- Forsmådde medarbeidere er en mulig sikkerhetstrussel

Dette er noe alle store organisasjoner som har vært gjennom store endringer må være obs på, i følge sikkerhetsforsker Nils Kalstad Svendsen.
Nils Svendsen er leder for Institutt for informasjonssikkerhet og kommunikasjonsteknologi. Den største faren furbundet med ubetenksom dataatferd dreier seg om ukritisk klikking på epostvedlegg, forkalrewr sikkerhetsforskeren.
(Foto: Tore Oksholen)

Nils Svendsen er leder for Institutt for informasjonssikkerhet og kommunikasjonsteknologi. Den største faren furbundet med ubetenksom dataatferd dreier seg om ukritisk klikking på epostvedlegg, forkalrewr sikkerhetsforskeren. Foto: Tore Oksholen

- Generelt for virksomheter som er i omstillings- og fusjonsprosesser, så er systemforvaltning en utfordring. En misfornøyd medarbeider kan gå inn og gjøre stor skade, sier han i dette intervjuet.

Svendsen leder Institutt for informasjonssikkerhet og kommunikasjonsteknologi, med sete ved campus Gjøvik. Selv forsker han på beskyttelse av samfunnskritisk infrastruktur.

NTNU arrangerte temadag om sikkerhet og beredskap torsdag denne uka, og Svendsen var blant innlederne. Under foredraget framhevet han ”den forsmådde medarbeideren” som en potensiell sikkerhetstrussel ved en stor forvaltningsvirksomhet som NTNU.

Videre er NTNU en virksomhet som har vært utsatt for betydelige belastninger i og med den nylig tilbakelagte fusjonen.

- Det er nå 1,5-2 år ut i prosessen. Det innebærer at NTNU er inne i en, objektivt sett, utsatt posisjon, sa Svendsen fra talerstolen.

LES OGSÅ Marie Moe stoler ikke på t eknologien som holder hjertet hennes i gang

Den misfornøyde kan gjøre stor skade

Til Universitetsavisa forklarer han dette slik:

- Generelt for virksomheter som er i omstillings- og fusjonsprosesser, så er systemforvaltning en utfordring. Informasjonssikkerhet kan generelt være en svakhet fordi en av hovedutfordringene kan ligge hos mennesker som har teknisk tilgang, fysisk tilgang til systemer – men uten juridisk adgang til å foreta seg visse ting med disse systemene. En sliten medarbeider kan gjøre feil, mens en misfornøyd medarbeider kan gå inn og gjøre stor skade.

- Du brukte uttrykket ”den forsmådde medarbeider”?

- Det er gjort en god del forskning her. Det er opplagt at slike kan forårsake mye skade. Jeg har ikke grunnlag for å mene noe om hvorvidt dette er et problem for NTNU, men det er noe å være bevisst på omstillingsprosesser, ikke minst når det har gått en viss tid, og mange medarbeidere har fått nye arbeidsoppgaver og ansvarsområder.

- Ja, for når fire institusjoner skulle eltes sammen til én, må det nødvendigvis bli slik at noen blir misfornøyde med følgene det får en selv personlig. Hvordan håndteres en slik økt risiko du beskriver?

- Dette er et lederansvar, å jobbe med det menneskelige perspektivet, og sikre at medarbeiderne får arbeidsoppgaver man kan hanskes med. Utover det må vi følge med på systemnivå, med brukertilganger og tilsvarende.

LES OGSÅ Etterforsker hacker-angrep

Den sløve medarbeideren

- Om vi går fra den misfornøyde medarbeider til den sløve medarbeider – slik som undertegnede noen ganger kan være når det gjelder IT-sikkerhet og den slags. Hvilke feil med de potensielt største skadevirkningene er det størst risiko for at vi begår?

- Det mange gjør er å ikke være obs på skumle epostvedlegg – og klikker på dem uten å tenke seg om. Da med den følge at vi slipper inn programvare som gjør noen i stand til å følge med på telefonen din eller datamaskinen din. De ser hva du gjør, og når du legger inn et administratorpassord på maskinen din så har du plutselig overlatt kontrollen over den til en fremmed, som kan bruke din maskin til å kople seg på interessante nettverk, og derifra kople seg videre. Inntil den fremmede følger med på omtrent alt som skjer der. Dette er en svært mye brukt inngang for inntrengere.

Den andre feilen vi sløve begår er like gammel som computeren selv.

- Det er å ikke ta backup.

- Jeg som har tenkt at backup er for kyllinger…

- Nei, sikkerhetskopiering er ikke for kyllinger. Du skal ikke legge alle eggene i én kurv – for å holde oss til metaforen.

Les også Stjal bankkort, elektronikk og datamaskiner

Hvem snoker?

Hvem skulle være interessert i å snoke rundt i datanettverkene ved et universitet? Sikkerhetsforsker Svendsen nevner konkurranse om forskningsmidler, hvor forskere spionerer på hverandre. Det kan dreie seg om politiske aktivister, hackere og andre som har interesse av å vise at de kan gjøre visse ting mot et universitet. Mer prosaiske er studenter som vi endre på egne eller andres karakterer.

LES OGSÅ Studenter brøt seg inn på HiSTs datasystem

Men også selve den fysiske infrastrukturen er interessant i seg selv, sier Svendsen.

- Stor båndbredde for transport av data, god lagringskapasitet og tungregnekapasitet. Det å komme seg inn for å snylte på disse unike ressursene, eller misbruke dem til egne formål, er interessant for enkelte.

Det kan dreie seg om at datakraften misbrukes til å ”jamme” et annet, utenforliggende nettsted.

- Blir dere IT-sikkerhetsfolk oppfattet som et ”pain in the ass” – som forstyrrer og sinker virksomheten?

- Det der er et klassisk framstilling, men her har det skjedd en dreining siste 10-15 år. Det er viktig å jobbe med hele organisasjonen. Særlig utviklings- og driftsdelene av organisasjonen er viktige samarbeidspartnere. Nå er vi mye mer i inngrep med brukerne, de forstår hvor viktig det er å sikre data og dataflyt, og vi er opptatte av å komme brukernes behov for flyt i møte. Like viktig som forebygging er den reaktive delen, at vi kommer raskt inn etter at noe har skjedd.

- Hva gjør dere da?

- Det handler for en vesentlig del om å isolere og avgrense kompromitterte områder.

- Hva med deg selv – legger du igjen smarttelefonen din utenfor møterom, den slags?

- Det handler om å foreta en løpende sikkerhetsvurdering av hva du holder på med. Men jeg personlig bruker uten bekymring både Google drive og dropbox og andre skytjenester. Men det er klart – det er ikke alt jeg legger der, sier Nils Kalstad Svendsen.

UA vil gjerne ha dine kommentarer. Kommentarer fra anonymiserte brukere og kommentarer med personangrep vil bli slettet.
comments powered by Disqus
Siste fra forsiden

Ingen avklaring om avissamarbeid

NTNU og UiO er ikkje klare for å gå inn i samarbeid om nasjonal universitetsavis. Rektor ved UiB, Dag Rune Olsen ser igjen mot Khrono og OsloMet.

Vet ikke hvor de skal henvende seg dersom kollegaen fusker

Bare åtte prosent av norske forskere mener de har god kjennskap til hva de skulle gjøre dersom de oppdaget at kollegaen drev med forskningsfusk.

NTNU vil ha to nasjonale aviser

Nasjonalt avissamarbeid står på dagsorden når rektorar frå dei fem største universiteta i Noreg møtes til såkalla U5-møte i Trondheim i dag.

NTNU til topps i omdømmemåling

NTNU topper en ny undersøkelse om utvalgte virksomheter i offentlig sektor.