"Kommersiell digital sporing utfordrer nasjonal sikkerhet", skriver Nasjonal sikkerhetsmyndighet (NSM) i rapporten Risiko 2023, som ble publisert nylig.
Ifølge NSM kan fremmede etterretningstjenester benytte det store volumet av kommersielt tilgjengelige brukerdata for å "manipulere og utpresse personer som sitter på verdifull informasjon".
Dataene du gir fra deg kan understøtte alt fra cyberoperasjoner, innsidevirksomhet, påvirkingsoperasjoner og spearphishing - som er målrettede og skreddersydde phishing-angrep.
- Jo mer konkret som deles, jo større bruksflate kan informasjonen ha, sier Trond Øvstedal, seksjonssjef i Nasjonal sikkerhetsmyndighet (NSM), til kode24.
«Du er derfor av interesse både for de som skal tjene penger og de som driver med etterretning.»
Fullt mulig å av-anonymisere data
Slik kommersielt tilgjengelig brukerdata er opplysninger og elektroniske spor noe du legger igjen etter å ha brukt PC-er og mobile enheter. Det kan være nettsider du har besøkt, hva du søker på, hvilke ting du kjøpet på nettet eller hvem du kommuniserer med.
- Brukerdata er i utgangspunktet anonymisert, men det har vist seg at det ofte er fullt mulig å av-anonymisere brukerdata slik at de kan kobles til deg personlig, sier Øvstedal.
Han legger til at brukerdata tegner et bilde av deg som person, eller av virksomheten som du er en del av.
- Du er derfor av interesse både for de som skal tjene penger og de som driver med etterretning. Kommersielt tilgjengelig brukerdata kan gi etterretningstjenester store mengder data om deg som person, som før i tiden ville krevd enorme innhentingsressurser, sier han.
Sånn kommer hackerne seg forbi tofaktor: - Viktig at dette blir belyst
Kan gjøre det lettere å få tilgang
- Hvordan kan brukerdata brukes til å understøtte cyberoperasjoner?
- Det kan bidra til å gjøre det enklere å få tilgang til noe for utenforstående. Det kan legge til rette for såkalt sosial manipulering, som er en sekkebetegnelse på alle mulige teknikker som kan få deg som privatperson til å bli mindre mistenksom og gi fra deg informasjon, sier Øvstedal.
For eksempel: Hvis du nylig har bestilt en vare på nettet og venter på levering fra et leveringsfirma, vil du være mindre mistenksom til en tekstmelding eller epost som ber deg trykke på en lenke hvis avsender utgir seg for å være det aktuelle leveringsfirmaet.
- Ved å trykke på slike lenker kan uvedkommende potensielt få tilgang til mer informasjon. Brukerdata kan også være svært personlig og kan dermed brukes som utpressing. Brukerdata kan avsløre ting du ikke ønsker å dele med partner eller kolleger, og kan dermed brukes som pressmiddel, sier han.
«Ofte er det lurt å begrense så mye som overhodet mulig.»
Lederne må ta sitt ansvar
Øvstedal sier at du ikke bør gi fra deg mer informasjon enn strengt nødvendig.
- Når du laster inn en app ber den alltid om tilganger. Ofte er det lurt å begrense så mye som overhodet mulig. Da tenker jeg på stedsinformasjon, tilgang til kamera og mikrofon, kontakter. Skru bare på Bluetooth og stedstjenester og lokasjon når du trenger det. Ellers oppfordrer vi til å følge våre 13 råd om sikkerhet på mobile enheter, sier han.
Øvstedal har flere tips til utviklere for at de skal unngå å lage løsninger som går utover nasjonal sikkerhet:
- Tenk sikkerhet fra start av i prosjektene. En vanlig feil er å inkludere sikkerhet først mot slutten i et prosjekt.
- Ledere må dessuten ta sitt ansvar for at utviklere er sikkerhetsbevisste.
- Lenking til allerede eksisterende koder kan skape sikkerhetsutfordringer.