monitor displaying computer application

Datorsäkerhet – En eftertanke?

En sak som jag reflekterat över den senaste tiden är hur vi moderna människor beter oss ständigt mer ignorant gällande datorsäkerhet. Visst är det sant att Windows och MacOS båda kommer med inbyggd säkerhet för dom vanligast förekommande säkerhetsriskerna, men samtidigt så är det personen bakom tangentbordet som är det största problemet.

Nu kan det låta som att jag pekar ut en specifik person eller grupp, men detta gäller i princip alla som använder datorer och mobiltelefoner, vilket inte är lite folk, om man tänker på det.

Saken är den att vi strävar efter att ha korta och enkla lösenord, eftersom vi inte vill försöka komma ihåg krångliga och långa saker. Dom flesta använder lösenord med kända ord, som ”vinter”, ”sommar” eller ortsnamn kombinerat med siffror och årtal. Inte speciellt svårt att knäcka för den som är intresserad eller motiverad att göra detta.

Samma gäller mobiltelefoner, som i dagsläget är det hackare och tjuvar är ute efter mest. Dessa små och ofta oskyddade apparater innehåller nämligen allt som kan vara intressant. Dom har ofta bankuppgifter, access till sociala medier, accepteras på insidan av företagsnät och innehåller lösenord till många olika tjänster. Dom innehåller ju också våra privatliv, bilder, meddelanden, tankar och noteringar. Att ta sig in på en telefon är som den heliga-graalen för en hackare, som får i princip hela ditt liv serverat på ett fat.

Många som jag känner har inte ens en kod som skyddar sin telefon. Det är obekvämt, är ofta motiveringen. Introduktionen av fingeravtrycksläsare gjorde inte saken speciellt mycket bättre, då många anser att det känns osäkert att ge sin telefon access till fingeravtrycket på sina fingrar. Ironiskt nog är detta det mest osäkra tankesättet man kan ha.

Apples FaceID har dock accepterats av många fler, konstigt nog. Denna teknik, där enheten scannar användarens ansikte som biometrisk säkerhet känns antagligen tryggare, men främst så beror det nog på att Apple inte ger sina användare något bättre alternativ. Det finns inga fingeravtrycksläsare på moderna iPhones (utom på retro-modellerna), så det enda alternativet är att använda en 6-siffrig kod, vilket känns omständigt för många. Därför använder man just FaceID istället.

Trots dessa tekniska lösningar och biometriska skydd så är människan fortfarande det största säkerhetshotet. En dator eller telefon utför saker vi beordrar, vilket snabbt kan göra att även det mest skyddade systemet blir helt öppet och sårbart.

Vem har inte klickat bort dialogrutor på sin dator eftersom man helt enkelt inte är intresserad. Man är upptagen med annat och sedan frågar datorn något komplicerat… ”Genom att klicka på OK så… Ja ja ja, ok ok ok. Jag har inte tid att gorma med sånt. Jag har ett möte om 5 minuter…” Känns det igen? Troligen. I princip alla som arbetar med datorer har känt precis som i exemplet ovan.

Jag har tidigare pratat om mina bekymmer med återanvända lösenord. Detta var till en början en ren bekvämlighet, då jag helt enkelt kunde memorera 2-3 lösenord och ta mig in överallt utan problem. Det var dock en illusion, eftersom drygt 10 år senare så blev lösenordet hackat och kunde användas emot mig. Det är svårt att beskriva känslan att behöva byta lösenord på ungefär 100 olika hemsidor och tjänster när man arbetar mot klockan och vet att en hacker i andra änden arbetar för att hitta något intressant att tjäna en slant på.

Trots att jag i och med detta verkar visa ett extremt dåligt omdöme så kan jag säga att jag aldrig använder mina ”standard-lösenord” på viktiga tjänster. Exempelvis tjänster som hanterar kreditkort och liknande. Google, Apple och många andra räknas som ”spindeln i nätet” för mig. Alltså, konton som har tillgång till andra konton. Alla dessa har två-faktors identifiering och långa, krångliga lösenord som inte går att gissa sig fram till. Detta gör att oavsett om någon får rätt på mitt lösenord, som oftast är 20-30 bokstäver/siffror och symboler långt, så måste dom även stjäla min telefon, hacka den och godkänna inloggningen därifrån. Det kommer rimligtvis aldrig att hända, men det är inte uteslutet.

Jag arbetar även aktivt med att försöka stoppa hackare från att komma in i mitt lokala nätverk genom att använda brandväggar, flera lager med nätverk och andra åtgärder. Men hur man än arbetar på att täppa till säkerheten så är det alltid den svagaste länken som är problemet. En gammal oskyddad Android telefon kan potentiellt vara en bakdörr in på det lokala nätverket. Dom lagrar och skvallrar om WIFI lösenord och annat som underlättar för kriminella element. Just därför ska man undvika att använda sådana enheter på sitt nätverk, om det är möjligt.

Många billiga IOT lösningar (Internet Of Things), exempelvis fjärrstyrda lås, lampkontroller och annat man kan använda i ett uppkopplat hem, är riktigt dåliga på säkerhet. Detta i sin tur gör att dom oftast kan hackas och nyttjas betydligt enklare än ens router, dator eller mobiltelefon.

Att använda det klassiska tänket ”jag har inget att dölja” är en ett lockrop för cyber-brottslingar. En person som inte tror att dom har något att dölja är också någon som inte bryr sig om sin säkerhet, eller andras. Samma person kanske loggar in på nätverket på jobbet med sin infekterade telefon eller dator.

Genom att ta sitt ”jag har inget att dölja” argument till jobbet så har man alltså öppnat en dörr för hackare att ta sig in på företagets lokala nätverk, som kanske har något att dölja.

Om man dessutom är en chef eller har en status som gör att man kommer åt känslig information på dom lokala servrarna, ja, då har hackarna verkligen hittat jackpotten.

Att vara proaktiv och tänka på säkerheten först är den främsta lösningen på detta problem. Alltid, utan undantag.

Det finns inga genvägar eller mjukvaror i världen som skyddar dig om du inte själv är medveten om hur du skyddar dig online, samt vilka dom potentiella riskerna är. Om du är en Apple användare så kan jag ge några intressanta tips om hur du skyddar dig lite bättre på din iPhone/iPad, men framförallt så måste du vara lite av en detektiv på egen hand. Att leta information på nätet om okända appar och annat är både enkelt och viktigt för att kunna hålla en hög standard på sin informationssäkerhet.

Proaktivt tänkande.

Spela in appar i iOS
Genom att aktivera en funktion som heter ”Registrera Appaktivitet” (under ”Inställningar/Integritet”) så får du en logg för alla appar och vad dom gör på din telefon. Här kan du exempelvis se när, hur och var en app kommit åt din kamera, bilder eller andra saker. Genom att kontrollera denna logg någon gång i veckan så kan du snabbt stoppa appar som beter sig illa. Särskilt viktigt är det om du använder många sociala medier på din telefon, eftersom dom ofta har tillgång till många funktioner.

Om exempelvis Facebook har pillat runt i bilder medan du låg och sov, då är det kanske dags att skippa den appen, precis som många miljoner andra har gjort.

Loggen som sparas löpande sträcker sig 7 dagar tillbaka, så om man kontrollerar den någon gång i veckan och efter att man installerat nya okända appar på sin telefon så förbättrar man sitt säkerhetstänkande betydligt. Det är svårt att kritisera något som man inte vet har hänt, eller hur?

Kontrollera behörigheter på iOS
Genom att tänka till lite så kan man stoppa dom flesta säkerhetsriskerna innan dom ens händer. Detta kallas att vara proaktiv, att tänka före. Genom att gå till ”Inställningar/Integritet” så kan du titta närmare på vilka appar som har tillgång till din kamera, exempelvis. Om du hittar en app som troligen inte borde ha tillgång till din kamera så kan du enkelt slå av behörigheten. Samma gäller övriga funktioner som mikrofon, plats och annat som kan användas emot dig.

Om du installerar en app på telefonen som ska sköta din kalender så är det lite konstigt att den vill få access till kameran och dina bilder, eller? Tänk till innan du svarar när din telefon eller dator frågar samma fråga. Är det verkligen logiskt? Borde min kalender använda min kamera eller se mina privata bilder?

Svaret är förstås ”nej, det ska den inte”. Du kan avaktivera den funktionen och om appen skulle krascha på grund av detta så kanske du ska leta efter någon annan app som sköter din kalender.

Om du slår av en funktion som en app kräver, exempelvis om du råkat slå av mikrofonen för en app som spelar in ljud, så kan du ju alltid slå på behörigheten igen när som helst. Inga problem att lösa i efterhand med andra ord.

Rensa bort skräp och oanvända appar
Genom att tänka efter när man installerar appar på sin telefon så kan man effektivt förhindra stora säkerhetsrisker. Ju mer skrot du har på din telefon/dator, desto mer risk är det att din säkerhet kompromissas. Jag brukar personligen gå igenom appar på mina datorer och telefoner med jämna mellanrum, för att försäkra mig om att jag inte har installerat något jag inte använder och som ligger och tar plats eller batteri i onödan.

Om man ändå måste installera en okänd applikation så kan det vara en bra idé att ge det minimala antalet behörigheter som går. Detta gäller samtliga appar som du inte litar på.

Säkerhetsrekommendationer
Genom att gå in på ”Inställningar” och sedan ”Lösenord” på din iPhone/iPad så ser du en knapp som heter ”Säkerhetsrekommendationer”. Här får du ”experthjälp” om olika saker som du bör tänka på för att bli bättre skyddad. Om du återanvänder lösenord så kommer du få varningar här, samt hjälp om hur du byter lösenord på dom olika hemsidor och tjänster som är påverkade.

Genom att följa råden som ges, samt aktivera ”Upptäck äventyrade lösenord” så kan du få en förvarning om något av dina lösenord har blivit kompromissade på nätet. Detta är en otroligt hjälpsam funktion som du verkligen bör ha aktiverad. Jag tror att den är aktiv i grundläggande läge, men det kan vara värt att kontrollera.

Om den säger att du har kompromissade lösenord, byt dessa omedelbart. Har du tur så har ingen nyttjat dessa för att stjäla eller manipulera information och/eller tjänster, men har du otur så kanske du inte ens längre äger ditt konto. Det har hänt för väldigt många och är otroligt vanligt när konton blir kompromissade.

Slutligen
Om du är intresserad av att lära dig mer om säkerhet och hur du skyddar dig online så finns det väldigt mycket information att hitta på nätet. I grund och botten gäller det att ändra på hur man tänker. Detta är både gratis och faktiskt väldigt intressant när man börjar komma in i det.

Om du återanvänder lösenord på flera olika ställen, passa på att byta dessa till unika och svåra lösenord innan det är försent. Det är lika bra att börja i tid, så behöver du inte stressa om lösenordet blir kompromissat.

Vänligen notera att jag inte är någon form av expert när det gäller datasäkerhet. Jag är dock utbildad inom informationssäkerhet på koncernnivå och har arbetat med proaktivt tänkande i många år. Jag anser att jag håller väldigt tight på säkerheten, men det finns garanterat rum för förbättring. Det gör det alltid.

Den enda anledningen till att jag skrivit allt ovanstående är för att få dig mer intresserad av din egen säkerhet. Sedan jag började jobba som IT Projektledare så har jag fått upp ögonen för hur osäkert tänkande kan göra stor skada.

Ha en riktigt bra dag så hörs vi snart igen.