Slutt på leken

Slutt på leken

Internettet er i ferd med å utvikle seg til et monster, ute av kontroll og i stand til å true både den økonomiske og sosiale stabiliteten i verden. Skal vi hindre kyniske spekulanter, terrorister og kriminelle fra å skape nye kriser, må myndighetene ta kontroll over cyberspace.

I løpet av den siste uken er datasikkerhet kommet i fokus.

Her hjemme har folk gått i harnisk over at søkemotorselskapet Eniro la fødselsdatoen til navnene på personer som er registrert i telefonkatalogen.no.

Samtidig får vi vite at en mann ble arrestert i Oslo i mai etter å ha tømt bankkontoene til fem personer for nesten en million kroner ved hjelp av falske identifikasjonspapirer.

Han hadde laget ID-bevis med bilde av seg selv, men med navnene til personer med fulle sparekonti. Med de falske ID-opplysningene gikk han i banken og fikk oversikt over saldoer. Denne informasjonen tok han så med til en annen filial, postkontor eller post-i-butikk og fikk foretatt 120 kontantuttak.

De kraftige reaksjonene på Eniros publisering av fødselsdatoer førte til at selskapet fjernet dem etter et par dager – og godt er det.

Tirsdag gjorde vi et lite eksperiment her i redaksjonen.

Resultatet er skremmende.

Personnummer på nett

Fødsels- og personnummeret er hovedmålet for hackere og identitetstyver. Med det kan de gjøre adresseendringer, skaffe bankopplysninger, bestille kredittkort og overta din identitet.

Hvor lett er det egentlig å fa tak i folks fødsels- og personnummer? tenkte vi og tastet ordet “personnummer” inn i ruta på Google.no.

Bang! 67 000 hits. Allerede på tredje side dukket det opp noe bemerkelsesverdig.

På en server som tilhører Senter for sivil forskning ligger en elektronisk kopi av registerutskrift fra enhetsregisteret i Brønnøysund.
Dokumentet inneholder navn, adresse, samt fødsels- og personnummer for ledelsen og hele styret ved Institutt for samfunnsforskning.

Jo lenger ned i bunken vi kommer, jo mer absurd blir bildet som tegner seg.

Hos Aukra kommune i Møre og Romsdal finner vi en elektronisk kopi av en søknad fra en forretningsdrivende.
Denne inneholder ikke bare vedkommendes navn, adresse, telefonnummer, organisasjonsnummer og fødsels- og personnummer – her er også personens bankkontonummer.

Versegod!

Det må svi

Det er ikke lov å publisere fødsels- og personnummer på internett overhode.

Men det ser ikke ut til berøre norske kommuner og statlige etater i det hele tatt.

Noe Datatilsynet langt på vei bekrefter:
– Det trekkes på skuldrene, kanskje kommer det en beklagelse og løfte om å skjerpe rutinene, men så fortsetter det bare som før. Det skjer gang på gang, sier informasjonssjef Ove Skåra i Datatilsynet til Orapp.no.

Datatilsynet virker maktesløse, så hvis dette kjempehullet i norsk datasikkerhet skal tettes må det kraftigere lut til.

Kanskje bør noen av dem som har fått sine personnumre offentliggjort på nettet gå sammen om et søksmål og kreve den ansvarlige for en klekkelig erstatning for den risiko de er blitt utsatt for.

En fellende dom kan få stor prinsipiell betydning og forhåpentligvis føre til at de offentlige etatene begynner å ta dette på alvor.

Det kan også være en ide å innføre en ordning a la den noen dagligvarebutikker har; finner du en vare som er gått ut på dato får du dobbel pris tilbake. Eller som noen kollektivtrafikkselskaper; er bussen forsinket betaler de taxiutgiftene dine.

En ordning der eiere av nettsteder må betale en solid kompensasjon til dem som får publisert deres fortrolige opplysninger vil være en form for kvalitetssikring av datasikkerheten.

En ting er sikkert – det må svi.

Mer enn som så

Dette stikker egentlig dypere enn falske ID-kort og tømte kontoer.

Vi tenker ikke så ofte over det når vi sitter og surfer eller spiller onlinespill, så her er noen stikkord:

• Hver 10.sekund blir en internettbruker utsatt for noe kriminelt.

• Mengden barnepornografi på nettet er mer enn firedoblet i løpet av de siste to årene.

• Hvert 30.sekund startes et nytt hackerangrep målrettet mot tusenvis av datamaskiner.

• 50 prosent av alle transaksjonene på børsen i New York avtales i chat-rommene på Yahoo.com.

• Offshore banking – som de nye skatteparadisene finnes ikke i fysisk forstand noe sted, de holder til i cyberspace.

• Over 90 prosent av pengene våre er elektroniske, de er kun digitale kråketegn i en datamaskin ett eller annet sted på kloden. (eller kanskje svevende i en satellitt, for det vi vet).

Forstår ikke alvoret

I fjor sommer meldte Telenor Security Operations Centre om et massivt hackerangrep mot norske nettsteder. I løpet av en måned ble over 300 norske nettsteder hacket.

Det kom blant annet frem at 80 offentlige nettsteder i Norge var blitt infisert.

Ifølge Telenor Security Operations Center (TSOC) er det ikke er snakk om virus, men om kidnapping av computere. Det vil si at hackere tar kontroll over PC-ene og bruker dem til å angripe andre datamaskiner.

Selv ikke IT-bransjen selv har forstått alvoret, hevder leder for TSOC, Frank Stien.

Han mener det må en holdningsendring til for at situasjonen skal bli bedre.

Organisert kriminalitet

I 2007 klarte hackere å bryte seg inn i USA mest sikre datasystemer; det militære hovedkvarteret Pentagon i Washington og i USAs best bevoktede militære laboratorium.

I 2008 ble det satt i gang et massivt angrep mot banker i fire vestlige land; USA, England, Spania og Italia. I løpet av en måned klarte hackerne å stjele fødsels- og personnummer, bankkontonummer og kredittkortnummer til over 10 000 personer.

I øyeblikket utsettes den amerikanske regjeringen, amerikanske elektrisitetsanlegg og finansielle nettverk for flere hundre angrep hver eneste dag. Ifølge FBI får opp mot 20 000 amerikanere frastjålet sin identitet hver uke.

Angrepene kan angivelig spores tilbake til Russland og Kina.

Leder for U.S. House Homeland Security Committee, Bennie Thompson, opplyser at det er først og fremst valutahandelen som er hackernes mål, som tydeligvis er organiserte.

Thomson fremhever at det amerikanske elektrisitetssystemet har flere store svakheter. – Vi sitter på alarmerende data om sårbarheten i vårt elektriske system, sier han.

Slutt på leken

President Barack Obama erklærte 29.mai Amerikas internett for nasjonal eiendom og lanserte som første nasjon i verden et eget internettdepartement, National Cyber Security Initative (NCSI), underlagt National Securitie Committee og National Economic Committe.

NCSI skal umiddelbart gjennomføre en ti-punkts plan for å styrke datasikkerheten.

Blant tiltakene som nå settes i verk er:

• Utarbeidelse av en strategi for nasjonal datasikkerhet.

• Foreslå mekanismer som kan analysere de viktigste truslene og formulere felles retningslinjer for alle departementene i forhold til datasikkerhet.

• Starte kampanjer for å øke folks bevissthet om datasikkerhet.

• Utvikle et forslag til internasjonalt rammeverk for datasikkerhet.

• Lage en kriseplan i tilfelle av alvorlige sikkerhetstrusler fra cyberspace.

• Utvikle visjoner og strategier for internettbasert identitetsstyring.

President Obama skriver i sin redegjørelse for planen at cyberspace utgjør en av de alvorligste økonomiske og nasjonale sikkerhetstruslene i dette århundre. Status Quo er ikke lenger akseptabelt, fastslår presidenten.

Obama har forstått det. Spørsmålet er hvor lang tid det vil gå før folk og politikere i andre land, ikke minst her hjemme, innser hva som foregår.

Det er ikke lenger noen lek. Det er alvor – blodig alvor.

Og folk lurer på hvorfor Forsvarets etterretningstjeneste må holde øye med datatrafikken til og fra statsministerens kontor?

Reblog this post [with Zemanta]
Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s