Er du et mål for statsstøttede hacker-grupper? Individuell digital sikkerhet

Enten man er IT-konsulent, sikkerhetsekspert eller har en ikke-teknisk jobb, er man i dag tvunget til å forholde seg til digitale trusler. Så godt som alle er i dag, i større eller mindre grad, avhengig av digitale verktøy og kanaler. Med dette kommer det en hel del risiko. Medienes rapportering om sofistikerte hacker-angrep fra statsstøttede grupper skaper et inntrykk av at man aldri kan være helt trygg. Omsetningen av nulldag-sårbarheter er høyere enn noen gang før, så hvis noen virkelig ønsker å skade deg, vil de sannsynligvis kunne stjele dataene dine. Det samme gjelder om en gangster ønsker å fysisk innta boligen din.

På samme måte som utvikling av software krever en nøye vurdering av potensielle sårbarheter, må man også gjennomføre en personlig trusselvurdering for å håndtere risiko i den digitale hverdagen. Er det sannsynlig at statssponsede grupper har motivasjon for å infiltrere mine kontoer? Eller er jeg et potensielt mål for lokale trusler som B-gjengen? For de fleste holder det med enkle tiltak for å kunne sove godt om natten, men alle bør gjøre noe.

De fleste har i lang tid følt på alt “styret” relatert til innlogging og passord. De fleste har også vært utsatt for phishing på e-post, eller til og med telefon. Enkle metoder som phishing er fortsatt effektive for å kompromittere 'vanlige folks' kontoer. Heldigvis er dette også noen av tingene som er enklest å gjøre noe med, og der det finnes klare metoder å følge. En av problemene til nå har vært at rådene og retningslinjene man blir møtt med til tider har hjulpet angriperne.

Komplekse passordkrav har lenge vært en gjengange i sikkerhetspolicyer hos mange bedrifter, men bevisene peker på at de kanskje ikke er så effektive som man trodde. Det er allment kjent at disse kravene er en svak forsvarslinje mot brute-force-angrep. Hvis man ser på den objektive styrken til et passord bestående av 10 forskjellige tegn (f.eks. bare tall) med lengde 4 så har man 10’000 forskjellige kombinasjoner. Om man øker kompleksiteten, som ved å kreve spesialtegn og store bokstaver, økter styrken 800 ganger. Men om man heller fortsatt bare bruker tall, men øker lengden til 14 øker styrken med 100 millioner ganger. Lengden er med andre ord langt viktigere enn antallet tegn. Legg merke til at en del systemer fortsatt krever spesialtegn men ikke alltid mer en 6 i lengde.

I tillegg er våre hjerner dårlig til å huske tilfeldige strenger med tegn og tall, og vi ender opp med å bruke forutsigbare mønstre. Eksempelvis bytter vi ut bokstaven ‘o’ med tallet ‘0’ for å møte kompleksitetskravene, noe som er lett for en angriper å forutse.

En annen policy som mange har kjent på kroppen er krav om hyppig endring av passord. Her er tanken god, i at man ønsker å begrense skaden om uhellet er ute. Problemet er at man samtidig endrer brukerne sin oppførsel. Løsningen for mange blir å enten skrive ned passordet sitt, bruke samme passord flere steder eller følge et forutsigbart mønster for å omgå policyen. En angriper som gjettet passordet ‘AndersKofoed%$’ vil også klare å gjette mitt neste passord når jeg blir tvunget til å endre det til ‘AndersKofoed%$2’.

• Komplekse passordkrav: Fører ofte til forutsigbare mønstre, som 'o' erstattet med '0'. Tilfører liten eller ingen sikkerhet.
• Hyppig endring av passord: Oppmuntrer til dårlige vaner som å skrive ned passord, gjenbruk over flere nettsteder, eller forutsigbare endringer.
• Lengde versus kompleksitet: Et lengre passord med enkle karakterer kan være sikrere enn et kortere med komplekse krav.

Først bør man som sagt gjøre en personlig trusselvurdering og vurdere sin egen risikoprofil. De fleste vil konkludere med at de ikke er mål for målrettede angrep. Likevel er det smart å gjøre denne vurderingen og identifisere hvilke eiendeler, i form data eller tilganger, man har som er mest attraktivt å stjele. Det er mindre farlig om noen får tilgang til Netflix-kontoen min enn om nettbanken blir hacket.

Passord-managers løser mange av utfordringene rundt passordstyrke og gjenbruk av passord. I stedet for å måtte huske hundrevis av passord, holder det nå med ett sterkt (les: langt) passord. Passord-manageren genererer deretter sterke og unike passord for hver av tjenestene dine, som senere kan fylles inn automatisk.

Utfordringen man sitter igjen med er at passordene fortsatt kan stjeles, typisk ved å lure eieren til å gi de fra seg. Dette kan man forsøke å komme til livs ved å legge til en ekstra faktor. Typisk fungerer dette ved at man skriver inn brukernavn og passord før man blir presentert med en notifikasjon på telefonen sin hvor man bekrefter at man er den man utgir seg for å være. Kombinasjonen av passord-manager og flere faktorer er for de fleste godt nok, selv om man fortsatt kan bli lurt.

I en tid hvor trusselbildet stadig endrer seg, er det viktig å anerkjenne at hver av oss har unike risikoprofiler. Å forstå din egen profil er nøkkelen til å handle pragmatisk. Det er ikke alle som trenger å ruste seg mot statsstøttede cyberangrep, men hver person bør ta enkle, gjennomførbare skritt for å beskytte det som er viktigst for dem. Ved å fokusere på de sikkerhetstiltakene med høyest beviselige effekt, som å bruke passord-manager og aktivere tofaktorautentisering, kan vi bygge et sterkt forsvar.