Falske basestasjoner - Hvordan redusere risiko

Publisert: 16.12.2014

De siste dagers fokus på falske basestasjoner i Oslo har gitt oss en tydelig påminnelse om at mobilnettene ikke er så sikre som man kan ha trodd. Hva er egentlig en falsk basestasjon, og hvordan kan du som virksomhet eller bruker beskytte informasjonen din?

Hva er en falsk basestasjon?

En falsk basestasjon, i media ofte kalt en «IMSI-catcher», er nettopp det ordet tilsier: Den er falsk, men utgir seg for å være legitim. Den fungerer som et mellomledd mellom mobiltelefonen og den legitime basestasjonen til nettleverandøren, og kommer dermed i en posisjon hvor den kan identifisere brukere som kontakter den. Med ytterligere utstyr og hjelpemidler kan man så fange opp kommunikasjonen fra mobilen, og potensielt lytte på samtaler, lese tekstmeldinger og se noe av datatrafikken som går mellom mobiltelefonen og den legitime basestasjonen.

Hvordan kan vi beskytte oss mot falske basestasjoner?

Det er en rekke tiltak som kan settes i verk for å sikre at informasjon fra mobiltelefoner ikke kommer på avveie. Først og fremst bør det kanskje presiseres at det det er forbudt å kommunisere sikkerhetsgradert informasjon over mobilnettet, eller andre åpne nett. Dette er regulert i sikkerhetsloven.

Allikevel er det de færreste mobilbrukerne i Norge som forholder seg til sikkerhetsloven. Dermed må man ta i bruk andre tiltak for å beskytte informasjonen sin, for at den ikke skal komme på avveie. NSM har skrevet en rekke veiledere, artikler og blogginnlegg, som samlet gir bedre sikkerhet ved bruk av mobiltelefoner.

Prosessuelle tiltak

  • Risikovurdering
    Gode sikkerhetstiltak blir best når virksomhetene og deres ansatte selv finner løsninger som er basert på en god forståelse om sin egen organisasjon. Hva slags bransje de er i, hvilke verdier de har, hva slags risiko de har, hva slags risiko de er villige til å ta, hva slags trusler de står ovenfor, hvordan deres bedriftskultur er. Hva slags sikkerhetstiltak som er på plass og hvorvidt de virker eller ikke.
  • Verdivurdering
    Gjør en vurdering av hva som er bedriftens/dine viktigste verdier. Dette er en viktig prosess for å avgjøre hva slags risiko du er villig til å ta og hvilke beskyttelses- og sikkerhetstiltak du bruker for å beskytte informasjonen som du f.eks. mener har høyst verdi. En verdivurdering må sees i sammenheng med en risikovurdering.
    Se vår brosjyre om verdivurdering
  • Tilgangsstyring
    Må alt av bedriftens/din informasjon være tilgjengelig for alle ansatte via mobile løsninger? Hvor ofte trenger dere/du å ha tilgang til alt av dokumenter/informasjon? Skal de aller viktigste dokumentene beskyttes på en annen måte enn at de er tilgjengelig overalt, alltid? Det kan tenkes at virksomheter etter vurdering av risiko og verdi, kommer til at den viktigste informasjonen skal sikres på andre måter enn den mer dagligdagse trivielle informasjonen.
  • Ikke teknisk utstyr i rom hvor det diskuteres sensitive ting
    Et godt råd er å legge vekk teknologisk utstyr når man skal snakke om noe som er sensitivt eller har stor verdi. Noen virksomheter har etablert mobilfrie møterom/soner og rutiner som gjør at man ikke tar med seg mobiltelefoner inn i møterom m.m.

    Se vår brosjyre om sikrere møterom
    Se tidligere blogginnlegg:Adgang forbudt for mennesker eller teknologi?

Menneskelige tiltak

  • Ta høyde for at andre kan høre/lese for hva du sier/skriver. Ønsker du å beskytte din egen informasjon, ikke stol for mye på teknologi. Noen ganger kan det være lurt å si til en kollega at... «Vent, dette snakker vi om på kontoret, ikke på mobil»

    Se vår brosjyre om sikrere bruk av mobiltelefon

Teknologiske og tekniske sikkerhetstiltak

  • Rekonfigurere mobiltelefonen
    De falske basene jobber på 2G-nettet. En måte å kunne unngå de falske basene, er å konfigurere telefonen til kun å benytte 3G og 4G-nettene. Hvordan dette gjøres avhenger av telefontype og –modell. Det er også slik at noen telefoner ikke har denne muligheten.
  • Sikrere mobiltelefoner
    Det finnes mobiltelefonløsninger som i større grad sørger for andre krypteringsløsninger som gjør det vanskelig å avlytte en mobiltelefon via en falsk basestasjon.Samtidig er det viktig å forstå at sikrere mobiltelefonløsninger kan redusere brukervennlighet og tilgang til en rekke applikasjoner som vi er vant til å bruke på våre vanlige telefoner.

    NSM har tidligere blogget om dette temaet:
  • Programvare til telefoner
    Det er et utall varianter av «sikkerhetsprogramvare /-apper» som den enkelte mobilbruker kan installere på vanlige mobiltelefoner. Disse appene spenner fra kryptering av tale, sms og epost, til apper som kan detektere og varsle om mulige falske basestasjoner.

    Samtidig må det sies at vi ikke kan garantere for kvaliteten på slike programmer.

Noen av tiltakene nevner kan sees på som gamle og analoge. Allikevel er dette er godt utprøvde metoder som også fungerer i en verden som stadig er i teknologisk utvikling og endring.

Du kan få flere råd og informasjon om relevante sikkerhetsutfordringer ved å lese noen tidligere blogginnlegg: