– Den vanligste vegen til dine private eller arbeidsplassens dokumenter er ikke gjennom servere og avansert koding. Det er det menneskelige leddet som er inngangsporten, og hackere bruker psykologi til å lure deg til å gi dem tilgang til data, forklarer Tom Heine Nätt.

Til daglig er han foreleser ved Høgskolen i Østfold, og har også skrevet bok om datasikkerhet. Tirsdag holdt han foredrag om temaet på Høgskolen i Molde. Han kom med klare oppfordringer og tips om datasikkerhet.

– Mange bedrifter og privatpersoner bruker mye penger på å forsvare seg med programvare og tekniske løsninger. Ofte glemmer de at hackeren kan være en bruker eller ansatt. Og hackerne har et mål eller motiv for å angripe, og det er veldig viktig å vite hva målet er for å gardere seg mot angrep, poengterer Nätt.

Trigger klikk

Det typiske dataangrep skjer gjennom at man laster ned dokumenter eller programvare som man får tilsendt på e-post eller kommer over på ulike nettsider. Det kan være forlokkende annonser eller meldinger som antyder at du kan få hjelp.

Nätt trakk fram typiske triggere som hackerne bruker i e-postene de sender, som skal få deg å trykke på knappen før du rekker å tenke over hva du egentlig trykker på. Typiske triggere er frykt, økonomi, seksualiserte biler, autoriteter, nysgjerrighet, tillit eller medfølelse.

– Mange biter på og trykker sjøl om de innerst inne vet at det muligens ikke er en trygg melding. Derfor er det utrolig viktig å være skeptisk til innhold, og gjerne vente en halvtime eller to og tenke seg om en gang ekstra før man trykker, sier Nätt.

Lett tilgjengelig teknologi

Han demonstrerte hvor enkelt man kan manipulere innhold og få falske nettsider til å se ut som ekte, eller sette opp mellomledd som fanger opp dine brukernavn eller passord. Å manipulere avsenderadressen på e-posten, eller til og med på SMS, er en smal sak.

– Teknologien er utrolig lett tilgjengelig. Man trenger ikke være et datageni for å hacke noen på denne måten. Det er skummelt å se hvor enkelt man kan bruke ferdige verktøy for å lure noen, sier Nätt.

Sjøl bruker han mange av programmene for å demonstrere hvordan man forsvarer seg.

Elendig med passord

Det typiske angrepet er phishing. Det ser ut som en ekte side hvor man blir bedt om å logge seg på, og dermed gir fra seg brukernavn og passord, før man blir sendt videre dit man egentlig skulle, uten at man merker forskjell. Et av de store problemene med dette er at veldig mange har dårlige passord.

– Folk er elendige med passord! De velger noe som de sjøl oppfatter som kjempeglupt. Men om de kan komme på det sjøl, så kan noen andre komme på det også. Og så bruker mange den samme kombinasjonen av brukernavn og passord overalt, sier Nätt.

Det betyr at om du har samme passord i nettbanken som på Facebook og andre, mindre sikre, plattformer på nett, vil hacking det ene stedet gi konsekvenser for resten. Nätt kommer med et krystallklart råd:

– Bruk forskjellige passord og skill ulike nivå av sikkerhet. Ikke ha samme passord på jobb, sosiale medier og andre steder. Der du bruker samme passord bør du legge inn et par tegn som er unikt for stedet du logger inn, slik at passordet ditt ikke automatisk kan kopieres og brukes på andre kontoer. Bak inn FA i Facebook-passordet ditt for eksempel, sier Nätt.

Skille jobb og privat

– Og arbeidsgivere burde nærmest forby at ansatte bruker jobb-passord, eller jobbmail til private ting. Det er en sikkerhetstrussel.

Å bruke sosiale medier på arbeidsplassen er også høgst undervurdert sikkerhetsmessig.

– Mange bedrifter scanner mail og bruker ressurser på datasikkerhet. Men samtidig sitter ansatte på bedriftens nett og bruker tjenester uten å tenke sikkerhet. Jobb-PC-en bør ikke brukes til private ting. Det er lett å tenke at du sjøl ikke er et mål for hackerne, men du kan være en port inn i bedriftens nettverk. Er hackeren først inne, kan han gjøre nesten hva som helst, forklarer Nätt.

Fysisk hacking

I tillegg til skadevare som kan lastes ned på maskinen din, finnes det også en rekke fysiske muligheter for hackere å ta kontroll over dine data på.

Med en liten USB-minnepenn kan fremmede ta kontroll over maskinen din. Eller de kan sette opp routere som fanger opp all datatrafikk til og fra maskinen din. De kan også sette på loggere som lagrer alle tastaturtrykk og dermed passordene dine.

– Det første gode tipset er å bruke VPN, altså kryptert nettverk, når du er på usikre nett. Og det beste forebyggende tipset er å ha gode backuprutiner. Det er skummelt hvor få som tar skikkelig backup. Tapet av en datamaskin skal aldri være større enn tapet av maskinvaren. Ikke vær snill og lån bort maskinen eller mobiltelefonen din. Og ikke følg oppskrifter til datainnstillinger som kommer på mail, sjøl om de ser ut til å være fra kjente avsendere, understreker Nätt.

De ansatte må få opplæring

For bedriftens del er det en ting man ofte gjør feil.

– Det er ikke IT-avdelingen som må sendes på kurs i datasikkerhet. De kan normalt veldig mye. Det er alle de ansatte som ikke har tilstrekkelig kunnskap om farene og som må sendes på kurs. De kan lære mye bare på en ettermiddag, som vil ha mye å si for datasikkerheten. Det gjelder ikke bare å ha gode rutiner, de ansatte må forstå hensikten med rutinene også, for å respektere og følge dem, sier Nätt.

Men igjen er det hva du eller dine kolleger gjør som bestemmer skjebnen til bedriften.

– Det dukker stadig opp nye typer angrep, og du kan ikke lære alle angrepene. Men du må forstå så mye at du blir skeptisk, og sjekker alt en gang ekstra. For kommer hackerne seg først inn i maskinen din eller inn på nettverket, kan det bli skikkelig trøbbel, sier Nätt.

Førstelektor ved Høgskolen i Østfold, tom Heine Nätt har skrevet bøker om datasikkerhet, og holdt foredrag på Høgskolen tirsdag, Foto: Erik Birkeland