Nettsamfunn og sikkerhet

Størrelse: px
Begynne med side:

Download "Nettsamfunn og sikkerhet"

Transkript

1 Nasjonal sikkerhetsmyndighet Temahefte 1/2008 Nettsamfunn og sikkerhet Nasjonal sikkerhetsmyndighet

2 Dato Versjon Endringer Godkjent av Side 2 av 29

3 Innhold Forord...4 Sikkerhetskultur og sikkerhetsbevissthet...5 Mennesket sikkerhetens svakeste ledd?...7 De potensielle trusselaktørene og deres metoder...7 Informasjonssikkerhet et samspill mellom mennesker og teknologi...9 Hva er nettsamfunn?...10 Utvikling av nettsamfunn...11 Fenomenet Facebook et godt eksempel...11 Sikkerhetsmessig risiko ved nettsamfunn...12 Personlig risiko...14 Betrodde ansatte blir synlige via nettsamfunn...15 Digital informasjonsutnyttelse...16 Analog informasjonsutnyttelse...18 Anbefalte tiltak for virksomhetens ledere Ta lederansvar! Fortløpende vurderinger og oppfølging Endring av sikkerhetsmessig adferd hos ansatte Anbefalte tiltak for enkeltpersoner Oppsummering Vedlegg Hvordan tenke personvern i Facebook? Eksempel på retningslinjer for ansattes deltakelse i og på nettsamfunn, diskusjonsforum, blogging, chatting og private hjemmesider Litteraturliste Side 3 av 29

4 Forord Den teknologiske utviklingen fører til mange goder. Vi kan kommunisere på nye og spennende måter, og holde kontakten med familie, venner og kollegaer på en annen måte enn før. Samtidig øker risikoen for at vi tar i bruk teknologien før vi har vurdert konsekvensene. De sikkerhetsmessige konsekvensene har ikke bare med teknologi å gjøre. Mennesket spiller en vel så viktig rolle. Mange tar i bruk nye tjenester uten å ha en bevisst holdning til hva slags sikkerhetsmessige utfordringer disse reiser. En av de nye utfordringene er nettsamfunn, og de mulighetene disse gir brukerne. Nettsamfunn er tjenester som har kommet for å bli, selv om de sannsynligvis kommer til å variere i popularitet og utbredelse. Tjenestene søker hele tiden å forbedre sine tilbud til brukerne. Nye tjenester og ny teknologi vil fortsette å utfordre brukernes sikkerhetsbevissthet. Nasjonal sikkerhetsmyndighet (NSM) er på ingen måte motstander av nettsamfunn. Men vi så ganske raskt et behov for å skape en bedre bevissthet rundt bruken. Sikkerhetsgradert og annen sensitiv informasjon ble offentliggjort. Mange ansatte med tilgang til sikkerhetsgradert informasjon gjorde seg synlige for det vi kaller potensielle trusselaktører. En slik utvikling var selvsagt ikke ønskelig, og vi iverksatte flere tiltak for å bevisstgjøre brukerne av nettsamfunn. Responsen på våre tiltak har vært godt mottatt, og mange virksomheter ser ut til å ha tatt utfordringen på alvor. Dette temaheftet har som målsetning å informere om de sikkerhetsmessige utfordringene som bruken av nettsamfunn reiser, spesielt for ansatte som har tilgang til sikkerhetsgradert eller annen sensitiv informasjon. Nettsamfunn er en hyggelig måte å kunne kommunisere med omverdenen. Samtidig stiller det brukerne og informasjonseiere overfor sikkerhetsmessige utfordringer som vi anbefaler at man tar på alvor. Geir Samuelsen Fungerende direktør Nasjonal sikkerhetsmyndighet Side 4 av 29

5 Sikkerhetskultur og sikkerhetsbevissthet Det norske samfunnets avhengighet av IKT og Internett har økt. Samfunnet som helhet har blitt mer sårbart for selv kortere driftsavbrudd i systemer og nett. Den økte sårbarheten skyldes blant annet økt kompleksitet i IT-systemer og nettbaserte tjenester. Beskyttelsen av sikkerhetsgradert eller sensitiv informasjon som systemene forvalter er samfunnsviktige oppgaver. I dagens informasjonssamfunn er informasjon i seg selv en handelsvare hvor muligheten for stor finansiell vinning er en høy motivasjonsfaktor for mange aktører som utfordrer samfunnets informasjonssikkerhet. Det er en økende tendens til at aktørene benytter målrettede, skreddersydde, og profesjonelle angrep i forsøk på å skaffe seg informasjon eller systemkontroll. Samfunnets informasjonssikkerhet er derfor et viktig satsningsområde beskrevet i regjeringens nasjonale retningslinjer for å styrke informasjonssikkerheten i det norske samfunnet. 1 Bevisstgjøring om hvilke risikoer og trusler som er aktuelle for dagens IT-brukere er av stor betydning for hva slags beslutninger og handlinger brukerne foretar. Brukernes adferd kommer til uttrykk gjennom en organisasjons sikkerhetskultur, som igjen kan være en målestokk på hvor robust samfunnets informasjonssikkerhet er. Regjeringen har gjennom sine nasjonale retningslinjer for å styrke informasjonssikkerheten gitt uttrykk for hvilke utfordringer som må løses når de uttaler: En av de største utfordringene for informasjonssikkerheten er manglende sikkerhetsbevissthet hos brukere. Mange virksomheter og enkeltindivider undervurderer risikoen ved dårlig informasjonssikkerhet enkeltindivider, enten de er hjemmebrukere eller ansatt i en virksomhet, ser ut til å ha en generell mangel på kunnskap og bevissthet omkring behovet for informasjonssikkerhet, og hvilken rolle de selv spiller som aktør i et nett. Sikkerhetskultur er summen av de ansattes kunnskap, motivasjon, holdninger og adferd som kommer til uttrykk gjennom virksomhetens totale sikkerhetsadferd Nasjonal sikkerhetsmyndighet, 2007 Nasjonal sikkerhetsmyndighet opprettet våren 2007 en avdeling med ansvar for å bevisstgjøre og videreutvikle de virkemidler som er med på å gi virksomheter og organisasjoner en god sikkerhetskultur. Gjennom å gi de ansatte kunnskap og forståelse om sikkerhet og sikkerhetsprosesserer i virksomheten kan motivasjon og holdninger skapes. Målet er å få kunnskap, motivasjon og holdninger omsatt i handlinger og adferd som vil ha en positiv effekt på virksomhetens sikkerhetstilstand. 1 Nasjonale retningslinjer for å styrke informasjonssikkerheten , FAD, 2007 Side 5 av 29

6 Når ord som sikkerhet, sikkerhetskultur og sikkerhetsbevissthet blir benyttet i dette temahefte er det i betydning av de tiltak som benyttes for å kunne beskytte informasjon av betydning for rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser som er regulert gjennom den nasjonale sikkerhetslovgivningen. Nettsamfunn utgjør en sikkerhetsmessig utfordring for alle, uavhengig av hva slags informasjon man ønsker å beskytte. Dette temaheftet vil således være relevant i forhold til å kunne informere og bevisstgjøre virksomheter, organisasjoner, bedrifter og enkeltpersoner som ikke arbeider med informasjonen knyttet til nasjonale sikkerhetsinteresser. Man har i Norge ønske om et mest mulig åpent samfunn. Offentlig informasjon skal i utgangspunktet være allment tilgjengelig. Det finnes imidlertid unntak. Sikkerhetsgraderte og personsensitive opplysninger er blant de som skal beskyttes. Nasjonal sikkerhetsmyndighet har over lang tid påpekt viktigheten av verdivurdering 2. En profesjonell og balansert verdivurdering er en av de viktigste faktorer for å starte bevisstgjøringen av virksomheter og deres ansatte om hvilken informasjon man trenger å beskytte. Uten en god verdivurdering er det vanskelig å få på plass godt tilpassede sikkerhetstiltak. En fraværende eller dårlig verdivurdering vanskeliggjør veien mot god sikkerhetskultur i en organisasjon. Dersom en slik bevisstgjøring skal finne sted, må den underbygges med informasjon om risiko- og trusselbildet sammen med konkrete konsekvenser som beskrives på en måte som gjør at enkeltpersoner forstår sin rolle og blir motivert til å bidra til å beskytte informasjonen. Verdivurdering er evnen til å sortere og finne frem til hva som er den viktigste informasjonen man må beskytte sett ut i fra hvilken skade som kan skje dersom informasjonen kommer på avveie En undersøkelse gjort i Forsvaret 3 viser at det er stor forskjell på sikkerhetsbevisstheten hos de ansatte i forhold til nettsamfunn. Forskjellene kommer frem når det gjøres sammenligninger mellom de ansatte som arbeider i avdelinger hvor det finnes interne retningslinjer for bruk av nettsamfunn og de som ikke hadde slike retningslinjer. De med retningslinjer fremstår som mer bevisste på hva slags informasjon de deler med andre på nettet og i nettsamfunn, mens de uten retningslinjer ikke ser ut til å inneha den samme sikkerhetsmessige bevisstheten. Dette understreker behovet for å skape en bevissthet hos de ansatte som et ledd i å utvikle en god sikkerhetskultur i en organisasjon. 2 Veiledning i verdivurdering, side 5, Nasjonal sikkerhetsmyndighet, Forsvarsansattes bruk av digitale sosiale nettverk (s 9), Eidissen/Nordli (Forsvarets Ingeniørhøgskole 2007) Side 6 av 29

7 Mennesket sikkerhetens svakeste ledd? Mennesket fremstilles ofte som sikkerhetens svakeste ledd. Resultatet av en persons manglende holdninger kan redusere betydningen av de forebyggende sikkerhetstiltakene slik at tiltakenes verdi blir minimalisert. Motivasjonen for å begå slike handlinger kan være mangeartede, men det er nærliggende å anta at mange daglige sikkerhetsbrudd eller manglende sikkerhet, skyldes vanlige menneskelige forhold som; manglende kunnskap, bevissthet og motivasjon, naivitet, latskap, eller uvilje. En annen utfordring er når de valgte sikkerhetsrutinene eller sikkerhetsløsningen skaper store motsetningsforhold mellom ivaretakelse av den daglige sikkerhet og den ansattes andre arbeidsoppgaver. Gjennom kontinuerlig bevisstgjøring og motivasjon om hvorfor behovet for sikkerhetstiltak, rutiner eller prosesser er til stede, kan det minske sjansen for at ansatte utgjør det svakeste ledd i våre sikkerhetsbarrierer. Slik motivasjon og bevisstgjøring må være en kontinuerlig prosess som skjer i takt med hvordan teknologi, ressurser, risiko og trusler utvikler seg. De potensielle trusselaktørene og deres metoder I dagens globaliserte samfunn finnes det mange ulike aktører som vil kunne ha interesse av informasjon som er sikkerhetsgradert med tanke å beskytte rikets sikkerhet. I følge Politiets sikkerhetstjeneste (PST) har for eksempel fremmede staters etterretning en høy etterretningsaktivitet mot Norge og norske interesser 4. Mange trusselaktører må anses å ha gode menneskelige og teknologiske kapasiteter for slik informasjonsinnhenting. Informasjonssamfunnet har gjort det lettere enn noen gang å samle inn informasjon som kan ha verdi for en trusselaktør. Aktørene trenger ikke lenger nødvendigvis å ha store ressurser for å innhente verdifull informasjon. Informasjon som tidligere kun var tilgjengelig for en trusselaktør ved bruk av store ressurser og ulovlige innhentingsmetoder, kan nå eksempelvis søkes opp på internett, uten at aktøren fysisk trenger å befinne seg innenfor Norges grenser. 4 Politiets sikkerhetstjenestes ugraderte trusselvurdering 2008 (s 4) Side 7 av 29

8 Det er ikke nødvendigvis bare sikkerhetsgradert informasjon som kan være av verdi for en trusselaktør. Selv triviell informasjon kan utnyttes i en prosess for å fremskaffe ytterligere informasjon som er av en helt annen karakter. På samme måte vil mange trusselaktører være i stand til å utnytte uskyldige mennesker som et ledd i å skaffe seg informasjon som utgjør en verdi for deres målsetninger. Norge er et åpent samfunn og mye informasjon er åpent tilgjengelig. Dette gir gode vilkår for fremmede etterretningstjenesters aktiviteter. Kontraetterretningsarbeidet gjøres best ute i hver enkelt virksomhet ved at man er bevisst på etterretningstrusselen, verdien av den informasjon man forvalter, hvordan og med hvem informasjonen deles, og hvordan informasjonen sikres. Politiets sikkerhetstjenestes ugraderte trusselvurdering 2008 En slik innsamling av informasjon kan sammenlignes med å legge et puslespill, hvor de ulike bitene blir innhentet etter en langsiktig plan. Det kan være vanskelig for enkeltindivider som gir fra seg informasjonsbrikker å forstå at de er blitt utnyttet til et slikt formål. Informasjonsinnhenting vil ikke nødvendigvis ha synlige konsekvenser på kort sikt, men informasjonsinnhentingen kan på lang sikt få stor betydning. Bruk av informasjon Innhenting av informasjon Utnytte tillit for mer informasjon Kontakt/utnyttelse av kontakt Små biter med informasjon kan for eksempel gjøre det mulig for en trusselaktør å fremstille seg selv som en insider med lovlig tilgang til informasjon som trusselaktøren er på jakt etter. Ved hjelp av forholdsvis triviell informasjon kan en dyktig trusselaktør manipulere andre mennesker til å tro på den illusjonen som skapes. En slik fremgangsmåte kan beskrives som Social Engineering eller på norsk - menneskelig manipulering. En trusselaktør kan benytte informasjon av liten verdi til å skaffe seg tilgang til informasjon av høyere verdi. Denne sirkelen kan gjentas inntil trusselaktøren har skaffet seg den informasjonen som var målet for aktiviteten. Informasjonen kan til slutt utnyttes til handlinger som ikke er i bedriften eller Norges interesse. Side 8 av 29

9 Informasjonssikkerhet et samspill mellom mennesker og teknologi Som mennesker blir vi blir stadig utfordret av teknologi og nye måter å kommunisere på. Dette øker risikoen for at både enkeltindivider og organisasjoner tar i bruk nye teknologiske løsninger uten å vurdere alle konsekvensene ved å ta den i bruk. Alt for mange snakker om informasjonssikkerhet som om det kun er tekniske utfordringer som må løses. Data- og informasjonssikkerhet i bedrifter og virksomheter er ikke bare brannmurer, passord og antivirusprogrammer. Det er i aller høyeste grad et spørsmål om hvor bevisst organisasjonen og de ansatte er i forhold til å beskytte den informasjonen som bør beskyttes. Den største sikkerhetsrisikoen ligger hos det som befinner seg mellom dataskjermen og kontorstolen - mennesket. Den mest åpenlyse risiko er at personer eller organisasjoner bevisst eller ubevisst publiserer sikkerhetsgradert informasjon på Internett. Slik informasjon har blitt publisert tidligere, og det kommer sannsynligvis til å skje igjen på grunn av menneskets manglende forståelse og sikkerhetsbevissthet. En virksomhets informasjonssikkerhet vil kun være så god som de ansattes sikkerhetsbevissthet og virksomhetens sikkerhetskultur tillater den å være Internett er et medium med et tilnærmet ubegrenset spredningspotensiale av informasjon. Sensitiv informasjon publisert på internett gjør skadepotensialet ekstra stort fordi så mange har tilgang til den. Det er en kjensgjerning at mange aktører jobber aktivt med å samle inn slik informasjon. Hovedsakelig kan dette sees på som helt legal innsamling av informasjon fra åpne kilder. Likevel er ikke all innsamling av informasjonen ønskelig når det skjer fra trusselaktører som etterretnings- og terrororganisasjoner, kriminelle- og hackermiljøer. Når en verdivurdering av hva som publiseres i åpne kilder er mangelfull eller i verste fall ikke er gjennomført, øker muligheten for at sensitiv informasjon kompromitteres. Innsamling eller kartlegging av personlig informasjon fra nettsamfunn kan også være uheldig. Typen informasjon som mange publiserer om seg selv via nettsamfunn er av en slik art den vanligvis ikke ville ha vært allment tilgjengelig. I dag gir mange bort personsensitiv informasjon uten fullt ut å ha tenkt på mulige kortsiktige og langsiktige konsekvenser. Side 9 av 29

10 Hva er nettsamfunn? Nettsamfunn er internettbaserte samlingssteder som gjør det mulig for mennesker å kommunisere med andre ved å utveksle personlig informasjon, meninger, nyheter, bilder, filer m.m. For å bli bruker av de ulike nettsamfunn som tilbys på internett må den enkelte i de aller fleste tilfeller registrere seg hos tilbyder/eier av nettsamfunnet. Ved å opprette en personlig profil og knytte til seg andres profiler dannes store sosiale sosialt nettverk med store mengder av personlig informasjon. Fremveksten av nettsamfunn har vært økende og det finnes i dag et utall av tjenester som enkeltpersoner kan bli en del av. Tjenestene er i de fleste tilfeller gratis og det eksisterer i dag mange ulike nettsamfunn for ulike målgrupper i forhold til bruks- og interesseområde, aldersegment og språk m.m. Bak mange av tjenestene befinner det seg ofte sterke markedsinteresser og flere av nettsamfunnene er i større grad i ferd med å kommersialiseres. Noen norske nettsamfunn* Noen internasjonale nettsamfunn* Nettby Facebook Blink Linkedin Biip MySpace Zyphnet Twitter Alias YouTube Mygeolog Orkut ME Flickr Gaysir Moshimonsters Smootown *Pr. 30. Mars 2008 I tillegg kan man delvis definere tjenester som MSN, IRC og andre som nettsamfunn. Dette er typiske tjenester hvor brukeren ofte opptrer forholdsvis anonymt, men hvor man også kan opptre med fullt navn dersom man ønsker det. Noen av de mest populære nettsamfunn i Norge i dag, er nettsamfunn som oppfordrer brukeren til å opptre som seg selv med fullt navn og påfølgende personlig informasjon av ulik art. Dette skjer i tråd med en samfunnsutvikling hvor det i langt større grad enn tidligere er viktig å bli sett av andre, ha mange venner, være populær osv. Nettsamfunn er et verktøy hvor dette kan oppnås. Utklipp fra nettsamfunnet Alias (sol.no) Side 10 av 29

11 Utvikling av nettsamfunn Kommunikasjon i sosiale nettverk på internett har utviklet seg fra en form hvor de aller fleste brukerne har opptrådt forholdsvis anonymt med såkalte nick (kallenavn). Utviklingen har gått videre til tjenester hvor det har vært noe variasjon hos brukerne mellom å presentere seg selv med eget navn eller å fortsatt bruke anonyme nick. De siste årene har trenden endret seg drastisk ved at de mest populære tjenestene på mange måter forutsetter at brukerne opptrer som seg selv. Mye av den sosiale kommunikasjonen som har skjedd i den virtuelle verden har vært av en slik art at informasjonsutvekslingen tidligere kunne oppleves som ufarlig da informasjonseierne opptrådte anonymt. Denne situasjonen har endret seg når brukerne begynner å opptre som seg selv i den virtuelle verden. Mange brukere opplever det tryggere å oppgi slik informasjon i den virtuelle verden, mens de aldri ville ha oppgitt slik informasjon i virkeligheten. Informasjonen som tilbys andre er nå identifiserbar opp i mot enkeltpersoner på en måte som gjør det forholdsvis enkelt å utnytte slik informasjon til uønskede handlinger. Ta de samme forhåndsregler på nettet, som du ville ha gjort i den virkelige verden Flere av nettsamfunnene er i ferd med å kommersialiseres ved at informasjonen som samles i nettsamfunnene gjøres tilgjengelig for ulike kommersielle aktører som kan skreddersy ulike tilbud til brukerne, basert på deres personlige informasjon. Mange bedrifter og organisasjoner har også tatt i bruk nettsamfunn som en profilerings- og informasjonskanal til mulige kunder. Dagens nettsamfunn tilfredsstiller sannsynligvis også deler av den menneskelige nysgjerrigheten ved at den vekker en interesse for hva ens venner, kollegaer og naboer skriver om seg selv og sine liv. Nettsamfunnene har også et fellestrekk ved at man ikke direkte kan få ta del i informasjonen, før en selv er blitt medlem i nettsamfunnet. Her stilles den nye brukeren ovenfor en del utfordringer i form av hva man selv skal legge ut om seg selv i sin profil på nettsamfunnet. Da nye brukere på et slikt tidspunkt sannsynligvis ikke er godt kjent med nettsamfunnet er det grunn til å anta at iveren etter å komme i gang er sterkere enn lysten til å sette seg inn i nettsamfunnets sikkerhetsinnstillinger og policy. Fenomenet Facebook et godt eksempel Nasjonal sikkerhetsmyndighet er på ingen måte i mot nettsamfunn. Nettsamfunn er tjenester som er kommet for å bli. Samtidig som de kan være til glede og til hjelp med å kommunisere med andre mennesker, krever det etter vår oppfatning en særdeles bevissthet fra brukeren om hvor mye personsensitiv informasjon han/hun ønsker å publisere om seg selv. Nasjonal sikkerhetsmyndighet har i sitt arbeid med bevisstgjøringen om denne utfordringen hatt et ekstra fokus rettet mot nettsamfunnet Facebook. Det har vært to årsaker til denne interessen. Side 11 av 29

12 Popularitet og utbredelse hos norske brukere. Facebook gir brukeren stor frihet til å utlevere personsensitiv informasjon. Facebooks raskt økende popularitet hos norske brukere førte nok til et visst press for ikkemedlemmer om å melde seg inn for å treffe venner eller bekjente som allerede hadde tatt i bruk tjenesten. Det er grunnlag for å hevde at mange av de som ble medlemmer av Facebook aldri tidligere hadde brukt lignende sosiale verktøy eller andre nettsamfunn. Allerede under registreringen for å opprette en Facebook profil blir bevisstheten om hvor mye og hva slags informasjon den enkelte er ønsker å gi fra seg, satt på prøve. I Facebook er hensikten at brukeren skal opptre som seg selv, da hovedhensikten er å finne, gjenopprette eller opprettholde kontakt med personer man allerede har hatt en eller annen sosial kontakt med tidligere. Mulighetene for å bli funnet av andre man kjenner øker selvsagt når brukeren oppgir fullt navn i stedet for et anonymt kallenavn. De aller fleste nettsamfunn tilbyr den enkelte bruker muligheten til å begrense hvem som kan få tilgang til deres personlige informasjon. Mange velger allikevel ikke å benytte seg av denne muligheten. Ved å begrense hvem som kan få tilgang til informasjon vil heller ikke brukeren bli oppdaget av personer man gjerne ønsker kontakt med. Det har også forekommet hendelser hvor slike brukerdefinerte begrensninger ikke har fungert og andre brukere på grunn av feil har fått tilgang til andres brukerkontoer. Facebook har også gitt uttrykk for at Public Search Listings vil bli gjort tilgjengelig for søkemotorer som Google, Yahoo osv. Dette medfører at det blir mulig for personer som ikke er brukere av Facebook å søke etter brukere av tjenesten. Hva som vil kunne vises av informasjon vil være avhengige av hvilke brukerdefinerte begrensninger den enkelte har satt opp. Sikkerhetsmessig risiko ved nettsamfunn Bruken av personlig informasjon på internett skaper ikke bare en rekke utfordringer i forhold til sikkerhet, men også andre utfordringer som det kan være verdt å tenke på for hver enkelt bruker. Internett og nettsamfunn har gitt oss mulighet til å dele vårt privatliv med veldig mange mennesker. Da bør vi også gjøre en vurdering om hvorvidt vi ønsker at alle med tilgang til internett skal ha fullt innsyn i informasjonen Den informasjonen den enkelte bruker av et nettsamfunn velger å legge ut om seg selv vil kunne brukes i mange sammenhenger som ikke nødvendigvis vil være til brukerens beste. Flere samfunnsaktører har påpekt at informasjonen fra nettsamfunn gjør det lettere å begå identitetstyveri med de konsekvenser det vil medføre for de som blir utsatt for dette. Det er flere eksempler på at triviell informasjon på nettsamfunn benyttes til å begå straffbare handlinger mot de som har valgt å legge ut informasjonen. Mange blir sårbare for sosial manipulering fra aktører som er villige Side 12 av 29

13 til å utnytte informasjon til f. eks å begå kriminelle handlinger. Den norske personvernlovgivningen gir retningslinjer på hvordan personopplysninger skal håndteres og beskyttes, men hvor godt beskytter den enkelte sin egen personlige informasjon? Datatilsynet var tidlig ute med anbefalinger om hvordan enkeltpersoner selv må beskytte sin personlige informasjon når de deltar i nettsamfunn 5. De påpeker viktigheten av å ivareta sitt eget personvern, og å respektere andres. Et system som bygger på virtuelle relasjoner og som gir mennesker anledning til å samle og spre informasjon, øker risikoen for at gradert eller sensitiv informasjon havner i feil hender. Når organisasjoner og deres ansatte ikke er bevisst verdien av informasjonen som legges ut på nettsamfunn, øker risikoen for at sikkerhetsgradert informasjon blir offentliggjort. En person eller en organisasjons omdømme vil også være relevant å tenke på i en slik forbindelse. Det finnes mange eksempler på organisasjoner og bedrifter som via grupper i nettsamfunn fremstår som om de har opprettet en offisiell informasjonskanal i et nettsamfunn uten at de har gjort det. Ofte er det er initiativrike ansatte som har opprettet gruppen hvor mange andre ansatte i bedriften melder seg inn i samme gruppe og hvor de fremstår som bedriftens ansikt utad. NSM har sett flere eksempler der medlemmene av slike grupper i et nettsamfunn kommuniserer med hverandre som om de skulle befinne seg på bedriftens intranett. Dette kan fort medføre et tap av omdømme for bedriften, eller i verste fall lekkasjer av bedriftssensitiv informasjon. I dagens informasjonssamfunn har stort sett all informasjon en eller annen form for verdi. Denne verdien er varierende ut i fra hvilke behov informasjonsbrukeren har for informasjonen, og dens bruksområder kan være av både positiv eller negativ karakter. Manglende bevissthet i forhold til informasjonens verdi påvirker hvor godt man beskytter den. En av de viktigste oppgavene er derfor å identifisere den informasjonen som er av en slik verdi at den trenger beskyttelse. Det er dette som er verdivurdering. Internett har gjort det mulig at informasjon som tidligere var tilgjengelig for en mindre gruppe, i praksis nå er tilgjengelig for hele verden. Dette er selvsagt et gode for et åpent og inkluderende samfunn, men det skaper også utfordringer i forhold til å beskytte informasjon, uansett om det er ens egen private informasjon eller bedriftens informasjon der man er ansatt. Informasjon som blir presentert via nettsamfunn kan gjøre det forholdsvis enkelt for trusselaktører og andre interesserte å: Gjennomføre en detaljert kartlegging av virksomheter og bedrifters organisering. Overvåke hva som skjer i virksomheten Ta pulsen på hva som skjer. Finne teknologiske svakheter og benytte disse til ytterligere informasjonsinnhenting. Samle og utnytte den informasjonen som blir publisert. 5 Hvordan tenke personvern i Facebook? Datatilsynets hjemmesider publisert Side 13 av 29

14 Finne ansatte som har tilgang til sikkerhetsgradert informasjon. Kartlegge de ansattes personlige svakheter. Teste sårbarheter. Personlig risiko Det finnes i dag mange kilder til informasjon om enkeltpersoner som er tilgjengelig via offentlige og private kilder. Den tilgjengelige informasjon er som regel av en slik art at det må anses å være forholdsvis generelle personopplysninger om den enkelte. Personlig informasjon av sensitiv art vil derimot vanskelig kunne fremskaffes av andre gjennom offentlige registre eller andre kilder. Det finnes få andre kilder til slik informasjon enn nettopp fra oss selv. Hver og en av oss bør vurdere om vi er komfortable med at slik type informasjon er tilgjengelig for andre ved at vi selv publiserer den på nett. Navn Fødselsnummer Fødested Bosted Yrke Yrkeserfaring Bilder av seg selv/andre Utdanning Politisk ståsted Sivilstatus Mulige seksuelle preferanser Religion Fremtidsplaner Arbeidsgiver Stilling Ansvar Arbeidsoppgaver Fritidsinteresser Familiens identitet Venners identitet Kollegaers identitet Reisevirksomhet Indirekte beskrivelse av egen helse Organisasjonsvirksomhet Mobiltelefonnummer E-post adresse Ønsker/drømmer Indirekte beskrivelse av økonomi Slik NSM opplever informasjonsmengden hos brukerne av nettsamfunn, er det ikke uvanlig å se brukerprofil på nettet som omfatter følgende personlige forhold: Ville vi ha oppgitt e-post adresse, sivilstatus, religion, politisk ståsted, stilling, arbeidsoppgaver, arbeidsgiver, utdanning, familie, venner, kjærester, reise og fritidsinteresser, drømmer og følelsesliv til en person vi tilfeldigvis møtte på gaten? Sannsynligvis er det få som ville ha vært komfortable med dette. Likevel er det mange som nettopp utleverer slik informasjon frivillig via sine profiler på nettsamfunn. Selv om denne personlige informasjon samlet, eller delt, kan sees på som triviell eller ha liten betydning, kan den lett utnyttes av en trusselaktør, dersom profileieren eller arbeidsgiveren vurderes til å være av interesse for dem. Vi kan si at også trusselaktører Side 14 av 29

15 bedriver verdivurderinger av personer som antas å ha størst effekt eller nytteverdi i form av informasjonsinnhenting. En vurdering av hva slags informasjon en person kan fremskaffe Lav verdi Triviell informasjon Bakgrunns informasjon Et mål om å skaffe ytteligere i informasjon som er av større verdi Kan utnyttes eller manipuleres til å begå direkte handlinger Middels verdi Større informasjonstillgang Informasjon om systemer eller prosesser som kan utnyttes direkte Kan utnyttes eller manipuleres til å begå direkte handlinger Høy verdi Direkte tilgang til informasjon av høy verdi som er aktørens mål Kan utnyttes eller manipuleres til å begå direkte handlinger kan bestå av mange elementer som igjen vil variere i forhold til hvilke mål en trusselaktør måtte ha. Informasjon om virksomheter, organisasjoner, bedrifter eller enkeltpersoner blir spesielt en sikkerhetsrisiko når personer kobler sammen sin personlige informasjon sammen med informasjon om hvem de arbeider for, hvor de arbeider og hva de arbeider med. Når informasjon som fremskaffes blir koblet sammen med annen tilgjengelig informasjon fra åpne kilder kan summen om hva som kan fremskaffes av informasjon om en enkelt person bli meget høy. Dersom trusselaktøren også benytter ulovlige metoder for å innhente informasjon øker selvsagt mengden ytterligere. Betrodde ansatte blir synlige via nettsamfunn Mennesker som forvalter sikkerhetsgradert informasjon er den gruppen som kan forårsake størst skade ved, indirekte eller direkte, kompromittere sikkerhetsgradert informasjon. Vi skal ikke gå så mange år tilbake i tid før de aller fleste av de som arbeidet med sikkerhetsgradert informasjon utgjorde en forholdsvis anonym masse av arbeidstakere som kun var kjent av arbeidsgiver, ligningskontoret og enkelte andre offentlige etater. Telefonkatalogen fortalte den gang som nå, telefonnummer og adresse, men den avslørte ikke direkte hvem som arbeidet med sikkerhetsgradert informasjon i det norske samfunnet. Det gjorde heller ikke andre åpne kilder. Dagens situasjon er endret. Et stort antall mennesker som daglig arbeider med sikkerhetsgradert informasjon har gjennom sin deltakelse i nettsamfunn gjort seg synlige og Side 15 av 29

16 det at de arbeider med sikkerhetsgradert informasjon. Disse kan ha informasjonstilgang som gjør dem interessante for trusselaktører. Informasjon fra nettsamfunn kan lett benyttes til kartlegging av bedrifter, virksomheter, fagmiljøer, organisasjoner, yrkesgrupper og enkeltpersoner. Vi kan dele en slik informasjonsutnyttelse i to deler: Den digitale informasjonsutnyttelse er å benytte teknologi til ytterligere å fremskaffe informasjon eller å bruke informasjonen som allerede er fremskaffet til å nå sine mål. Den analoge informasjonsutnyttelse er å benytte informasjonen man allerede besitter til fysisk å opprette kontakt med en person man vil utnytte til informasjonsinnhenting. Digital informasjonsutnyttelse Den digitale utnyttelse er for eksempel å benytte den elektroniske informasjonen til å manipulere en person til å senke sin sikkerhetsmessige bevissthet på en slik måte at det gjør det enkelt å gjennomføre ytterligere informasjonsinnhenting. Dette kan utføres på mange måter. Både kortsiktige og langsiktige metoder kan tas i bruk. NSM har gjennom sitt arbeid sett at ulike aktører nå i større grad benytter målrettede dataangrep. (rettet mot ett eller flere mål). Der de tidligere forsøkte og nå så mange som mulig med et angrep, forekommer det nå flere angrep rettet mot enkeltindivider ved hjelp av spesiell, designet ondsinnet kode som eksempel en trojaner. Trusselaktøren er i stor grad avhengig av at mottakeren åpner et vedlegg i en tilsendt e-post eller følger en vedlagt link til et annet nettsted. Når mottakeren allerede er manipulert til å kunne stole på avsenderen, senkes mottakerens sikkerhetsbevissthet og det er enklere for trusselaktøren å nå sitt mål. Side 16 av 29

17 Trojaner En trojaner er ondsinnet programvare som ofte blir benyttet til å stjele sensitiv informasjon fra intetanende ofre. Målrettede trojanere rammer som regel en liten og klart definert målgruppe. Ettersom den ondsinnede koden er skreddersydd for et spesifikt angrep mot en begrenset målgruppe, vil angrepskoden sjelden oppdages og analyseres av sikkerhetsselskapene. Dette fører til at antivirusløsninger ikke vil kunne detektere koden. Informasjonen som stjeles kan være av personlig, kommersiell eller økonomisk art, og kan ramme både enkeltpersoner og bedrifter. Angriperen infiserer vanligvis maskiner ved å sende trojanere som et vedlegg i en e-post, eller ved å sende lenker til websider med ondsinnet kode. Målrettede trojanere forsøker å infisere bestemte maskiner som inneholder sensitiv informasjon som angriperen er på jakt etter spesielt. Dette kan for eksempel være personlige datamaskiner tilhørende viktige personer i en bedrift. Antivirus- og brannmurprodukter gir begrenset beskyttelse mot trojanere, ettersom trojanere ofte er skreddersydd for å unngå å bli oppdaget av disse produktene. Når en trojaner infiserer en brukermaskin kjører den stille i bakgrunnen uten at det er mulig for brukeren å oppdage uregelmessigheter. Trojaneren har som regel tilgang til alle ressurser som brukeren har rettigheter til. NSM/NORCERT, 2008 Ved Universitetet i Indiana (IU) har de ved sin forskning 6 påvist hvordan personlig informasjon fra nettsamfunn kan utnyttes til å fremskaffe informasjon som kan utnyttes videre. Hele 16 % av de som mottok en e-post fra en ukjent avsender ga fra seg private brukernavn og passord. Dette er kanskje et bekymringsfullt tall i seg selv, men hva skjedde når e-posten kom fra en som de trodde de kjente? Da ga hele 72 % fra seg private brukernavn og passord. Andre forsøk har støttet opp under resultatet. Ved West Point Military Academy i USA lot hele 80 % av 400 kadetter seg manipulere ved hjelp av en e-post fra en offiser som ikke en gang fantes. Slik manipulering øker sjansen for at målrettede dataangrep kan lykkes. Analog informasjonsutnyttelse Den analoge informasjonsutnyttelsen er å utnytte den tilgjengelige personlige informasjonen til å ta direkte kontakt med en person som både har interessant informasjon og som fremstår som et passende objekt. Den personlige informasjonen kan gjøre det enkelt for en profesjonell trusselaktør å tilnærme seg og knytte kontakt med en person. Potensielle menneskelige svakheter aktualiseres og forsterkes ved at vedkommende legger ut detaljert personlig informasjon om seg selv. Slik informasjon kan lett utnyttes til Hvordan vet du at en person som du aldri har møtt eller snakket med ansikt til ansikt egentlig er din venn? 6 Social Phishing School of Informatics Indiana University Bloomington December Side 17 av 29

18 manipulering, press, trusler eller direkte vervingsforsøk. Dette kan utføres på mange måter, både kortsiktige og langsiktige metoder kan tas i bruk. Eksempel: Ola Nordmann er interessant for en trusselaktør gjennom tjenestestilling og informasjonstilgang. For trusselaktøren har Ola tilgang til informasjon som for dem har stor betydning. Ola Nordmann gir via sin profil i nettsamfunnet sterkt uttrykk for at hans aller største drøm i livet er å ha økonomisk frihet til å ta med familien på jordomseiling. For en trusselaktør kan spørsmålet være enkelt. Hva er Ola Nordmann villig til å gjøre for at denne drømmen skal gå i oppfyllelse? For trusselaktører kan det finnes mange metoder som kan benyttes på å få svar på et slikt spørsmål. De kan benytte metoder som beskrevet under digital informasjonsutnyttelse eller de kan nærme seg Ola Nordmann direkte ved personlig kontakt. De kan selv velge om de vil gå kort- eller langsiktig til verks. Når trusselaktøren bestemmer seg for å se hvor langt Ola er villig til å gå, ved for eksempel å tilby ham penger i bytte mot sikkerhetsgradert informasjon utsettes Ola for en test av sin lojalitet og pålitelighet i forhold til å beskytte den graderte informasjonen. De aller fleste av oss ville nok ha respondert negativt på en slik henvendelse. Noen måtte tenke seg nøyere om før de svarte, og noen ytterst få ville ha takket ja til et slikt tilbud. Dette er bare en metode som en trusselaktør kunne tenkes å bruke. I en forebyggende sammenheng vil det aller beste være at ingen som befatter seg med sikkerhetsgradert informasjon ble utsatt for slike situasjoner hvor deres lojalitet og pålitelighet settes på prøve. I eksempelet burde Ola ha tenkt seg bedre om før han kombinerte jobbrelatert informasjon som vekker trusselaktørens interesse med en personellsikkerhetsmessig svakhet drømmen om jordomseiling. Dersom denne informasjonen ikke hadde vært så lett tilgjengelig som den kan bli ved nettsamfunnsdeltagelse, ville en slik oppmerksomhet fra en trusselaktør vært mindre trolig. Flere samfunnsaktører og organisasjoner har påpekt mulige negative konsekvenser ved uvettig deltakelse i nettsamfunn. Generelle personvernårsaker, profesjonalitetshensyn og ikke minst muligheten for tap av omdømme gjør at mange burde tenke seg bedre om før de blir innbygger av et nettsamfunn. Den enkelte bør ikke overlates alene til å skulle foreta vurderingene om hva slags arbeidsrelatert informasjon som bør publiseres. Dette er et lederansvar uansett om man arbeider i privat- eller statlig sektor. Bedrifts- og virksomhetsledere må kunne være i stand til å gi råd og veiledning om hvordan virksomhetsrelatert informasjon skal behandles i forhold til ulike nettverkssamfunn. Bedrifter og virksomheter bør også gi råd til sine ansatte om hvordan de bør vurdere sin personlige informasjon som publiseres i nettsamfunn. Side 18 av 29

19 Anbefalte tiltak for virksomhetens ledere Hva er det i virksomheten, organisasjonen eller bedriften som gjør at det er et behov for å beskytte informasjon? Dette er et av de første spørsmål som en virksomhet, organisasjon, eller bedrift må vite svaret på før de kan vurdere hvordan de skal forholde seg til sine ansattes deltakelse på nettsamfunn. Ta lederansvar! De sikkerhetsmessige konsekvenser av den teknologiske utviklingen som nettsamfunn er en del av, lar seg ikke stanse ved å forby eller nekte de ansatte å bruke f. eks Facebook i arbeidstiden eller på arbeidsgiver datautstyr. Ledere må interessere seg for og forstå hvilke utfordringer deres virksomhet står ovenfor Nettverkssamfunn stiller store krav til brukeren. Dersom virksomheter og deres ansatte ikke er bevisst verdien av informasjonen som legges ut på slike sider, øker risikoen for at sikkerhetsgradert informasjon eller forretningshemmeligheter blir offentliggjort. Den samme risikoen er til stede dersom virksomhetene og de ansatte ikke er bevisste i forhold til hvordan personlig informasjon kan utnyttes til indirekte eller direkte å kompromittere sikkerhetsgradert informasjon. Fortløpende vurderinger og oppfølging NSM anbefaler at virksomhetene foretar en verdivurdering av hva slags informasjon som er av en slik art at den bør eller skal beskyttes. En slik vurdering vil også gi virksomhetene en oversikt over hvem av de ansatte som behandler sikkerhetsgradert eller beskyttelsesverdig informasjon i organisasjonen. NSM anbefaler at virksomhetene gjør seg opp en mening om hvilke trusselaktører som vil kunne utvise uønsket interesse for informasjonen som de skal beskytte. NSM anbefaler at virksomhetene undersøker hva som er publisert om virksomheten på nettsamfunn i dag. Med dette som bakgrunn bør virksomhetene gjøre en vurdering av hvilke tiltak som bør iverksettes for å bedre dagens situasjon og den sikkerhetsmessige utfordringen som de kan ha. Virksomhetene bør vurdere å utarbeide en egen policy for hvordan de ansatte skal forholde seg til arbeidsrelatert informasjon i nettsamfunn. Endring av sikkerhetsmessig adferd hos ansatte Virksomheter bør skape en så god sikkerhetsmessig bevissthet som mulig hos sine ansatte. Den ansatte bør ikke være i tvil om hva som kan og ikke kan publiseres på nettet av arbeidsrelatert informasjon. Samtidig bør den enkelte bevisstgjøres i forhold til hvordan personlig informasjon kan utnyttes av andre. Målet med en økt sikkerhetsbevissthet er å endre adferd som igjen vil forbedre virksomhetens sikkerhetstiltak. Virksomhetene bør vurdere om dette er noe som kan gjøres med de samme virkemidler for hele organisasjonen, eller om det må tas ulike hensyn til avdelingers ulike arbeidsoppgaver og ulike behov for sikkerhet. Side 19 av 29

20 Flere virksomheter har utarbeidet egne interne retningslinjer som regulerer de ansattes omgang med arbeidsrelatert informasjon på nettsamfunn. Nasjonal sikkerhetsmyndighet har selv slike interne retningslinjer som er vedlagt 7 i dette temahefte. Våre interne retningslinjer er etablert gjennom dialog mellom de ansatte og deres representanter. Dette styrker ikke bare medbestemmelsesretten, men blir også en garanti for at kunnskap og forståelse for problemstillingene spres i organisasjonen. NSM vil påpeke at våre retningslinjer ikke nødvendigvis er overførbare til andre organisasjoner, bedrifter eller virksomheter. Det er virksomhetens egen verdivurdering som må legges til grunn for slike retningslinjer. Å endre sikkerhetsmessig adferd er ikke en enkel oppgave. Mye avhenger av hvilke virkemidler som tas i bruk. Å henvise til lovens formelle krav om sikkerhetstiltak er ikke nødvendigvis det beste utgangspunkt for å motivere sine ansatte. NSM anbefaler virksomhetene å informere sine ansatte så mye som mulig om følgende punkter: Informasjon om hva som er beskyttelsesverdig i organisasjonen. Informasjon og kunnskap om konsekvensene dersom informasjonen skulle kompromitteres eller misbrukes. Informasjon om trusselaktørene. Hvordan de kan tenkes å arbeide og hvorfor de kan være interessert i organisasjonens beskyttelsesverdig informasjon. Informasjon og kunnskap om hvordan nettsamfunn kan utgjøre en sikkerhetsrisiko mot informasjonen som skal beskyttes. Informasjon og kunnskap om hvordan informasjon av liten verdi kan benyttes til å fremskaffe informasjon av høy verdi (social engineering). 7 Retningslinjer for NSM ansattes deltakelse i og på nettsamfunn, diskusjonsforum.. NSM, 2007 Side 20 av 29

21 Kunnskap Adferd Informasjon Motivasjon Informasjon og kunnskap er noe som til stadighet bør fornyes. Virksomhetene bør derfor søke å bevisstgjøre sine ansatte regelmessig. NSM minner også om at sikkerhetstrusler og risiko er i stadig endring. De forebyggende sikkerhetstiltak må stå i stil til den reelle situasjon virksomheten befinner seg i. Gjennom informasjon og kunnskap skapes forståelse og motivasjon, som igjen vil påvirke den enkeltes sikkerhetsadferd Anbefalte tiltak for enkeltpersoner Hva er du komfortabel med at alle andre kan få vite om deg? Mye av den informasjonen mange presenterer i en profil på et nettsamfunn kan direkte og indirekte fortelle mye om deg som person på godt og vondt. Å kommunisere med andre på nettet kan være utfordrende. Du vet ikke alltid hvem du faktisk kommuniserer med. Mangel på fysisk tilstedeværelse kan skape en falsk trygghetsfølelse som hver og en av oss bør tenke over før vi utleverer for mye om oss selv. På samme måte som vi advarer barn og unge mot ikke å utlevere for mye informasjon om seg selv på nett eller i andre sammenhenger, bør vi som voksne være klar over at det også for voksne finnes sikkerhetsutfordringer ved å ferdes på nett. Hva slags tiltak kan du selv treffe for ikke å utlevere for mye informasjon om deg selv på internett og nettsamfunn: Ta dagslystesten. Se på informasjonen (bilder, tekst og video) du har tenkt å legge ut på din profil. Spør deg selv om du kan stå inne for denne informasjonen ovenfor din nærmeste familie, venner, kjærester, arbeidskollegaer og arbeidsgiver. Dersom svaret ditt er nei, bør du kanskje ikke publisere informasjonen. Husk at internett er en søkbar informasjonskilde for alle. Husk at mange internettjenester knytter sammen informasjon om deg og gjør det lett tilgjengelig for andre. Side 21 av 29

22 Gi aldri bort tilgang til egne e-postadresser, brukernavn og passord. Begrens den personlige informasjonen du legger ut om deg selv. Tenk langsiktig. Kontroller nettsamfunnet du har tenkt å delta i. Les deres policyregler for håndtering av personinformasjon, spesielt hvordan de sprer slik informasjon, til hvem og med hvilken hensikt de deler den med andre. Kontroller at egenpublisert informasjon kan slettes dersom du ønsker det. Husk at informasjonen likevel kan lagres andre steder utenfor din kontroll. Kontroller hva slags informasjon som kreves av deg for å bli medlem av et nettsamfunn og hva slags informasjon du eventuelt kan velge bort i den innledende registreringen av din profil. Bruk de sikkerhetsinnstillingene som et nettsamfunn tilbyr deg. Gi kun adgang til informasjon om deg selv til de du selv godkjenner. Test sikkerhetsinnstillingene før du tar profilen din i full bruk. Vær skeptisk til fremmede du møter på nettet. En venn er ikke nødvendigvis din venn. Legg ikke ut informasjon om andre uten tillatelse. Legg ikke ut arbeidsrelatert informasjon om din egen arbeidsgiver som ikke er allment tilgjengelig, uten samtykke til dette. Bruk nettsamfunn som et hyggelig verktøy til å holde kontakten med personer som har betydning for deg, men vær bevisst på de utfordringer som er i forhold til informasjonsmengden du publiserer om deg selv og som lett kan utnyttes av andre. Side 22 av 29

23 Oppsummering Nettsamfunn er tjenester som har kommet for å bli, selv om de sannsynligvis kommer til å variere i popularitet og utbredelse. Tjenestene søker hele tiden å forbedre sine tilbud til brukerne, som igjen betyr nye utfordringer som den enkelte må forholde seg til. Trenden ser ut til å bli en ytterligere sammensmelting av nettsamfunn på web og mobile løsninger via den enkeltes mobiltelefon. Nye tjenester og teknologi vil fortsette å utfordre brukernes sikkerhetsbevissthet. NSM anbefaler at sikkerhetsbevissthet ved deltakelse i nettsamfunn gjøres til et tema i autorisasjonssamtalene ved virksomhetene. NSM har sett at økt fokusering og bevisstgjøring av sikkerhetsutfordringer ved nettsamfunn har gitt positive resultater. Mange virksomheter og ansatte ser ut til å ha tatt problematikken på alvor. NSM har observert at flere yrkesgrupper som tidligere hadde en høy grad av synlighet i nettsamfunn, nå er mye mindre synlige. Allikevel er det fortsatt grunn til å påpeke at virksomheter og personer som arbeider med sensitiv og sikkerhetsgradert informasjon bør være bevisste på hvilke sikkerhetsmessige utfordringer nettsamfunn kan utgjøre. Den teknologiske utviklingen vil fortsatt utfordre enkeltindivider og virksomheters sikkerhetsbevissthet. Sikkerhetsbevissthet ditt og vårt ansvar! Side 23 av 29

24 Vedlegg Hvordan tenke personvern i Facebook? Ove Skåra, Datatilsynet, 2007 Mange kaster seg rett ut i aktiv bruk av nettsamfunn uten å sette seg inn i hvordan det virkelig fungerer. Datatilsynet gir noen enkle råd som kan gjøre det enklere å ivareta ditt eget personvern, og respektere andres. Selv om Facebook har lagt opp til et system som i utgangspunktet skal gi brukerne god kontroll over hva de vil dele med hvem, bør man tenke gjennom hvilke opplysninger som er private og hvilke man vil dele med andre. Noen konkrete råd: Undersøk om nettsamfunnet har en personvernpolicy før du melder deg inn. Ta aktiv stilling til den! Sett deg inn i avkrysningsvalg du har for å beskytte dine opplysninger. Ta deg tid til å teste ut hvordan de ulike profilinnstillingene virker i praksis. Gi ikke fra deg hele e-postadresseboka til aktørene bak nettsamfunnet, og i alle fall ikke passordet til din e-postkonto, slik Facebook faktisk oppfordrer til ved registrering. I tillegg til at det er uklokt er det trolig også i strid med de avtalevilkårene du har inngått med leverandøren av din e-postkonto. Benytt en e-postadresse du uten større bryderi kan erstatte dersom du senere skulle oppleve å bli utsatt for spam, eller andre uønskede henvendelser via e-post. Du er selv ansvarlig for all informasjon du legger ut på profilen din. Legg ikke ut bilder eller personopplysninger om andre uten først å ha spurt dem om lov. Vær forsiktig med å legge ut opplysninger om politisk oppfatning, tro og seksuell legning. Dette er i norsk og europeisk personvernlovgivning regnet som sensitive personopplysninger. Det du ikke ville sagt om deg selv eller andre i en større forsamling av kjente og ukjente personer i den fysiske verden, bør du heller ikke publisere på Internett. Opplysninger du gir i fortrolighet til venner på din profil, kan lett bli klippet ut og benyttet i helt andre sammenhenger. 8. Sjekk om de som står bak nettsamfunnet kan bistå deg med å få fjernet krenkende bilder og personopplysninger. Bruk den muligheten om du finner åpenbart krenkende og sjikanerende innhold. Dersom innholdet er så ekstremt at det må fjernes raskt bør du kontakte politiet på hjemstedet ditt. Sjikane, trusler og spredning av andres personopplysninger på Internett kan være straffbart. Straffeloven, åndsverksloven og personopplysningsloven, er tre lover som regulerer disse forholdene. Les mer om dette på Her finner du også råd om hvordan du får fjernet uønskede personopplysninger på Internett. Side 24 av 29

25 Det kan også være lurt å reflektere over følgende: Selv om aktørene bak nettsamfunnet tilsynelatende har en god personvernpolicy vet du egentlig ingenting om dem og deres intensjoner i dag, eller i fremtiden. Nettsteder forandrer seg hele tiden, og kan få ny funksjonalitet, finne nye markedsmuligheter eller få nye eiere. Facebook forbeholder seg retten til å endre vilkår og personvernpolicy når som helst. Se derfor for deg muligheten for at de personopplysningene du har lagt ut kan bli utlevert og benyttet til helt andre formål, uten at du kan gjøre noe for å forhindre det. Er det uproblematisk at aktøren bak nettsamfunnet samler inn informasjon om deg også fra andre nettsteder, blogger, chattelinjer, andre brukere mv, slik for eksempel Facebook forbeholder seg retten til å gjøre? Du må regne med at eierne av nettsamfunnet lagrer all informasjon om deg i ubestemt tid, også etter at du har slettet profilen din. Facebook lagrer e-postadressene til alle du har sendt invitasjon til, også de som velger å ikke opprette sin egen profil. De må faktisk selv sende en forespørsel til Facebook om å få sin e-postadresse slettet. Er det riktig av deg å utlevere andres e-postadresser på denne måten? Husk at det blir dannet detaljerte profiler som sier svært mye om deg, og dine venners interesser og adferd, og ikke minst også relasjonene dere i mellom. Dette er informasjon som kan være svært interessant for kommersielle aktører, stalkers, kriminelle og andre. Tåler alt innholdet som du legger ut i profilen din å bli sett av skolens ledelse, arbeidsgiver, politiet eller komplett fremmede personer? Husk at bilder og personopplysningene du legger ut lett kan klippes ut og bli sett av andre langt utenfor din nære vennekrets. Vær forberedt på at det du legger ut av kommentarer og synspunkter i prinsippet blir liggende tilgjengelig på Internett for alltid, også etter at du selv kanskje har endret dine oppfatninger og ståsted. Datatilsynet har, sammen med Utdanningsdirektoratet og Teknologirådet laget en informasjonskampanje for ungdom om personvern, Det er DU som bestemmer. Denne tar opp mange problemstillinger som er relevante nettopp i denne sammenhengen. Mer informasjon finner du på Side 25 av 29

Sosiale nettsamfunn: Datasikkerhet og personvern. Informasjonsdirektør Ove Skåra Vårsymposium Drammen 21. april 2010

Sosiale nettsamfunn: Datasikkerhet og personvern. Informasjonsdirektør Ove Skåra Vårsymposium Drammen 21. april 2010 Sosiale nettsamfunn: Datasikkerhet og personvern Informasjonsdirektør Ove Skåra Vårsymposium Drammen 21. april 2010 You have zero privacy anyway -Get over it Scott McNealy, Sun Microsystems, 1999 19.04.2010

Detaljer

en arena for krig og krim en arena for krig og krim?

en arena for krig og krim en arena for krig og krim? krig og krim Cyberspace Cyberspace en arena for krig og krim en arena for krig og krim? Geir A Samuelsen Direktør - Nasjonal sikkerhetsmyndighet, NSM Geir A Samuelsen Direktør - Nasjonal sikkerhetsmyndighet,

Detaljer

Security Awareness Næringsforeningen 24. Februar 2015 Jens Kristian Roland Ernst Kristian Henningsen

Security Awareness Næringsforeningen 24. Februar 2015 Jens Kristian Roland Ernst Kristian Henningsen Næringsforeningen 24. Februar 2015 Jens Kristian Roland Ernst Kristian Henningsen 1 Agenda Security Awareness Har du slått på den sosiale brannmuren? Demonstrasjoner Manipulert SMS Telefon / rom avlytting

Detaljer

Trusler, trender og tiltak 2009

Trusler, trender og tiltak 2009 Trusler, trender og tiltak 2009 Tore L Orderløkken Leder Norsk senter for informasjonssikring Hvordan kan vi være til nytte? Internett har endret oss Trusselaktører / fienden Trusselaktører Mål Evne

Detaljer

Sikkerhetsmessig verdivurdering

Sikkerhetsmessig verdivurdering For DECRIS 12 juni 2008 Sikkerhetsmessig verdivurdering Stein Henriksen Stab Navn Navnesen stein.henriksen@nsm.stat.no Avdeling www.nsm.stat.no navn.navnesen@nsm.stat.no www.nsm.stat.no 1 Nasjonal sikkerhetsmyndighet

Detaljer

Om søk, sikkerhet og nettvett. All tekst hentet fra HIB, "Digitale ferdigheter"

Om søk, sikkerhet og nettvett. All tekst hentet fra HIB, Digitale ferdigheter Om søk, sikkerhet og nettvett All tekst hentet fra HIB, "Digitale ferdigheter" Søketips Søk på andre språk Norsk er en lite språk på nettet. Det betyr at dersom du kun søker på norsk, så vil du vanligvis

Detaljer

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET OPPGAVER, ANSVAR, OG SIKKERHETSTILSTANDEN Nasjonal sikkerhetsmåned 2014 2 oktober 2014 Kommunikasjonsrådgiver Fredrik Johnsen 1 INNHOLD NSMs ansvars- og arbeidsoppgaver NSMs organisasjon Nyheter Sikkerhetstilstanden

Detaljer

Sikkerhet på nettet. Men internett har også fallgruber: Hackers Identitetstyveri Bedragerier Mobbing Tyveri av datamaskinen Datamaskinhavari Virus osv

Sikkerhet på nettet. Men internett har også fallgruber: Hackers Identitetstyveri Bedragerier Mobbing Tyveri av datamaskinen Datamaskinhavari Virus osv Sikkerhet på nettet Hva finner vi på nettet? Internett har mange gode tilbud. Nedenfor finner du noen av de områder du kan søke informasjon om: Kunst Musikk Historie Vitenskap Filmer Helse/Medisin Spill

Detaljer

Full kontroll? Hva er folk bekymret for, og har de opplevd å miste kontroll over egne personopplysninger?

Full kontroll? Hva er folk bekymret for, og har de opplevd å miste kontroll over egne personopplysninger? Full kontroll? Hva er folk bekymret for, og har de opplevd å miste kontroll over egne personopplysninger? Delrapport 1 fra personvernundersøkelsen 2013/2014 Februar 2014 Innhold Innledning og hovedkonklusjoner...

Detaljer

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper: Geir Martin Pilskog og Mona I.A. Engedal 8. Økende bruk av informasjons- og kommunikasjonsteknologi (IKT) medfører flere utfordringer når det gjelder sikkerhet ved bruken av IKT-system, nettverk og tilknyttede

Detaljer

IKT-reglement for Norges musikkhøgskole

IKT-reglement for Norges musikkhøgskole IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse

Detaljer

Månedsrapport Juni, juli, august 2014

Månedsrapport Juni, juli, august 2014 Månedsrapport Juni, juli, august 2014 Innhold Bakgrunn... 3 Om NorSIS... 3 Slettmeg.no Sommer 2014... 4 Uønskede oppføringer... 6 Krenkelser... 7 Brukerstøtte... 9 De mest vanlige henvendelsene... 10 Trender

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

Full kontroll? - Hva er folk bekymret for og har de opplevd å miste kontroll over egne personopplysninger?

Full kontroll? - Hva er folk bekymret for og har de opplevd å miste kontroll over egne personopplysninger? Full kontroll? - Hva er folk bekymret for og har de opplevd å miste kontroll over egne personopplysninger? Delrapport fra personvernundersøkelsen november 2013 Februar 2014 Innhold Hva er du bekymret for?...

Detaljer

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE INSTRUKS FOR BRUK AV INTERNETT OG E-POST Vedtatt av administrasjonsutvalget i Levanger XX.XX.XXXX Vedtatt av administrasjonsutvalget i Verdal XX.XX.XXXX

Detaljer

Big Data. Dataforeningen, 13. februar 2013 Ove Skåra, informasjonsdirektør

Big Data. Dataforeningen, 13. februar 2013 Ove Skåra, informasjonsdirektør Big Data Dataforeningen, 13. februar 2013 Ove Skåra, informasjonsdirektør Et ufattelig stort hav av data: 90 prosent av verdens data er produsert de to siste årene alene 247 milliarder eposter daglig 193

Detaljer

Personvern bare for voksne?

Personvern bare for voksne? Personvern bare for voksne? Stian Lindbøl Prosjektleder, trygg mediebruk for barn og unge Personvernkommisjonen 6. mars 2008 Kort om trygg bruk-prosjektet Skal fremme trygg bruk av interaktive digitale

Detaljer

Sosiale medier. Et verktøy for oppfølgning av frivillige?

Sosiale medier. Et verktøy for oppfølgning av frivillige? Sosiale medier. Et verktøy for oppfølgning av frivillige? Sosiale medier er en voksende kommunikasjonsform på internett hvor grunnlaget for kommunikasjon hviler på brukerne av de ulike nettsamfunnene.

Detaljer

Anbefalinger om åpenhet rundt IKT-hendelser

Anbefalinger om åpenhet rundt IKT-hendelser Vår saksbehandler Vår dato Vår referanse 2015-05-18 A03 - S:14/04372-24 Antall vedlegg Side 1 1 av 5 Anbefalinger om åpenhet rundt IKT-hendelser Innledning Norske virksomheter opplever stadig flere dataangrep.

Detaljer

NASJONAL SIKKERHETSMYNDIGHET. Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE

NASJONAL SIKKERHETSMYNDIGHET. Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE NASJONAL SIKKERHETSMYNDIGHET Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE INNHOLD Hva er digital spionasje 2 Hvordan kommer de seg inn i systemet 3 Forebyggende tiltak

Detaljer

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET 1 NASJONAL SIKKERHETSMYNDIGHET 2 Sammendrag 3 Sammendrag_ Nasjonal sikkerhetsmyndighet Risiko 2015 gir en vurdering av sårbarheter i sam funnet, verdier som er verdt å beskytte og risiko for spionasje,

Detaljer

RETNINGSLINJER FOR BRUK AV SOSIALE MEDIER. Aktivitet i sosiale medier applauderes! Bare husk på hvor du jobber Oslo, november 2014

RETNINGSLINJER FOR BRUK AV SOSIALE MEDIER. Aktivitet i sosiale medier applauderes! Bare husk på hvor du jobber Oslo, november 2014 RETNINGSLINJER FOR BRUK AV SOSIALE MEDIER Aktivitet i sosiale medier applauderes! Bare husk på hvor du jobber Oslo, november 2014 RETNINGSLINJENE I KORTE TREKK Vær gjerne aktiv i sosiale medier, men ikke

Detaljer

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET 1 NASJONAL SIKKERHETSMYNDIGHET 2 Sammendrag Nasjonal sikkerhetsmyndighet Risiko 2015 gir en vurdering av sårbarheter i sam funnet, verdier som er verdt å beskytte og risiko for spionasje, sabotasje, terror

Detaljer

Saksbehandler: Rigmor J. Leknes Tlf: 75 10 10 12 Arkiv: 033 Arkivsaksnr.: 11/2292-25

Saksbehandler: Rigmor J. Leknes Tlf: 75 10 10 12 Arkiv: 033 Arkivsaksnr.: 11/2292-25 VEFSN KOMMUNE Saksbehandler: Rigmor J. Leknes Tlf: 75 10 10 12 Arkiv: 033 Arkivsaksnr.: 11/2292-25 NETTVETT Nettvettregler for e-post Slett mistenkelig e-post Ikke svar på eller følg oppfordringer i spam

Detaljer

Det er forventet at du forandrer størrelsen på bilder før du laster dem opp, og ikke endrer størrelsen på dem på siden. Dette har 3 fordeler:

Det er forventet at du forandrer størrelsen på bilder før du laster dem opp, og ikke endrer størrelsen på dem på siden. Dette har 3 fordeler: BETINGELSER OG VILKÅR Lagewebside.no er underlagt disse betingelser og vilkår. Ved å bruke nettsiden og deres funksjonaliteter sier du deg enig i de følgende vilkårene, fra første gang du oppretter en

Detaljer

OVERSIKT SIKKERHETSARBEIDET I UDI

OVERSIKT SIKKERHETSARBEIDET I UDI OVERSIKT SIKKERHETSARBEIDET I UDI Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument

Detaljer

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt».

Dersom du har noen spørsmål eller kommentarer, ikke nøl med å kontakte oss ved «Kontakt». Personvern vilkår Om Velkommen til Hoopla, Hoopla AS ( Selskapet, Vi og/eller Vår ) gjør det mulig for mennesker å planlegge, promotere og selge billetter til et Arrangement. Vi gjør det enkelt for alle

Detaljer

Sikkerhet og internett. Kan vi være vi trygge? Kan vi beskytte oss? Bør vi slå av nettet

Sikkerhet og internett. Kan vi være vi trygge? Kan vi beskytte oss? Bør vi slå av nettet Sikkerhet og internett Kan vi være vi trygge? Kan vi beskytte oss? Bør vi slå av nettet Stoler du på denne mannen? 28.01.2009 Om sikkerhet på Internettet ved Hans Nordhaug 2 Jepp Derfor fant du i januar

Detaljer

REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR

REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR Vedtatt av styret for Høgskolen i Finnmark 25. april 2007 i sak S 19/07 1. ANVENDELSE Dette reglement gjelder for all bruk av Høgskolen i Finnmarks (HiF) IT-system.

Detaljer

15. mai 2014. Månedsrapport. april 2014. Statusrapport Slettmeg.no april 2014. Side 1 av 9

15. mai 2014. Månedsrapport. april 2014. Statusrapport Slettmeg.no april 2014. Side 1 av 9 Månedsrapport april 2014 Side 1 av 9 Innhold Om NorSIS Slettmeg.no april 2014 Aktuelle problemstillinger Side 2 av 9 Bakgrunn Dette er en kort oppsummering av hva vi har sett i løpet av april 2014. For

Detaljer

Slik stoppes de fleste dataangrepene

Slik stoppes de fleste dataangrepene Slik stoppes de fleste dataangrepene Oktober 2014, Nasjonal sikkerhetsmåned John Bothner Avdeling for Teknologi Nasjonal sikkerhetsmyndighet 1 Agenda 1. De mest populære sikkerhetstiltakene er lite effektive

Detaljer

Hvordan nå ungdom via sosiale medier?

Hvordan nå ungdom via sosiale medier? Hvordan nå ungdom via sosiale medier? Colt Kommunikasjon AS Stiftet 03.12.2006 - Helena Makhotlova -Kommunikasjonsrådgiver i Norges første PRbyrå med spesialisering i sosiale medier - I dag er vi 5 heltidsrådgivere

Detaljer

Håndtering av personlig informasjon

Håndtering av personlig informasjon Håndtering av personlig informasjon Håndtering av personlig informasjon Du kan alltid besøke vår hjemmeside for å få informasjon og lese om våre tilbud og kampanjer uten å oppgi noen personopplysninger.

Detaljer

TRUSSELVURDERING 2008

TRUSSELVURDERING 2008 Politiets sikkerhetstjenestes (PST) årlige trusselvurdering er en analyse av den forventede utvikling innenfor PSTs hovedansvarsområder, med fokus på forhold som kan påvirke norsk sikkerhet og skade nasjonale

Detaljer

UGRADERT TRUSSELVURDERING 2007

UGRADERT TRUSSELVURDERING 2007 Politiets sikkerhetstjeneste utarbeider hvert år en trusselvurdering med beskrivelse av forventet utvikling innenfor PSTs ansvarsområder. Trusselvurderingen som er gradert, bygger på ulike kilder, inkludert

Detaljer

Datasikkerhetserklæring Kelly Services AS

Datasikkerhetserklæring Kelly Services AS SPESIALISTER REKRUTTERER SPESIALISTER Datasikkerhetserklæring Kelly Services AS Innhold Vårt engasjement ovenfor personvern Hvilke personlige opplysninger samler vi inn? Hvem deler vi personopplysninger

Detaljer

IKT-reglement for NMBU

IKT-reglement for NMBU IKT-reglement for NMBU Vedtatt av Fellesstyret for NVH og UMB 23.05.2013 IKT-reglement for NMBU 1 Innhold 1 Virkeområde for NMBUs IKT-reglement... 3 1.1 Virkeområde... 3 1.2 Informasjon og krav til kunnskap

Detaljer

«Dataverdens Trygg Trafikk»

«Dataverdens Trygg Trafikk» Det moderne bankran NOKAS metoden har blitt gammeldags Christian Meyer Seniorrådgiver Norsk senter for informasjonssikring Bevisstgjør om trusler Opplyser om tiltak Påvirker til gode holdninger «Dataverdens

Detaljer

DET DIGITALE TRUSSEL- OG RISIKOBILDET

DET DIGITALE TRUSSEL- OG RISIKOBILDET DET DIGITALE TRUSSEL- OG RISIKOBILDET SIKKERHETSKONFERANSEN DIGIN Kristiansand, 22. september 2015 Roar Thon Fagdirektør sikkerhetskultur Nasjonal sikkerhetsmyndighet 1 Illustrasjon: colourbox.com Trussel-

Detaljer

d ID-Forsikring Forsikringsbevis og forsikringsvilkår

d ID-Forsikring Forsikringsbevis og forsikringsvilkår Forsikringsbevis og forsikringsvilkår d ID-Forsikring Til våre forsikringstakere Her finner du vilkår for din forsikring. Hvilken forsikring og dekning du har valgt fremkommer av ditt forsikringsbevis.

Detaljer

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Felles datanett for kommunene Inderøy, Verran og Steinkjer IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-Trøndelag IKT Brukerstøtte: Tlf: 74 16 93 33 helpdesk@ikt-inntrondelag.no Innhold 1. Innledning... 3 2. Virkeområde... 3 3.

Detaljer

Resultater omdømmeundersøkelse Sørum Kommune. Oktober 2012

Resultater omdømmeundersøkelse Sørum Kommune. Oktober 2012 Resultater omdømmeundersøkelse Sørum Kommune Oktober 2012 Agenda Formål og bakgrunn for undersøkelsen Oppsummering av viktigste funn Hovedtemaer i rapporten Hva er viktigst for de ulike interessegruppene?

Detaljer

STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet. Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no 20.09.2013

STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet. Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no 20.09.2013 STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no 20.09.2013 4 Nasjonal sikkerhetsmåned 6 tema Generell informasjonssikkerhet Beskytte

Detaljer

Retningslinjer for Søgne kommunes tilstedeværelse i sosiale medier:

Retningslinjer for Søgne kommunes tilstedeværelse i sosiale medier: Retningslinjer for Søgne kommunes tilstedeværelse i sosiale medier: Sosiale medier er en arbeidsmåte og kommunikasjonsform. Nettsamfunn og nettaktiviteter basert på brukerskapt innhold, gjør det mulig

Detaljer

Mer på Sosiale medier

Mer på Sosiale medier Mer på Sosiale medier Suksessformel for Nett X * Cr = suksess X = klikk Cr = Conversion rate Suksessen for din nettsatsning bestemmes av forholdet mellom antall mennesker som klikker seg inn på nettsiden

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 2 (U-02) Oppdatert: 2014-02-03 E-post Kryptering av e-postoverføring Beskrivelse av grunnleggende tiltak for sikring av overføring av e-post mellom

Detaljer

Kommunale Kanaler. - En undersøkelse om kommuners bruk av digitale kanaler. www.areca.no 24.11.2010

Kommunale Kanaler. - En undersøkelse om kommuners bruk av digitale kanaler. www.areca.no 24.11.2010 Kommunale Kanaler - En undersøkelse om kommuners bruk av digitale kanaler 24.11.2010 www.areca.no Sammendrag Kommunale Kanaler 2010 Undersøkelsen Kommunale Kanaler er gjennomført i september/oktober 2010.

Detaljer

Bruk av sosiale medier i Agder og Telemark bispedømme

Bruk av sosiale medier i Agder og Telemark bispedømme Bruk av sosiale medier i Agder og Telemark bispedømme Bakgrunn Sosiale medier er blitt en stadig større del av vår hverdag. Vi møter dem både som privatpersoner og som virksomhet. Vi opplever i deler av

Detaljer

H a rd u b arn på. dette trenger du å vite

H a rd u b arn på. dette trenger du å vite H a rd u b arn på sosiale medier? dette trenger du å vite Barn og unge lærer, leker og utforsker verden gjennom internett, mobiltelefon og nettbrett. De deler bilder, video, musikk, informasjon og tanker

Detaljer

Kort innføring i personopplysningsloven

Kort innføring i personopplysningsloven Kort innføring i personopplysningsloven Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, UiO 1 Når gjelder personopplysningsloven? Dersom et informasjonssystem inneholder personopplysninger,

Detaljer

De unges sosiale verden

De unges sosiale verden INGRID GRIMSMO JØRGENSEN PEDAGOG KOMPETANSER.NO FØLG MEG PÅ TWITTER: INGRIDGRIMSMOJ Jeg bare tulla - barn og digital dømmekraft De unges sosiale verden «Give me some pickaxsen and get me some cobbelstone..

Detaljer

Om EthicsPoint. Om EthicsPoint Rapportering - Generelt Rapportering - Sikkerhet og fortrolighet Tips og beste praksis

Om EthicsPoint. Om EthicsPoint Rapportering - Generelt Rapportering - Sikkerhet og fortrolighet Tips og beste praksis Om EthicsPoint Rapportering - Generelt Rapportering - Sikkerhet og fortrolighet Tips og beste praksis Om EthicsPoint Hva er EthicsPoint? EthicsPoint er et omfattende og konfidensielt rapporteringsverktøy

Detaljer

Regler og informasjon til foresatte om bruk av datautstyr for 1.-3. trinn

Regler og informasjon til foresatte om bruk av datautstyr for 1.-3. trinn Regler og informasjon til foresatte om bruk av datautstyr for 1.-3. trinn Med hjemmel i IKT-reglement for grunnskolene i Notodden kommune. I følge Kunnskapsløftet er det et mål at elevene etter 2. trinn

Detaljer

Månedsrapport januar 2014

Månedsrapport januar 2014 Månedsrapport januar 2014 Side 1 av 8 Innhold Bakgrunn Om NorSIS Slettmeg.no august 2013 Trender og aktuelle problemstillinger Kontakt Side 2 av 8 Bakgrunn Dette er en kort oppsummering av hva vi har sett

Detaljer

Nøkkelinformasjon. Etatsstyring

Nøkkelinformasjon. Etatsstyring krig og krim Cyberspace Truslene, utfordringene, tiltakene en arena for krig og krim IBM Smarter Business, 7. november 2012 Annette Tjaberg Assisterende direktør www.nsm.stat.no Geir A Samuelsen Direktør

Detaljer

Program: Hvorfor oppsøkende på nett? Hva kjennetegner Internett som arena?

Program: Hvorfor oppsøkende på nett? Hva kjennetegner Internett som arena? Program: Hvorfor oppsøkende på nett? Hva kjennetegner Internett som arena? Bruk veileder for å sikre faglig kvalitet i arbeidet på internett Systematikk Forankring Dokumentasjon Etikk Jus Ikke mulig å

Detaljer

FORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM

FORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM FORVENTNINGER TIL SIKKERHET I DET DIGITALE ROM Nasjonal sikkerhetsmåned 2014 Stavanger, 2. oktober 2014 Fagdirektør Roar Thon Nasjonal sikkerhetsmyndighet 1 SLIDE 2 VIDEOKLIPP FRA NRK.NO «Det er en utfordring

Detaljer

BETALINGSFORMIDLINGSKONFERANSE 2014 TRUSLER OG SIKKERHETSUTFORDRINGER FOR FINANSNÆRINGEN

BETALINGSFORMIDLINGSKONFERANSE 2014 TRUSLER OG SIKKERHETSUTFORDRINGER FOR FINANSNÆRINGEN BETALINGSFORMIDLINGSKONFERANSE 2014 TRUSLER OG SIKKERHETSUTFORDRINGER FOR FINANSNÆRINGEN INNLEDNING Finans Norge utvikler årlig rapport om trusler og sikkerhetsutfordringer som finansnæringen står overfor.

Detaljer

Innholdsfortegnelse Side

Innholdsfortegnelse Side Trygg På Nett Forsikringsvilkår av 01.04.2016 Innholdsfortegnelse Side 1. Trygg På Nett 3 1.2 Definisjoner 3 1.3 Hvem forsikringen gjelder for 3 2. Forsikringsdekningen Identitetstyveri 3 2.1 Hvor og når

Detaljer

Hvordan nå ungdom via sosiale medier?

Hvordan nå ungdom via sosiale medier? Hvordan nå ungdom via sosiale medier? Colt Kommunikasjon AS Stiftet 03.12.2006 Helena Makhotlova Kommunikasjonsrådgiver i Norges første PRbyrå med spesialisering i sosiale medier I dag er vi 5 heltidsrådgivere

Detaljer

Hvordan gjennomføres id-tyverier og hva kan gjøres. Tore Larsen Orderløkken Leder NorSIS

Hvordan gjennomføres id-tyverier og hva kan gjøres. Tore Larsen Orderløkken Leder NorSIS Hvordan gjennomføres id-tyverier og hva kan gjøres Tore Larsen Orderløkken Leder NorSIS 1 Noen definisjoner Identitetstyveri Uautorisert innsamling, besittelse, overføring, reproduksjon eller annen manipulering

Detaljer

Vemma Europes personvernerklæring

Vemma Europes personvernerklæring Vemma Europes personvernerklæring Vemma Europe forstår at du er opptatt av hvordan informasjon om deg blir behandlet og fordelt, og vi setter pris på at du stoler på at vi gjør det forsiktig og fornuftig.

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

ID-tyveriprosjektet. Det må bli vanskeligere å bli kunde i Norge! Hva er gjort og bør gjøres for å redusere risiko og omfang?

ID-tyveriprosjektet. Det må bli vanskeligere å bli kunde i Norge! Hva er gjort og bør gjøres for å redusere risiko og omfang? ID-tyveriprosjektet Det må bli vanskeligere å bli kunde i Norge! Hva er gjort og bør gjøres for å redusere risiko og omfang? Christian Meyer Seniorrådgiver Norsk senter for informasjonssikring ID-tyveriprosjektets

Detaljer

HiST i sosiale medier. Strategi og veiledning desember 2010

HiST i sosiale medier. Strategi og veiledning desember 2010 HiST i sosiale medier Strategi og veiledning desember 2010 Innhold Hva er sosiale medier og hvordan skal de gjøre HiST bedre? HiSTs forbedringsmuligheter i sosiale medier Sosiale medier for å nå HiSTs

Detaljer

Barn har rett til å være trygge på nettet

Barn har rett til å være trygge på nettet Barn har rett til å være trygge på nettet Redd Barna Verdens største barnerettighetsorganisasjon Barnekonvensjonen 1996 startet vi vårt arbeid med tipslinje om spredning av overgrepsmateriale på Internett

Detaljer

Personvernerklæring 1. Innledning 2. Når innhenter vi personlige opplysninger? 3. Hvilken personlig informasjon innhenter vi fra deg?

Personvernerklæring 1. Innledning 2. Når innhenter vi personlige opplysninger? 3. Hvilken personlig informasjon innhenter vi fra deg? Personvernerklæring 1. Innledning Vi er Supplies Distributors SA, som har registrert kontor i rue Louis Blériot 5, 4460 Grâce-Hollogne, registrert i handelsregisteret i Liège under nr. 208.795, MVA-nr.

Detaljer

Digital dømmekraft i klasserommet

Digital dømmekraft i klasserommet Digital dømmekraft i klasserommet Lesedigg Stavanger 8.april 2014 Karoline Hultman Tømte Prosjektleder for Du bestemmer Mål for sesjonen Økt bevissthet og re5leksjon rundt temaet digital dømmekraft. Konkrete

Detaljer

PERSONVERNERKLÆRING BARNEVAKTNETT

PERSONVERNERKLÆRING BARNEVAKTNETT PERSONVERNERKLÆRING BARNEVAKTNETT Barnevaktnett tar ditt personvern veldig på alvor, og vil behandle og bruke informasjonen om deg på en sikker måte. For å sikre personvernet ditt vil Barnevaktnett alltid

Detaljer

Hva vet appen om deg? Catharina Nes, seniorrådgiver i Datatilsynet

Hva vet appen om deg? Catharina Nes, seniorrådgiver i Datatilsynet Hva vet appen om deg? Kartlegging av personvernutfordringer knyttet til mobilapplikasjoner Catharina Nes, seniorrådgiver i Datatilsynet Hvorfor en undersøkelse om apper? Bruk av mobilapplikasjoner øker

Detaljer

Kan du holde på en hemmelighet?

Kan du holde på en hemmelighet? Kan du holde på en hemmelighet? Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier Hvis vi ser på Norge som en eiendom passer NSM på gjerdene, E-tjenesten følger med på dem som er utenfor gjerdet, og PST

Detaljer

Sikkerhetsutfordringer i en trådløs verden - utfordringer i området mellom tjenesteyter og bruker

Sikkerhetsutfordringer i en trådløs verden - utfordringer i området mellom tjenesteyter og bruker Sikkerhetsutfordringer i en trådløs verden - utfordringer i området mellom tjenesteyter og bruker Erlend Dyrnes NextGenTel AS Tekna 30.03.2011 Mobilt bredbånd - LTE - WiMAX 1 Om presentasjonen Introduksjon

Detaljer

Vi skal være skapende Olav Thon (90 år)

Vi skal være skapende Olav Thon (90 år) 1 Vi skal være skapende Olav Thon (90 år) I tråd med Olav Thons visjon skal vi ha våre etiske retningslinjer med oss når vi skaper verdier. Dette er viktig for å bygge tillit blant våre medarbeidere, gjester,

Detaljer

Benytter du dine rettigheter?

Benytter du dine rettigheter? Benytter du dine rettigheter? Om innsyn, opplysningsplikt og personvernerklæringer Delrapport 3 fra personvernundersøkelsen 2013/2014 Februar 2014 Innhold Innledning og hovedkonklusjoner... 3 Om undersøkelsen...

Detaljer

Næringslivets Sikkerhetsråd 2013-2017 Mot kriminalitet - for næringsliv og samfunn

Næringslivets Sikkerhetsråd 2013-2017 Mot kriminalitet - for næringsliv og samfunn VEIEN MOT 2017 Innledning Kursen for de neste årene er satt. Strategien er et verktøy for å kommunisere retning og prioriteringer internt og eksternt. Strategien er et viktig styringsdokument, og skal

Detaljer

veileder en god start SMÅBARN OG SKJERMBRUK 1

veileder en god start SMÅBARN OG SKJERMBRUK 1 En veileder SmåbaRn og skjermbruk en god start SMÅBARN OG SKJERMBRUK 1 Hva er viktigst? Digitale enheter i hjemmet gir hele familien mange nye medieopplevelser og mulighet til kreativ utfoldelse og læring.

Detaljer

veileder en god start SMÅBARN OG SKJERMBRUK 1

veileder en god start SMÅBARN OG SKJERMBRUK 1 En veileder SmåbaRn og skjermbruk en god start SMÅBARN OG SKJERMBRUK 1 Digitale enheter i hjemmet gir hele familien mange nye medieopplevelser og mulighet til kreativ utfoldelse og læring. Hvordan kan

Detaljer

Nettvett Danvik skole. 4. Trinn 2011

Nettvett Danvik skole. 4. Trinn 2011 Nettvett Danvik skole 4. Trinn 2011 Målet med å vise nettvett Mindre erting og mobbing Trygghet for voksne og barn Alle tar ansvar og sier i fra Personvern kildekritikk Digital mobbing Er e så nøye, a?

Detaljer

Folkemøte, Lillehammer - 10. november 2011

Folkemøte, Lillehammer - 10. november 2011 Folkemøte, Lillehammer - 10. november 2011 Hvordan skal vi fikse det? Film Medietilsynet Trygg bruk Informasjons- og rådgivingstjeneste Nasjonal koordinator Prosjektorganisert EU, 29 land Safer Internet

Detaljer

Læringsmål i digitale ferdigheter

Læringsmål i digitale ferdigheter Læringsmål i digitale ferdigheter Eksempel på lokal læreplan i digitale ferdigheter som grunnleggende ferdighet FAKTA OM LÆRINGSMÅLENE Læringsmålene er eksempler på lokale læreplaner i grunnleggende ferdigheter

Detaljer

Eleven skal kunne bruke nettvett og følge regler for personvern på Internett og i sosiale medier.

Eleven skal kunne bruke nettvett og følge regler for personvern på Internett og i sosiale medier. Mål KOMPETANSEMÅL Eleven skal kunne bruke nettvett og følge regler for personvern på Internett og i sosiale medier. HOVEDOMRÅDE: REDAKSJONELT ARBEID [...] Bruk av regler for opphavsrett, kildebruk og personvern

Detaljer

Meldal kommune i sosiale medier. Olav Dombu eforum 18.10.2011

Meldal kommune i sosiale medier. Olav Dombu eforum 18.10.2011 Meldal kommune i sosiale medier Olav Dombu eforum 18.10.2011 Sosiale medier er fellesbetegnelse på alle nettsteder der brukerne selv skaper innholdet. Sosiale medier handler ikke om å ha egen Facebook-side,

Detaljer

Hvilken ferietype er du? PERSONVERN

Hvilken ferietype er du? PERSONVERN Hvilken ferietype er du? PERSONVERN Arrangøren av denne konkurransen er det nasjonale kroatiske nasjonale turistbyrået - Croatian National Tourist Board (CNTB). Siden du er inne på og denne løsningen drives

Detaljer

Tillit og troverdighet på nett. Tillit. troverdighet. på nett. Cato Haukeland, 2007

Tillit og troverdighet på nett. Tillit. troverdighet. på nett. Cato Haukeland, 2007 Tillit og troverdighet på nett Tillit OG troverdighet på nett Bacheloroppgave ibacheloroppgave nye medier i nye medier av Cato Haukeland, Universitetet i Bergen 2007 Cato Haukeland, 2007 1 Innhold 1 Forord

Detaljer

Rapport om sikkerhetstilstanden 2009

Rapport om sikkerhetstilstanden 2009 Nasjonal sikkerhetsmyndighet Rapport om sikkerhetstilstanden 2009 Ugradert versjon I denne rapporten redegjør Nasjonal sikkerhetsmyndighet (NSM) for etterlevelsen av sikkerhetsloven med forskrifter samt

Detaljer

KRAVSPESIFIKASJON FOR SOSIORAMA

KRAVSPESIFIKASJON FOR SOSIORAMA KRAVSPESIFIKASJON FOR SOSIORAMA Innhold 1. Forord... 2 2. Definisjoner... 3 3. Innledning... 4 3.1 Bakgrunn og formål... 4 3.2 Målsetting og avgrensninger... 4 4. Detaljert beskrivelse... 8 4.1 Funksjonelle

Detaljer

Varierende grad av tillit

Varierende grad av tillit Varierende grad av tillit Tillit til virksomheters behandling av personopplysninger Delrapport 2 fra personvernundersøkelsen 2013/2014 Februar 2014 Innhold Innledning og hovedkonklusjoner... 3 Om undersøkelsen...

Detaljer

Sikkerhet og internett

Sikkerhet og internett Sikkerhet og internett Kan vi være vi trygge? Kan vi beskytte oss? Bør vi slå av nettet Stoler du på denne mannen? 25.01.2008 Om sikkerhet på Internettet ved Hans Nordhaug 2 1 Nei? Og likevel er du på

Detaljer

RETNINGSLINJER FOR ANSATTES BRUK AV IKT-TJENESTER I NORMISJON

RETNINGSLINJER FOR ANSATTES BRUK AV IKT-TJENESTER I NORMISJON Retningslinjer for ansattes bruk av IKT-tjenester RETNINGSLINJER FOR ANSATTES BRUK AV IKT-TJENESTER I NORMISJON Vedlagt vil du finne Retningslinjer for ansattes bruk av IKT-tjenester. Retningslinjer for

Detaljer

Åpne data og juridiske problemstillinger

Åpne data og juridiske problemstillinger Åpne data og juridiske problemstillinger Seminar DIFI 12. desember 2012 advokat Eva I.E. Jarbekk Hva er data? Alt fra stillingsannonser, hendelser og nyhetsmeldinger, til kart, regnskap, statistikk og

Detaljer

Sikkerhet og informasjonssystemer

Sikkerhet og informasjonssystemer Sikkerhet og informasjonssystemer IFEA 19.10.2011 Datasikkerhet i industri og offentlig infrastruktur. Helge Rager Furuseth seniorrådgiver, siv.ing. Avdeling for sikkerhetsforvaltning Nasjonal sikkerhetsmyndighet

Detaljer

2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG

2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG 2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG 1 SAMMENDRAG INNLEDNING: GLOBAL THREAT INTELLIGENCE REPORT 2015 De siste årene har sikkerhetsbransjen med rette fokusert mye på Advanced Persistent Threats

Detaljer

Trusselbildet og krav til sikkerhet mot tilsiktede handlinger

Trusselbildet og krav til sikkerhet mot tilsiktede handlinger UGRADERT Trusselbildet og krav til sikkerhet mot tilsiktede handlinger Foredrag for Brannforum 2009 Stavanger, 3 februar 2009 Anders Bjønnes Underdirektør NSM, Stab Strategi og Policy Nasjonal sikkerhetsmyndighet

Detaljer

Nettsikkerhet. Tom Heine Nätt Høgskolelektor Høgskolen i Østfold tom.h.natt@hiof.no

Nettsikkerhet. Tom Heine Nätt Høgskolelektor Høgskolen i Østfold tom.h.natt@hiof.no Nettsikkerhet Tom Heine Nätt Høgskolelektor Høgskolen i Østfold tom.h.natt@hiof.no Plan Introduksjon Ulike teknikker Social Engineering Digitale fotavtrykk Identitetstyveri Introduksjon Flere brukere +

Detaljer

Danningsperspektivet i lærerutdanninga i en stadig økende digital hverdag

Danningsperspektivet i lærerutdanninga i en stadig økende digital hverdag Danningsperspektivet i lærerutdanninga i en stadig økende digital hverdag (Og om bevissthet i arbeidet med å utnytte det som er bra, og ta avstand fra skit n ) Arve Thorshaug, pedagog og studieleder Grunnskolelærerutdanningen

Detaljer

MØRKETALLSUNDERSØKELSEN 2010

MØRKETALLSUNDERSØKELSEN 2010 MØRKETALLSUNDERSØKELSEN 2010 Mørketallsundersøkelsen 2010 7. undersøkelsen Perduco AS i mai 2010. Tidsrommet for kartleggingen er 2009. Utvalg: Det er trukket ut 6000 virksomheter til undersøkelsen. Av

Detaljer

Eksempel på datadisiplininstruks

Eksempel på datadisiplininstruks Eksempel på datadisiplininstruks Denne datadisiplininstruksen gjelder bruk av [bedriftens navn]s datautstyr, nettverk og datasystemer, inkludert fjernpålogging og mobiltelefoner. 1. Hovedprinsipp Den ansatte

Detaljer

seksuell trakassering og overgrep

seksuell trakassering og overgrep FFOs retningslinjer i saker om seksuell trakassering og overgrep Funksjonshemmedes Fellesorganisasjon FFOs retningslinjer mot seksuell trakassering FFO skal være en organisasjon der seksuell trakassering

Detaljer