Det er på tide å skrote sikkerhetsråd som stjeler oppmerksomhet fra tiltak som faktisk virker.
Det er budskapet i et åpent brev signert av en rekke internasjonale eksperter, samt norske profiler som Runa Sandvik og Per Thorsheim.
Gruppen har gått sammen for å ta livet av det de omtaler som «hacklore» – myter og utdatert kunnskap som fortsatt sirkulerer i offentligheten og i rådgivningsspalter.
Offentlig WiFi og lading
Et av de mest seiglivede rådene ekspertene vil til livs, er advarselen mot å bruke offentlige trådløse nettverk.
I dag bruker nesten alle nettsider og apper kryptering (HTTPS), som beskytter trafikken din uavhengig av nettverket. I brevet hevders det også at VPN-tjenester gir liten reell sikkerhetsgevinst for vanlige brukere.
«Juice jacking» og QR-frykt
Advarslene mot å lade mobilen i offentlige USB-porter avvises kontant. Ekspertene påpeker at det ikke finnes verifiserte tilfeller av at det har skjedd hacking/datalekkasje via ladeporten, og at moderne telefoner uansett krever godkjenning for dataoverføring.
Også frykten for QR-koder og Bluetooth-angrep beskrives som sterkt overdrevet sammenlignet med risikoen for vanlig svindel.
Passordtvang
Et annet råd som får gjennomgå, er anbefalingen om hyppig bytte av passord. Selv om dette en gang var standard prosedyre, finnes det ifølge brevet ingen bevis for at det reduserer kriminalitet.
Tvert imot fører tvungne passordbytter ofte til at brukere velger svakere passord eller gjenbruker varianter av det samme passordet på flere tjenester, noe som svekker sikkerheten, påpeker de.
Det samme gjelder sletting av informasjonskapsler (cookies), som ekspertene mener ikke gir noen meningsfull beskyttelse mot moderne sporingsteknologi.
Fokuser på det som virker
Ekspertene advarer om at de utdaterte rådene, selv om de er velmente, stjeler oppmerksomhet fra tiltak som faktisk fungerer. I stedet for å frykte offentlige ladestasjoner, bør man fokusere på grunnleggende digital hygiene. Det aller viktigste er å holde enheter og applikasjoner oppdatert, spesielt de man bruker til e-post, nettbank, skylagring og ID-apper. Når automatiske oppdateringer er aktivert, tettes sikkerhetshullene fortløpende.
Videre anbefales tofaktor-autentisering på det sterkeste for alle viktige kontoer. Her trekkes passnøkler frem som en overlegen teknologi sammenlignet med tradisjonelle passord, da disse er motstandsdyktige mot phishing. Har man ikke tilgang på passnøkler, er SMS-koder fortsatt langt bedre enn ingenting. I stedet for å bytte passord ofte, bør man benytte en passordbehandler for å generere lange, unike passfraser for hver eneste tjeneste.
Systemene må tåle feil
Oppropet legger også et betydelig ansvar på arbeidsgivere og programvareprodusenter. Organisasjoner oppfordres til å bygge systemer som ikke kollapser selv om en ansatt gjør en feil. Det må være enkelt å rapportere mistenkelig aktivitet uten frykt for represalier.
Til slutt retter ekspertene en pekefinger mot programvarebransjen. Ansvaret for å forhindre skade bør ikke ligge hos brukeren, men hos produsentene, som må fikse defekt kode.
Programvare må være sikker ved design og sikker som standard. Det er produsentenes ansvar å sørge for at over én milliard brukere ikke trenger å endre adferd for å være trygge, konkluderer brevet.
Telenor: – Enig og uenig
I Norge har Telenor lenge rådet kunder til å unngå åpne trådløse nettverk.
Informasjonssjef Julie Hæhre sier til Digi at oppropet har gode poenger, men at de fastholder sine råd av hensyn til mindre tekniske brukere.
– Rådene vi gir, oppdateres basert på hva vi ser kan være en sikkerhetsutfordring, og de endrer seg dermed over tid. Noen råd går vi proaktivt ut med, andre ganger blir vi spurt av mediene om konkrete problemstillinger. Vi oppfordrer til varsomhet og til ikke å gjøre noe uten at du kjenner potensielle konsekvenser, sier hun.
– Her er vi imidlertid både enig og uenig. For oss er det viktig å understreke at vi ikke gir råd til IT- og sikkerhetsfolk med teknisk kompetanse, men vanlige brukere som kanskje er litt mer ukritiske til hva de trykker på.
Hun mener mobilnettet fortsatt er det tryggeste valget.
– Vi mener fortsatt at det tryggeste er å ikke bruke offentlige usikrede nettverk. Mange har for eksempel sikkerhetsfiltre eller sikkerhetstjenester når de er på mobilnettet, disse opphører når du logger deg på et nettverk som ikke har det.
Hæhre påpeker også risikoen for at brukerdata blir en handelsvare.
– Vi vet også at enkelte gratis nettverk samler inn mye data om deg som videreselges – som kan kjøpes av kriminelle og misbrukes til for eksempel svindel senere, sier Telenors informasjonssjef.
Experis: : Vurderer å ta tapt IT-kontrakt til Høyesterett
