Fagstoff

Innledning til forebygging av sikkerhetsbrudd

Publisert: 04.09.2013, Oppdatert: 05.03.2017
  • Innbygg
  • Enkel visning
  • Lytt til tekst
  • Skriv ut

Forstørrelsesglass

Datasikkerhet eller informasjonssikkerhet er tiltak for å beskytte virksomhetens informasjon. Det inkluderer både beskyttelse mot tap av data og mot ulovlig innsyn, misbruk eller tyveri av informasjon.

I 2012 anslo Nasjonal sikkerhetsmyndighet (NSM) at det ble begått nesten 45 000 datakriminelle handlinger i Norge. Disse handlingene førte til at norske virksomheter tapte om lag 20 milliarder kroner. Tallene er ventet å øke i årene fremover, så trusselen er reell. Vi må ta sikkerheten på alvor.

En datakriminell fremstilles gjerne som en fremmed som tar seg inn i datamaskinen via Internett for å stjele eller ødelegge informasjon. De fleste datatyverier i vanlige virksomheter gjøres imidlertid ikke av fremmede, men av personer som har lovlig tilgang til systemet. Det skaper ekstra utfordringer. Det er ofte enklere å beskytte seg mot eksterne angrep enn mot personer som har fysisk tilgang til systemet.

De fleste nettverkssystemer har muligheter for automatisk overvåking av hvem som bruker systemet, og hva de gjør med det. Men slik overvåking kan være problematisk når det gjelder egne brukere og ansatte, fordi det fort kan komme i konflikt med de lovene som gjelder for personvern og arbeidsmiljø. (Ref. Bruker og driftsstøtte, kompetansemål 1 «Behandle fortrolige opplysninger på en etisk forsvarlig måte innenfor rammene av gjeldende regelverk.”)

Et annet problem med datatyverier er at forbrytelsen kan være vanskelig å oppdage fordi det ikke uten videre er mulig å se at data er blitt kopiert. Hvis tyven ikke legger igjen andre spor, blir det kanskje aldri oppdaget.

For en systemansvarlig er tiltak for å forebygge sikkerhetsbrudd derfor ofte en balansegang. Hvis sikkerheten blir for streng og kontrolltiltakene for detaljerte, er det en risiko for at systemene blir for tungvinte å bruke og at man kommer i konflikt med personvernet og arbeidsmiljøvernlovgivningen. Men hvis sikkerheten ikke er streng nok, risikerer man at sensitiv informasjon kommer på avveier eller blir misbrukt.

Norsk senter for informasjonssikring (NorSIS) har laget ei håndbok for informasjonssikkerhet som skal fungere som en standard for informasjonssikkerhet i små og mellomstore virksomheter, og som kan brukes for lage et eget sikkerhetsregelverk.

 

Datatyverier kan være vanskelige å oppdage fordi det er umulig å se at data er blitt kopiert.