Privatpersoner blir hardest rammet av datainnbrudd

Det er stor forskjell på hvor ødeleggende et dataangrep kan være. Bedrifter har ressurspersoner som kan rydde opp, det har ikke folk flest.

Bedrifter og institusjoner bør bli bli flinkere til å beskytte sensitive persondata, samtidig bør folk flest risikoanalysere seg selv

De fleste av oss legger igjen mye personlige data hos institusjoner vi stoler på – som for eksempel banker, hoteller, sosiale medier og helseorganisasjoner.

Men det er ingen grunn til å føle seg altfor trygg. Stadig skjer det alvorlige datainnbrudd.

Noen ferske eksempler:

  • Marriott Hotels: Avslørte at sensitive data, blant annet kredittkortinformasjon og pass-ID-data fra kunder, hadde lekket siden 2014.
  • MyHeritage: Et stort antall e-postadresser og passord til brukere av slektsdatabasen ble stjålet.
  • Helse Sør-Øst: For et års tid siden ble Helse Sør-Øst, som har helsedata fra mer enn halvparten av Norges befolkning, utsatt for et massivt dataangrep. Serverne ble kompromittert. PST har nå innstilt etterforskningen, men påpeker at det er avdekket svakheter i sikkerheten. Det er ukjent om pasientdata kom på avveie.
På Worlds Biggest Data Breaches & Hacks kan man finne info om flere av de verste sikkerhetsbruddene i verden.

Gigantiske databaser med persondata

– Mange bedrifter og institusjoner tjener store penger på å lagre personlige data, som folk ofte legger inn selv eller som er offentlig tilgjengelig. De bygger gigantiske databaser. De kan sette sammen data, analysere og dermed finne ut mye om en person, sier Lothar Fritsch.

Han er forsker ved Karlstad University, men har tidligere forsket ved Norsk Regnesentral.
Rett før jul i fjor holdt han hovedinnledningen på den store nordiske sikkerhetskonferansen NordSec som gikk av stabelen ved Institutt for informatikk ved UiO.

Åpne skattelister = sikkerhetsproblem

Skattelistene er offentlig tilgjengelig i Norge grunnet ønske om åpenhet om økonomiske forhold. Fritsch mener dette er eksempel på et stort sikkerhetsproblem.

– Blant annet blir det lettere for ulike interesser å finne ut hvem som går fra formue til gjeld – for eksempel etter en skilsmisse eller boligkjøp – og handle deretter. Slik kan man målrette korrupsjon, agentverving, datainnbrudd, nekte folk lån og lignende.

– Det er blitt litt bedre i og med at man nå må logge inn med egen ID for å finne skattedata. Men det er likevel lett å ta ut data, og dermed er det fortsatt problematisk.

– Mye større konsekvenser for personer

Fritsch påpeker at selv om det er de store bedriftene og institusjonene som oftest blir utsatt for de mest omfattende dataangrepene, er det enkeltpersoner som får svi mest.

– Risikoen er asymmetrisk. Bedrifter kan tape omdømme og tillit, få bøter, miste lisenser og kunder. Samtidig har de sikkerhetsledere og jurister som kan rydde opp og egne rutiner for håndtering av risikostyring, sier han.

– Enkeltpersoner kan miste sitt gode navn og rykte, måtte leve i usikkerhet om hva andre vet, bli utsatt for stalking med mer. Samtidig er det er lite hjelp å få, og de har som oftest heller ikke ressurser til det.

Han framhever slettmeg.no som en tjeneste som hjelper privatpersoner på nett. Men påpeker at denne har svært begrensede ressurser.

– Tjenester som behandler personopplysninger har et ansvar for å redusere risikoen til kundene sine. Samtidig bør folk tenke mer på personvern og være kritisk til alle nye digitale tjenester som oppstår. Man bør stille seg spørsmål som for eksempel «Hva gjør egentlig den dumme appen?», sier Lothar Fritsch.

Alexa kan avlytte

Fritsch advarer også mot Alexa og lignende høyttalere og mikrofoner som man kan be om å utføre ulike ting.

– Alexa kan være både morsom og nyttig. Men tenk over at slike dingser også kan brukes til avlytting og slik samle data om deg og familien som de kan bruke til noe, sier Fritsch, som trekker fram et ferskt eksempel på dette:

En tysk bruker av Amazon Alexa ba om å få opptak Alexa har gjort av hans egne aktiviteter. Ved en feil fikk han også store mengder opptak av en annen Alexa-bruker.

GDPR er mer enn irriterende popups

Og nå, 70 år senere, er EUs personvernregime GDPR (General Data Protection Regulation) innført. GDPR er langt mer enn slitsomme popups, som de fleste av oss bare krysser vekk uten å lese.

Målet med GDPR er fundamentalt å omforme måten data behandles på tvers av sektorer slik at personvernet blir bedre ivaretatt. Blant annet handler det om å ansvarliggjøre datakontrollører og prosesser.

– GDPR er ment å skulle styrke privatpersoners personvern i Big Data-samfunnet. Samtidig bør folk selv ha et kritisk blikk på hvilke digitale tjenester de bruker og hva de risikerer å utsette seg for, sier Fritsch som påpeker at det finnes flere nivåer av databehandling:

  • Innhenting og lagring av data
  • Kombinere og analysere data
  • Bruke, dele, selge og fjerne data
  • Intervensjon av andre mot en selv basert på data

– Det gjelder å identifisere trusler og risiko i de ulike nivåene og agere ut fra det.

Kilde: Artikkel fra UiO – Det matematisk-naturvitenskapelige fakultet

Kommentarer