Særlig i krig blir risikoen for dataangrep større. Professor Lothar Fritsch ved OsloMet har gode råd om hvordan du kan beskytte deg:
1. Å stenge nettet ute
– En strategi kan være å stenge hele eller deler av nettet ute, men da kan du også miste tilgang til populære tjenester som Facebook, Instagram og nettbutikker. Vi ser at dette gjøres i noen land, forteller Lothar Fritsch.
– Om du setter nettbrettet i flymodus når du ikke bruker det, blir det selvsagt uinntakelig for angrep og kan heller ikke utnyttes av andre. Det gjør jeg selv når jeg ikke bruker nettbrettet mitt.
2. Bruk datamaskin med virusbeskyttelse
– Det gamle rådet om at du ikke bør bruke datamaskiner uten virusbeskyttelse gjelder fremdeles. Virusbeskyttelsen kan oppdage skadelig programvare og blir oppdatert etter hvert.
3. Oppdater operativsystem og programmer
– Så bør du holde operativsystem, programmer og apper på datamaskiner, nettbrett og mobiltelefoner oppdatert. Angriperne bruker gjerne feil i operativsystem, og disse rettes i oppdateringene.
– Det er svært viktig å oppdatere for å få bukt med disse feilene, siden de utnyttes av angripere og skadeprogram så snart de blir kjent.
Prosessorene på gamle datamaskiner kan ha blitt for små til nye versjoner av operativsystemet.
Og gamle operativsystemer som ikke kan oppdateres, er utdatert som mat som har gått ut på dato. De har gamle sikkerhetskoder som ikke er av dagens standard.
– Også smarte lyspærer, smarte høyttalere, webkamera, og annet med programvare bør oppdateres. Disse kan også angripes og brukes som angrepsverktøy om noen klarer å hacke dem.
4. Bruk totrinnspålogging
Et råd til forbrukere er å bruke totrinnspålogging der det er mulig.
– Totrinnspålogging hindrer at fremmede kan bruke et passord de har gjettet. Om de gjetter det, har de fremdeles ikke brikken, kodelisten eller telefonen min i hendene, og da kan de ikke logge inn.
– Mobilen kan bli stjålet, men den har jo ansiktsgjenkjenning eller annen sikkerhet på. Med bare passord kan noen i Australia logge seg inn på min Facebook-side helt uhindret.
– Hvorfor har tjenester som Google og Facebook bare passord i innloggingen?
– Fordi det koster mye å ha totrinnspålogging. Organisasjonen som vil beskytte sine ansatte, kunder eller brukere må betale for brikker eller telefoner. Og gratistjenestene til konsumenter er jo oftest reklamefinansierte.
5. Vær obs på manipulering av budskap
Folk flest møter orkestrerte budskap og holdningskampanjer på nett, i tillegg til emosjonelle budskap knyttet til «phishing»-lenker, som lokker deg til å laste ned skadelig programvare.
– Det så vi for eksempel det i amerikanske presidentvalget da Donald Trump ble valgt, der planlagte budskap på sosiale medier basert på demografi, geografi og andre data kunne være nok til å påvirke valgresultatet på de rette stedene.
– Det hadde kanskje ikke så stor effekt totalt sett, men det var likevel nok til at valgresultatet kunne bli et annet, der flertallet var bittelite i utgangspunktet.
Vær kritisk i kommentarfelt
– Kommentarfelt brukes målrettet. Det er kjent at mange i Russland har gått inn i sosiale media og kommentert budskap. Du kan gjerne se det i kommentarfelt i ulike aviser. Jeg har sett det i tyske og engelske aviser.
– Så snart du kommenterer visse ting i den pågående krigen, dukker det umiddelbart opp profiler som skriver om risiko for atomkrig. Det er en skremmende og ofte effektiv taktikk, å skremme befolkningen med atomkrig.
– En programvare leser kommentarfeltet. Så får noen signal om å gå inn med budskapet om at nå kan det bli atomkrig. Det er en type påvirkning vi kan bli utsatt for i kommentarfeltene.
Prøv å gjennomskue manipulering
Planlagt manipulering av informasjon er ikke alltid så lett å gjennomskue.
Krigen i Ukraina er en informasjonskrig med strategiske mål, der partene i konflikten vil påvirke.
– Kanskje du kan bruke flere kilder for å finne ut hva som er riktig?
– Klassisk fakta-sjekk og kildekritikk kan være et utgangspunkt. At du så langt du kan ikke deler alt umiddelbart uten å forsikre deg om fakta. Som voksne borgere har vi ansvar for å ikke dele ting som ikke er reelle.
Du kan for eksempel se på nettsider for faktasjekk eller i medier du regner for å ha god kvalitet, gjerne også internasjonale medier i tillegg til norske.
Du kan av og til også se bekreftelser eller dementi på nettsiden eller i sosiale medier til den som er omtalt.
– Spør deg selv hvorfor jeg skal dele det nå. Hvorfor ikke vente til i kveld når jeg har fått det bekreftet?
Det finnes også enkelte verktøy på nett der du kan prøve å verifisere fakta selv.
– Tenk for eksempel at værmeldingen kan være til hjelp om du skal finne ut hvilken vei radioaktivt støv blåser, og dermed få et inntrykk av skadepotensialet.
6. Vurder din personlige risiko
Mye nett-tilkoblet utstyr med programvare kan altså gjøre oss sårbare. Spørsmålet er hvilken risiko du har personlig.
– Vi har sett dataangrep mot eksponerte personer. At representanter på Stortinget eller i Forbundsdagen i Tyskland blir hacket.
– Sannsynligvis er det hackere som har tatt ut helsejournaler til svenske, norske og amerikanske idrettsfolk, og lekket det for å vise hva slags medisiner de tar i WADA-lekkasjen. Det finnes medisinske tilstander der de har lov til å ta medikamenter som ellers regnes som doping.
– De som har fått tak i disse helsejournalene, og lekket dem, har gått løs på idrettsfolkene, og spurt: Hvorfor stenges Russland ute på grunn av doping?
At du selv skulle bli angrepet, er altså litt avhengig av hvem du er.
7. Unngå amatør-hacking
Dataangrep blir gjort både av profesjonelle og av amatører.
– De profesjonelle organiseres gjerne av statlige myndigheter i ulike land. Der vil jeg tro det er et strengt hierarki for utdanning, planlegging av aksjoner, regler for hva de gjør og ikke gjør, og kanskje store ressurser til disposisjon.
Vinningskriminelle hackergrupper er vanligvis også organisert rundt kunnskapsrike personer som fokuserer på inntjening. De kan hyres inn til ulike angrep mot betaling.
Men amatører kaster seg også inn i patriotiske slåsskamper uten gode kunnskaper.
– Da kan 16 - 20-åringer laste ned verktøy og prøve lykken mot fienden. Ukraina oppmuntrer jo verden til komme på sin side med hackerangrep mot Russland. Men Russland kan også ha amatører på sin side.
Lett å bli hacker
Det er lett å laste ned tilgjengelig angrepsverktøy.
– Amatørene gjør gjerne alt som er mulig, de er ikke koordinert, har ingen oppdrag, og er ikke utdannet i hva de ikke bør gjøre.
– Det er risiko for at privatkrigerne går for langt uten at de er klar over det, og at det kan gå ut over sivile mål.
Ulovlig å hacke
– Det privathackerne gjør, er ofte ulovlig i de fleste vestlige land. Hacking-verktøy kan brukes til vandalisme, sabotasje og tyverier. Det er lovfestet hvilken straff du kan få. Og hvis du driver med hacking fra Norge, er det norsk lov som gjelder.
– Men er det noe som er unntatt når det er krig?
– Norge har ikke gått inn som part i en krig. Og det er ikke slik at sivile kan gjøre som de vil.
– Å være privat hacker innebærer risiko, hvis du ikke har utdanning, har gode systemer eller vet hva du gjør.
– Hva er skadepotensialet av hacking fra amatører?
– Det leder ofte til overbelastningsangrep. Om du er heldig, klarer du å organisere et par millioner gutter for å kjøre et overbelastningsangrep mot en nettside, slik at du får en russisk bank borte fra Internett til de får fikset det på infrastrukturnivå.
Hacking kan bli gjengjeldt
– Russland har begynt å publisere lister over IP-adresser de blir angrepet fra. Jeg vet ikke om de er ekte eller om det bare er propaganda.
– Det kan framprovosere en reaksjon tilbake fra for eksempel russiske private hackere og russiske statlige hackere.
– Men forskjellen er at private hackere bare bruker verktøy de har tilgjengelig, og da kan jo en brannmur reagere på det.
– De velutdannede militære hackerne har helt andre muligheter. De kan ha jobbet med å samle tilganger de siste fem årene, så bruker de det, og den skadelige programvaren ligger alt klar. Det er helt andre muligheter enn amatørene har, sier Lothar Fritsch.
Illustrasjonsbilde fra NTB øverst i artikkelen.
Fakta om dataangrep
- Om du ikke kan logge deg på nettbanken og datautstyret slutter å fungere, kan det være et cyberangrep.
- Høyemosjonelle, aktuelle tema kan lure deg inn på lenker med skadelig programvare. Frykt, fristelser og tillit brukes om korona-vaksiner og gavebidrag til flyktninger fra Ukraina.
- Utstyret ditt kan tas over av en angriper og brukes automatisk i overbelastningsangrep som kan få webservere til å bryte sammen. Da brukes svært mange datamaskiner og annet utstyr, eid av andre enn angriperen, til å sende datatrafikk til samme mål.
- Stjeling av kapasitet kan være vanskelig å legge merke til, da prosessorene i datamaskinene ikke belastes så mye. Kriminelle kan selge kapasiteten som stjeles.
- I automatiserte passordangrep forsøker angriperne å logge inn ved å gjette eller konstruere sannsynlige passord. Da skriver de ofte meldinger på nettsiden til den som blir angrepet eller de kaprer profilen til større trollaktiviteter.
- Orkestrerte budskap eller kampanjer, og påvirkning av kommentarfelt ved hjelp av dataprogram, brukes for å vinne oppslutning, sympati eller spre frykt.
Gode råd om datasikkerhet
- Ha virusbeskyttelse som kan avsløre angrepene.
- Oppdater operativsystem, programmer og apper for å unngå sikkerhetshull.
- Bruk totrinnspålogging (to-faktor-autentisering) der det er mulig.
- Vær obs på manipulering av budskap, sjekk fakta om du vil dele informasjon eller gjøre beslutninger. Hvis du vil sjekke fakta selv, prøv for eksempel: Faktisk (faktisk.no), Bellingcat - the home of online investigations (bellingcat.com), Follow the Russia-Ukraine Monitor Map (bellingcat.com).
- Koble deg gjerne fra trådløst nettverk når du ikke bruker det.
- Hold deg unna amatørhacking, selv om det er i god hensikt, og pass på at barn og ungdom ikke er involvert i det.
Vil du lære mer om datasikkerhet?
- Norsk senter for informasjonssikring, NORSIS (norsis.no), har informasjon om trusler, råd om forebygging og hjelp hvis du blir utsatt for kriminalitet og krenkelse på nett. Nettvett.no og slettmeg.no kan være til hjelp.
- Datatilsynet har informasjon om personvern på nett i og i apper (datatilsynet.no), blant annet e-postsvindel.