telefonnummer og familie- og vennerelasjoner. Man sammenligner opplysningene fra mediene. Prøver og feiler. Det er mange der ute med mye ledig tid og relativt gode datakunnskaper og ganske snart er man sikker på at man har funnet gjerningsmannen. En gutt blir hengt ut med fullt navn og adresse, han ser jo til og med skyldig ut. En forumdeltaker peker på at fyren som er utpekt, faktisk har fylt 16 år, det kan jo ikke være han, de må lete videre. Etter knappe 400 poster har de funnet riktig mann. Listet opp fullt navn og adresse, saumfart åpne deler av profilene hans i sosiale medier. Funnet fram til familie og venner, har han søsken? Foreldrenes liv og levnad blir behørig brettet ut og det er ikke akkurat olympiske mestere i konsekvenstenkning som nå har fått blod på tann i fråtsefesten for informasjonsdeling. Det postes linker til fildelingsforum der man har begynt å samle informasjon på gjerningsmannen og alle rundt han. Bilder, skjermdumper, linker til private videoklipp og mye mer organiseres og gjøres tilgjengelig. I dagens samfunn vet vi at sosiale medier sprer informasjon raskt. Vi vet at informasjon kan deles i en viral hastighet og vi ser at det skjer hver dag. Joda, det er riktig at mediene ikke kan kontrollere det som skjer i sosiale medier, de kan derimot kontrollere seg selv og den mengden opplysninger de gir ut i slike saker. I dette tilfellet har mediene gått alt for langt med å beskrive hovedpersonen i en tragisk hendelse. Nett-troll og lurkers fores med opplysninger som skal opp, ut og fram. Det spiller ingen rolle om du er i familie med mistenkte, eller er en venn. Kanskje har du vært med i samme idrettslag eller gått på samme ungdomsklubb? Er du uheldig nok til å være på et bilde sammen med gjerningsmannen, kan du nå være en del av en uformell digital etterforskning, der moral og etikk ikke står høyt i kurs. Dette er den digitale gapestokken. Det er forståelig at mediene konkurrerer om klikk, likes og delinger akkurat som resten av samfunnet. Klikk og penger henger nøye sammen i våre dager. Det er derimot ikke greit at man er villig til å tøye strikken så langt som det har blitt gjort her. Mediene vet veldig godt hva slike personbeskrivelser fører til. De kjenner til forum, nett-troll og folks digitale vitebegjærlighet. De er ikke blinde for forum-detektivene som basert på medienes opplysninger, spekulasjoner og vill gjetning, mer enn gjerne utpeker drapsmenn offentlig. Sannsynligvis vet han fyren som først ble utpekt at han i en kort stund var fikk ta skylden for et dobbeltdrap. Men hva hadde skjedd hvis dette hadde gått viralt?
Hele tiden unngår man elefanten i rommet, at hacker, statlige eller ikke, har hatt full tilgang til dine e-poster i 3 år uten at Yahoo, eller du som bruker har visst noe. Nå er du kanskje av dem som bytter passord på alle kontoer 6 ganger i året, har en ryddig inn- og utboks og aldri oppgir personlig informasjon via e-post. Sannsynligheten for det er veldig liten. De aller fleste av oss bruker samme passord “overalt” og har dårlige rutiner for å slette sendte og mottatte e-poster. En del av jobben min er å ta tilbake kontrollen over kontoer som er hacket og om mulig rekonstruere innholdet i innboksen hvis det er slettet. Det er overraskende å se hvor mange som sender informasjon jeg klassifiserer som personlig eller sensitiv gjennom Yahoo, Gmail, hotmail og lignende tjenester. En ting er det du sender og mottar mellom deg og andre, en annen ting er hva du sender til deg selv og oppbevarer “trygt” i innboksen. Innboksen din er tro det eller ei, IKKE en digital safe
Ifølge Yahoo selv, mistenker de altså at det står en stat bak dette hackerangrepet. Vi kan bare spekulere på hvorfor de tror det, men at det kan ha med omfanget å gjøre er åpenbart. Samtidig som vi sitter her og banner DLD opp og ned og rauter høylytt om retten til personvern, blir det liksom stille i fjøset når tjenester vi selv har valgt å bruke, knekker sammen under tastetrykk fra kriminelle organisasjoner.
Så det er fint hvis du tenker deg om før du sender skolens reprimande av poden til deg selv på e-post, laster opp arbeidskontrakten din, eller lager deg ei liste over pin-kodene dine du lagrer i driven knytta til e-postkontoen din. Personvern er så godt som ikke-eksisterende på nett og da særlig ikke i gratistjenester, via gratis-app’er eller nettsamfunn. Det er ikke trygt, det har aldri vært trygt og det kommer neppe til å bli trygt med det første heller. De som tilbyr deg tjenester er ikke ansvarlige for noen tap du påføres være seg økonomiske, eller andre hvis uhellet først er ute og det er det. Du får kanskje bare ikke vite om det før sånn omtrent 3 år etter.
Politiet presiserer at dette er menn fra alle samfunnslag, noen høyt utdanna. I Politiets egne illustrasjoner listes det opp at det blant annet gjelder en økonom, en jurist, noen ingeniører og en førskolelærer. Mediene har også fortalt at en politimann figurerer i utkanten av nettverkene.
Det er en grotesk sak. Vi snakker om tilsynelatende sosialt fungerende mennesker som er en del av hemmelige nettverk der man diskuterer fantasier og utveksler tanker og erfaringer rundt overgrep mot barn. Omfanget og organiseringen gjør det om mulig enda mer kvalmende. 51 siktede er en begynnelse. For oss som jobber med datasikkerhet kommer ikke eksistensen av denne typen nettverk som en overraskelse.Tvert imot har flere advart mot nettopp denne typen kriminalitet og påpekt hvordan teknologi legger til rette for ukontrollerte boltreplasser for kriminelle. All teknologi kan bli misbrukt og det gjør den også i stor grad. Dette er langt ifra første gang det er fokus på det som skjer på deep web, eller dark web om du vil. I både pressekonferanse og diverse artikler gjøres det forsøk på å forklare hvordan dette er mulig. Begrepsforvirringen er stor og det kan være på sin plass å forklare hvordan dette er mulig.
Det sier seg selv at slikt ikke går kriminelle hus forbi. Teknologi som muliggjør anonym kommunikasjon er som en gavepakke å regne. Til tross for Politidistrikt Vests noe optimistiske vurdering av egenkompetanse, er det nok fortsatt slik at dersom man bruker dark web-verktøyene riktig, er sjansen for å bli oppdaget, svært liten. Det som var tenkt som et system for å bedre personvern og sikre ytringsfrihet blir i stor del benyttet i kriminell virksomhet. Det foregår menneskehandel, salg av narkotiske stoffer og våpen på markedsplasser i det mørke nettet. Andre steder får du kjøpt stjålne kredittkort, en ny identitet eller bestilt et leiemord. Europol har rettet fokus mot dette i flere år og det er bra å se at også norsk politi bruker tid og ressurser på dette. Personlig håper jeg at slike avsløringer fører til at voksne tar mer aktiv del i barns og unges digitale liv, for det er ikke å legge skjul på at mange overgripere initierer kontakt via nett der de utgir seg for å være andre barn, eller veldig trivelige voksne. |
AuthorLars Ludwig Sandell har bred erfaring fra internasjonalt arbeid innen IKT og medier. I 2010 ble Sandell kontrakert som ekspertrådgiver innen medier og interaktive medier for EACEA Archives
April 2020
Categories
All
|