Bak hver datastrøm finnes et menneske. Når datasikkerheten svikter, er det ikke bare filer som går tapt – det er tryggheten til barn, familier og sårbare innbyggere som står på spill.
Sikkerhetskultur – på liv og død
Teknologi er menneskeskapt. Det samme er truslene vi står overfor.
Vi leser om kommuner som mister sensitive data, får servere kryptert og tvinges til å betale løsepenger til profesjonelle angripere. Vi reagerer – men kanskje med en viss avstand. For ordet datasikkerhet kan virke teknisk, abstrakt – noe for dem som jobber med IT, ikke for folk flest.
Men de som faktisk jobber med data, vet: Det handler alltid om mennesker.
En sentral oppgave for de sikkerhetsansvarlige er å gjøre kollegaene bevisste på hva manglende datasikkerhet faktisk betyr – for enkeltpersoner, for familier, for barn.
Mange ser ikke umiddelbart sammenhengen mellom sin egen hverdag og systemer som tofaktorautentisering eller sikre passord. Men det er nettopp slik det starter – datasikkerhet er summen av tusen små valg, og personlig ansvar utgjør en reell forskjell.
Når sikkerheten svikter, handler det ikke bare om tapte filer eller tekniske problemer. Det handler om liv og helse.
For bak hver datastrøm finnes mennesker i sårbare livssituasjoner: barn i barnevernssystemet, personer med psykiske helseplager, eldre med behov for beskyttelse. Vi – du og jeg – er like utsatt som dem vi bryr oss om. Vår livshistorie ligger lagret i kommunens digitale skuffer og skap, og for dem som jakter på denne informasjonen, er den gull verdt.
Kommunene forvalter et ansvar på vegne av innbyggere som ikke har noe annet vern enn det kommunen gir dem. Og det vernet er tett knyttet til hvilke fagsystemer kommunen velger – og hvor sikre de er.
Derfor er det betryggende at selskaper som Visma Flyt legger lista høyt. Et høyt sikkerhetsnivå gjør livet vanskelig for dem som ønsker å utnytte svakheter – og gir trygghet til dem som ikke kan forsvare seg selv.
Ønsker du å lese flere slike artikler? Abonner på bloggen.
Fra digitalt hærverk til organisert datakriminalitet
Hærverk og organisert kriminalitet skiller seg fra hverandre når det gjelder datasikkerhet, både i motiv og alvorlighetsgrad. Digitalt hærverk vil skade, og handler ofte om sabotasje, hevn eller behov for oppmerksomhet – som når enkeltpersoner bryter seg inn i systemer for å slette data, "deface" nettsider (endre dem uten tillatelse) eller forstyrre tjenester.
Dette står i kontrast til organisert datakriminalitet, som er profesjonell, målrettet og økonomisk motivert.
Sistnevnte aktører, som ofte tilhører internasjonale nettverk, bruker avanserte metoder som løsepengevirus, identitetstyveri og phishing for å oppnå profitt eller makt. Det er særlig organisert datakriminalitet som utfordrer samfunnets evne til å beskytte kritiske data og digitale infrastrukturer. Dette er Visma Flyts hovedmotstander.
Motstanderen er virkelig formidabel. Datakriminalitet er en billiardindustri som på verdensbasis koster oss 10 trillioner dollar hvert eneste år. Hvis datakriminalitet var et land, ville det vært verdens tredje største økonomi. Dette handler om proffe aktører som har deg og meg som sin viktigste inntektskilde. For disse aktørene er innbyggerens livshistorie redusert til et byttemiddel – en adgangsbillett til svindel, utpressing eller ID-tyveri.
La oss ta noen scenarier som eksempler.
Reelle konsekvenser av manglende sikkerhetskultur
Scenario 1: Når pasientjournalen din blir valuta
Klokken er 04:17 når alarmen går på sikkerhetssenteret til et stort norsk helseforetak. Systemene viser tegn til aktivitet fra en ukjent IP-adresse. Innen en time er store deler av pasientjournalsystemet utilgjengelig – kryptert og låst. På skjermen til IT-lederen blinker en kort beskjed:
"Vi har lastet ned 42 000 pasientjournaler. Betal 20 millioner i kryptovaluta – eller vi publiserer."
Blant filene ligger journalen til en pasient i 30-årene. Navn, fødselsnummer, adresse – og en fersk notatlinje: "Pasienten får behandling for seksuelt overførbar sykdom." Dagen etter får pasienten en e-post fra en anonym avsender:
"Vi vet hva du får behandling for. Hvis ikke helseforetaket betaler, slipper vi navnet ditt til pressen. Ønsker du å stoppe det, overfør 0,8 Bitcoin hit."
I kulissene pågår nå et kappløp: Skal helseforetaket betale løsepengene for å beskytte tusenvis av pasienter? Kan de i det hele tatt garantere at dataene ikke allerede er kopiert og solgt videre?
For pasienten har datasikkerhet gått fra å være noe abstrakt til å bli brutalt konkret. En digital lekkasje har blitt et personlig mareritt.
Scenario 2: Barnevernets data som våpen mot sårbare familier
Du er mor til en åtte år gammel gutt. Barnet ditt ble utsatt for overgrep, og saken har vært fulgt tett av barnevernet, psykolog, politi og skole. Det ligger tunge rapporter i systemet – intervjuer, observasjoner, medisinske vurderinger og detaljerte beskrivelser av hva barnet ditt har opplevd.
Kommunens systemer er nede. De har kontaktet sikkerhetsteamet, men vet foreløpig ikke hvor dypt angrepet stikker. Alt kan være lastet ned – og i barnevernets mapper finnes ikke bare informasjon om barnet, men også om deg: dine psykiske utfordringer etter bruddet med barnets far, tidligere mistanker som ble henlagt, og interne vurderinger av deg som omsorgsperson.
Du klarer ikke dra på jobb. Du tør ikke sende barnet på skolen. Tenk om alt dette havner på nettet? I foreldrenes Facebook-gruppe? På VG.no? Hos barnets far?
Mens kommunen forsøker å vurdere om de skal betale eller politianmelde – sitter du alene med angsten. I jakten på penger har noen gjort din verste livserfaring til sin valuta.
Scenario 3: Når lekkasjer fra krisesenteret truer liv og helse
Søsteren din har nettopp fått livet sitt tilbake. Etter måneder med vold og trusler fra eks-kjæresten, kom hun seg endelig unna. Krisesenteret ble redningen. Men så ringer hun.
Krisesenteret har vært utsatt for et datainnbrudd. Navnelister, adresseendringer, flyttedatoer, samtalereferater og vurderinger – alt som er dokumentert i saken hennes – er blitt stjålet. Noen selger det nå på det mørke nettet, side om side med narkotika og falske pass.
Den samme eksen som ble ilagt besøksforbud, kan nå finne ut hvilken kommune hun har flyttet til. Hvilken skole barna går på. At hun søkte hjelp. Hva hun fortalte.
Politiet er varslet, men ingen vet hva som er lekket – eller hvem som har kjøpt det. Og du skjønner med ett hvor skjørt sikkerhetsnettet er – at digital trygghet er en forutsetning for fysisk trygghet.
Når et krisesenter blir hacket, er det ikke bare datasystemer som bryter sammen. Det er liv som rystes i grunnvollene.
Scenario 4: Identitetstyveri: Når noen stjeler livet ditt digitalt
Du får et brev i posten fra en bank du ikke kjenner navnet på. Det viser seg at du har tatt opp et forbrukslån på fire millioner kroner – med sikkerhet i din egen identitet.
Men du har aldri søkt om det. Du har aldri fått pengene.
Du ringer banken. De henviser til dokumentasjon – søknadsskjema, kredittsjekk, digital signatur. Alt ser legitimt ut. Alt peker på deg.
Noen dager senere får du beskjed: Det har vært innbrudd i datasystemene til NAV. Personopplysninger om tusenvis av brukere er på avveie – navn, fødselsnummer, kontonummer, dokumentasjon på trygdeytelser, helsetilstand og familierelasjoner.
Du er blant de rammede.
ID-tyvene hadde alt de trengte. De visste at du var arbeidsledig, at du hadde fått avslag på stønad, og at du hadde lav økonomisk motstandskraft. Du var et perfekt offer – og du oppdaget ingenting før det var for sent.
Nå er det du som må bevise at du ikke er deg. Du må politianmelde, sende inn klager, kontakte banker og kredittselskaper, varsle Skatteetaten og få sperret personnummeret ditt. Det tar måneder – kanskje år – å rydde opp. Og i mellomtiden lever du med et økonomisk rulleblad som noen andre har ødelagt.
Et datainnbrudd eller brudd på personvernet hos NAV er ikke bare et teknisk problem. Det er en invitasjon til identitetstyveri – og det kan ramme hvem som helst.
Scenario 5: Psykisk helse: Når private tanker ikke lenger er private
Han er din sjef. Du kjenner ham som rolig, pliktoppfyllende – kanskje litt tilbaketrukket. Men i terapien har han vært åpen om noe han aldri trodde andre skulle få vite: forstyrrende seksuelle fantasier, mørke tanker om vold mot overordnede. Det er ikke kriminelle handlinger, men det er alvorlig. Og nå er det offentlig.
Lekkede terapidokumenter beskriver ham som en person i dyp psykisk krise. Detaljerte drømmer, emosjonelle sammenbrudd, skam og skyld. Ingen vurdering fra psykologen konkluderer med at han er farlig. Likevel er tilliten ødelagt.
Kommunen innkaller til krisemøte. Media fatter interesse. Noen krever avgang.
Han visste aldri at innrømmelsene hans lå lagret digitalt. Han visste ikke at innrømmelsene hans kunne stjeles. Nå vet alle.
Når en psykologtjeneste blir kompromittert, er det ikke bare journaler som lekker – det er livshistorier, sårbarhet og menneskers siste håp om å bli forstått.
Scenario 6: Statsstøttede angrep mot flyktningers data
Et cyberangrep rammer datasystemene til en norsk kommune. Det er avansert, trolig statsstøttet. Før systemene stenges ned, rekker angriperne å hente ut store mengder data – blant annet oversikter over flyktninger og asylsøkere:
Navn, opprinnelsesland, familiestatus, fluktrute, traumehistorikk og kontakt med norske myndigheter.
Kort tid etter dukker deler av informasjonen opp på det mørke nettet. Eksperter mistenker at statlige aktører allerede har lastet ned det som ikke er offentlig – og vet nøyaktig hvem som har søkt beskyttelse i Norge.
En mann fra Iran, som har deltatt i regimekritiske protester og flyktet via Tyrkia, får nå varsler fra familien om at sikkerhetstjenesten har vært på døren deres. En kvinne fra Syria, som har samarbeidet med menneskerettighetsorganisasjoner, får høre at navnet hennes er på en liste. En tenåring fra Russland, som har søkt om anonymitet, finner bildet sitt brukt i en propagandavideo.
Fact - ikke fiction
Disse scenariene er ikke science fiction. De speiler hendelser som allerede har skjedd – i Norge og internasjonalt. Det som står på spill, er ikke bare teknologiske systemer, men tilliten mellom innbygger og velferdsstat.
Kommunene sitter med nøkler til de mest personlige og sårbare dataene i samfunnet. Når slike data kompromitteres, rammer det først og fremst dem som har minst beskyttelse: barn, syke, utsatte familier, flyktninger, mennesker i krise.
Så hva står mellom oss og avgrunnen? Mellom den svake og sårbare og disse sterke motkreftene? Jo, akkurat dette litt fjerne begrepet, datasikkerhet.
Kan vi stole på sikkerheten i skytjenester?
Bedrifter som bruker lokalt installert programvare, er selv ansvarlig for store deler av sikkerheten. Når du velger en skytjeneste, er det leverandøren som har ansvaret. Dette gjelder både sikkerheten og etterlevelsen av lokale og internasjonale krav, lover og forskrifter. Når du investerer i skytjenester fra en profesjonell aktør, får du sikkerhetsoppdateringer og andre programvareoppdateringer som en del av leveransen.
Å flytte virksomheten din til skyen er uunngåelig. Det du må ta stilling til, er valg av systemleverandør. Det er viktig å velge en aktør som oppfyller kravene til datasikkerhet. Les for eksempel om hvordan vi konkret jobber med forebygging - Visma Security Program.
Velger du skyløsninger fra Visma Flyt får du spesialisert kompetanse og ledende tilgjengelighet på IT-ressurser med på kjøpet. Visma Flyt har dedikerte team som hver dag jobber med å avdekke sårbarheter. Vi følger strenge retningslinjer og har systemer som fanger opp avvik. Og vi har "etiske hackere" som jobber for å finne sikkerhetshull utenfra.
