av Bente Hoff og Kjetil Nilsen

Innlegget har tidligere vært publisert som kronikk i Finansavisen.

Virksomheter og leverandører må minimere brukernes mulighet til å gjøre feil. Moderne IKT-løsninger bør ha så god sikkerhet at sårbarheter som skyldes brukerfeil reduseres til et minimum.

Mange sikkerhetsråd er rettet mot sluttbrukere: «Bruk lange, vanskelige passord.» «Oppdater operativsystem og programvare.» «Ikke trykk på suspekte lenker i e-post.» Vår påstand er at så lenge vi som sluttbrukere har mulighet til å gjøre feil, så vil vi gjøre dem. De som skal gjennomføre et dataangrep går som regel etter det svakeste ledd, som ofte er den enkelte ansatte. Er det fordi vi ikke kan bruke datamaskiner, eller fordi virksomheter og leverandører ikke tilbyr løsninger som reduserer den risikoen ansatte utgjør?

Gjennom inntrengningstester mot norske virksomheter ser vi i Nasjonal sikkerhetsmyndighet mange eksempler på feil som sluttbrukere gjør. Ofte er dette feil som kunne vært unngått hvis virksomheten hadde valgt sikre løsninger: Ansatte får i stedet tildelt brukerkonti med for mange rettigheter. Brukere blir påtvunget altfor hyppige passordbytter og løser det ved å bruke dårlige passord. Ofte mangler det innebygde sikkerhetsmekanismer som reduserer konsekvensene av feil som gjøres.

Virksomheter og leverandører av tjenester og produkter må minimere brukernes mulighet til å gjøre feil. Brukervennlige og sikre løsninger bør motivere og veilede brukere til bedre sikkerhet. Moderne IKT-løsninger bør ha så god sikkerhet at sårbarheter som følge av brukerfeil fjernes eller reduseres til et minimum.

Løsningene bør begrense konsekvensene dersom de gjenværende sårbarhetene blir utnyttet. Virksomheten kan innføre mange, gode sikkerhetstiltak rettet mot brukerne. Eksempler er bruk av automatisert oppdatering av enheter, avlesningssikre nøkkelkort, to-faktorautentisering og gode passordregimer. Virksomheten må ha kontroll på administrative privilegier og brukere bør kun ha de rettighetene de til enhver tid trenger. Det bør også legges til rette for at sluttbrukerne kan rapportere sikkerhetshendelser de oppdager.

På tross av en økende bevissthet rundt e-postangrep er e-post fortsatt en av de viktigste og mest brukte veier inn for dataangrep. Alle virksomheter bør få på plass sikkerhetsmekanismene som vi har omtalt i NSMs veileder om e-postsikkerhet som fins på våre nettsider.

Til tross for alle tekniske tiltak som innføres, vil det alltid være en viss restrisiko. Det er derfor viktig å fortsette kompetansebygging, opplæring og bevisstgjøring hos sluttbrukere. Mange virksomheter har likevel for ensidig fokus på opplæring av brukere når de skal gjøre virksomheten bedre rustet mot dataangrep. Brukerne trenger hjelp av gode, sikre, tekniske løsninger som reduserer muligheten for å gjøre feil.