DEBATT: USB-sikkerhet

Sikkerhetsanbefalingene som er modne for revisjon

Det er flere gamle sikkerhetsråd som er modne for skroting.

Hvor trygg er du når du lader? Og hvor stor er faren egentlig for at du blir tappet for informasjon?
Hvor trygg er du når du lader? Og hvor stor er faren egentlig for at du blir tappet for informasjon? (Illustrasjonsfoto: Colourbox)

Det er flere gamle sikkerhetsråd som er modne for skroting.

  • Debatt

Dette debattinnlegget gir uttrykk for skribentens meninger. Debattinnlegg kan sendes til tips@digi.no

Bransjekollega Per Thorsheim skrev i en artikkel at det nå er på tide å droppe advarselen mot åpne WiFi-nett. Noen gode råd varer ikke evig, som han skriver.

Rådet som forsvant?

Et annet råd som muligens forsvant, men som du sikkert har hørt før og som bør vurderes skrinlagt - i det minste revidert - er dette: Ikke bruk USB-uttak/ladepunkter på hotell, fly, flyplasser med mer.

Historisk var det ingen beskyttelsesmekanisme innebygd eller tilgjengelig på mobiltelefoner. Du plugget til telefonen, og voila, hele telefonens innhold ble tilgjengelig for den eller de som tilbød ladepunktet - med mindre det faktisk bare tilbød strøm.

Etter hvert har det oppstått et (lite kjent) marked for såkalte USB-kondomer. Denne er beskrevet som følger: Datablokkerer som hindrer at innhold på din enhet ikke blir stjålet når den er tilkoblet en annen enhet, eller en offentlig ladestasjon. Hindrer også overføring av virus til din enhet. Den blokkerer dataoverføring og tillater kun lading.

I tillegg til at vi har fått USB-kondomer, har utviklingen gått fremover. Nå lar telefonene deg som bruker velge om du bare vil lade, om du vil overføre bilder i tillegg til lading, og så videre.

Knut Erik Hauslo
Knut Erik Hauslo er informasjonssikkerhetsleder i Politiets IKT-tjenester. Debattinnlegget er hans personlige mening, og gjenspeiler ikke nødvendigvis arbeidsgivers offisielle standpunkt eller meninger. Foto: Privat

Maslows behovspyramide

Maslows behovspyramide har - mest som humor - fått to nye lag: I bunn har du symbolet for lavt batterinivå, over dette laget har du symbolet for dårlig WiFi-dekning og så kommer det fysiologiske laget (grunnleggende behov), eksempel:

Ikke alle telefonene spør når du kobler til, det kan hende at du som bruker har valgt en standard innstilling. Og USB-kondomet, den lille adapteren, den er det fort gjort å miste, eller glemme. Det er lite strøm igjen, og du må bare gjøre noe, da er Maslows behovspyramide kanskje ikke så feil allikevel? For før telefonen din går tom for strøm, og du ikke får ringt, surfet eller gjort jobben, så pakker du ut ledningen og plugger inn i uttaket/ladepunktet.

Hvis vi antar at de aller fleste vil oss vel, kan vi anta at de ønsker å yte litt ekstra service. Akkurat som de tilbyr et åpent WiFi for deg å bruke, på kafeen. Vurderer vi noensinne forretningsførerens perspektiv: hva hvis forretningen plutselig blir førsteside-oppslag, fordi det viste seg at kundene var gjenstand for avlytting via WiFi eller ladeuttak? "Du, husk på at du ikke reiser med XY rutebiler, de avlytter ladeuttakene i bussens/togenes seter." Den forretningsmodellen står for en rask død, er min antakelse.

At det finnes ondsinnede der ute som vil ha informasjon noen av oss har på sine enheter, er uten tvil. Men, fritt etter Per Thorsheim som i artikkelen om å droppe advarselen mot åpne WiFi-nett spør, har du noensinne i nyere tid, hørt om noen som har blitt offer for slik avlytting?

Når det er skrevet; fraværet av bevis, er ikke lik bevis på fravær!

For mye ansvar på bruker? 

En annen bransjekollega har skrevet at om sikkerheten er avhengig av brukere som ikke bruker åpne WiFi-nett, er det muligens andre og større problemer enn at brukere kobler seg på åpne WiFi-nett.

Teknologiledere i Microsoft, Check Point, PwC, Capgemini og Rewired har i en artikkel i Finansavisen blant annet skrevet følgende:

  • Ingen av de ansatte skal måtte sitte og ta løpende sikkerhetsavgjørelser, der en menneskelig feilvurdering kan få katastrofale konsekvenser for bedriften.

Typisk vil virksomheter utferdige en eller flere (og gjerne altfor mange) instrukser og styrende dokumenter. De har til formål å fortelle hva brukere skal gjøre, eksempel:

  • Du skal bruke skjermfilter på alle dine enheter, til enhver tid, når du jobber utenfor virksomhetens kontorer.
  • Du skal kun benytte egen ladekabel i strømkontakt, men du kan også benytte tilgjengelige USB-ladeuttak/ladestasjoner dersom du benytter USB-kondom.

I tillegg er disse instruksene og styrende dokumentene flerfoldige sider lange. Og så skal «høye mørke menn og kvinner» passe på at instruksene etterleves.

Men hva skjer, når vi befinner seg i en situasjon som ikke er skrevet i instruksen? Vi blir kreative, vi tolker, og vi løser problemet. Da kan det hende at vi har tatt sikkerhetsavgjørelser, men det kan også hende at de fleste av oss ikke har godt nok grunnlag for en god vurdering. Da har vi brudd på instruksen i beste fall, i verste fall katastrofale konsekvenser for virksomheten.

De som ikke jobber med (informasjons)sikkerhet har veldig ofte ikke kunnskap eller kompetanse til å gjøre de gode vurderingene.

Det å bli tappet for informasjon via USB er absolutt en reell problemstilling. Men sannsynligvis er det målrettede aksjoner, mot målrettede personer. Min påstand er at de som er interessante for den slags aktiviteter, er bevisste på det allerede.

Er det bare vi "sikkerhetsfolkene" som er så paranoide (eller sikkerhetsbevisste) at vi drar med oss en powerbank på 20.000 mAh og egen ledning som vi har på "innerlomma", eventuelt som et siste ess i ermet, drar frem USB-kondomet? Vi er selvfølgelig så perfekte, og nidkjære, at vi aldri glemmer, mister eller blir frastjålet ting…

Er det ikke mer fornuftig at vi som jobber med (informasjons)sikkerhet utformer instrukser og styrende dokumenter slik at de vet hva de kan gjøre, hva de bør gjøre og hva de må gjøre? Er det ikke mer fornuftig at de som utvikler produktene legger inn mer automatisk sikkerhet:

  • Bruk USB til å
    • Overføre bilder
    • Overføre filer
    • Bare opplading/Ikke tilgang til filer eller bilder.

Og når instruksen beskriver hvordan du tryggere og sikrere lader, da kan du også lade telefonen selv om du glemte både egen lader og USB-kondomet – uten at instruksen brytes, for å bli hentet av «høye mørke menn og kvinner»:

  • Lading av mobiltelefoner bør skje med egen lader. Du kan også velge «Bare opplading» dersom du ikke har med egen lader og blir spurt. Du kan også bruke et USB-kondom for trygg lading. Du bør sjekke at standardinnstillingen for din telefon er «Bare lading».

Spørsmålet som gjelder for de fleste: Er advarselen tidsriktig, eller bør den revideres?

Knut Erik Hauslo er informasjonssikkerhetsleder i Politiets IKT-tjenester. Debattinnlegget er hans personlige mening, og gjenspeiler ikke nødvendigvis arbeidsgivers offisielle standpunkt eller meninger.

Les også

Kommentarer (2)

Kommentarer (2)
Til toppen