Alternativ Data sørger for at maskinenes minne slettes helt. Sikkerhetssjef Lene Zachariassen viser hvordan «hjernevasken» skjer. (Foto: Aurora Hannisdal)
Alternativ Data sørger for at maskinenes minne slettes helt. Sikkerhetssjef Lene Zachariassen viser hvordan «hjernevasken» skjer. (Foto: Aurora Hannisdal)

– Du har kanskje ikke noe å skjule, men du har noe å beskytte

Nordmenn er naive når det kommer til datasikkerhet, mener sikkerhetsleverandøren Alternativ Data. Og lettere blir det ikke, når til og med vaskemaskinen kan hackes.

Har du tips eller innspill til saken? Tips oss her.

– Alt har minne. Se for deg «smarte hjem» i fremtiden, hvor man kan hacke seg inn på vaskemaskinen til folk. Det er ikke akkurat kritisk at noen kan overstyre maskinprogrammet og krympe klærne mine, men det faktum at noen kan danne seg et så nitid bilde av mitt liv, det er ekkelt å tenke på. Kanskje kommer vi snart dithen at vi må ta imot kjøleskap med minne?

Vi omgir oss med stadig flere tekniske duppeditter, og det kommer flere og flere elektroniske produkter med innebygget minne på markedet. Dermed kommer også data på avveie bare til å øke i omfang i årene fremover, forteller Lene Zachariassen, sikkerhetssjef i Alternativ Data.

Ifølge Zachariassen åpner den teknologiske utviklingen for nye, fantastiske muligheter, men med tanke på at sårbarhetsnivået øker i takt med en utvikling som skjer så raskt, er det lett å miste oversikten. Da er det viktig at man er bevisste på at informasjonsutveksling og sikring av data i etterkant blir ivaretatt på en ordentlig måte.

– Privatpersoner har ingen plikt til å slette unna før de kaster enheter med minne, men du bør likevel gjøre det. Jeg tenker at du bør være kritisk og tenke over at mye kan misbrukes. Her i Norge er vi naive på den måten at vi tenker at siden vi ikke har noe å skjule, så trenger vi ikke å gjøre noe mer med enhetene våre før vi kaster dem. Det er da du bør tenke grundig gjennom hva du ikke ønsker at andre mennesker skal få innsyn i, sier hun.

Les også: Disker opp med tapte filer

Filer på avveie

I sommer plukket datasikkerhetsleverandøren Alternativ Data ut ti vilkårlige datamaskiner på en gjenbruksstasjon for EE-avfall i Oslo. Alle inneholdt sensitive data. På én PC fant de filer fra en fylkeskommune. Det var snakk om data som ikke skal havne på avveie.

Dårlige rutiner hos politiet

I 2014 avslørte TV2 at enkelte politidistrikt har for dårlige rutiner for å destruere sensitive opplysninger og datamateriell. I Gudbrandsdalen ble det funnet store mengder med taushetsbelagte dokumenter, datautstyr og mobiltelefoner fra lokalt politi. 700 CD-er og disketter, flere PC-er og 50 mobiltelefoner med SIM-kort ble funnet. På diskettene lå det anmeldelsesrapporter, navn på gudbrandsdøler som er registrert i politidistriktet, og rapport om et innbrudd samt navn på fornærmede.

– Det er et problem både for bedrifter og privatpersoner, forskjellen er bare at bedrifter har et lovverk å forholde seg til når de skal kassere datamaskiner, sier Lene Zachariassen, produktsjef for sikkerhet og systemansvarlig i Alternativ Data.

Sensitive data på avveie er et økende problem som hun ser med stor bekymring på.

– Mange tenker at «jeg har ikke noe å skjule», men de aller fleste har noe de vil beskytte. For privatpersoner kan man dra en kobling til sosiale medier, innlogging og lagring knyttet til nettsteder. Hos bedriftene lagrer man sensitive data om ansatte, anbudsprosesser og lignende. Dessverre er det ofte kunnskapen det skorter på når sensitive data til syvende og sist havner i feil hender, sier Zachariassen.

Formatering, «factory reset» og delete holder ikke

Alternativ Data har fått høre mange historier om kreative metoder for å kvitte seg med data. Noen kaster harddisken på sjøen eller går løs på den med en hammer.

– Det blir veldig ineffektivt hvis man skal stå og hamre løs på harddisk etter harddisk. Mange tenker at det holder å formatere eller trykke delete, men ved hjelp av enkle dataverktøy kan man få tilgang til materiale som er slettet. I mange tilfeller brukes det også sletteverktøy som ikke er gode nok, forklarer Zachariassen.

Hun forteller at det er viktig å få oversikt over hva man har og få klarhet i om kravene man stiller til eksterne leverandører speiler interne sikkerhetsrutiner. Alternativ Data baserer seg på Nasjonale Sikkerhetsmyndigheter (NSM) sine krav. Felles for disse verktøyene er at dataene overskrives med godkjente slettemetoder og at man sitter igjen med en rapport som verifiserer slettingen i etterkant.

  • Ifølge en analyse gjort av Blancco Technology Group og Kroll basert på 122 mobiltelefoner og harddisker som ble kjøpt fra eBay, Amazon.com og Gazelle.com mellom mai og august 2015, inneholdt 35 prosent av telefonene og 48 prosent av harddiskene data som var lett å gjenopprette. Disse dataene omfattet mailer, SMS-er, samtalelogger, videoer og bilder. 
  • To forskere ved Cambridge University undersøkte 21 brukte Android-enheter fra fem forskjellige produsenter som hadde gjennomgått en factory reset. Til tross for dette var forskerne i stand til å gjenskape 80 prosent av innholdet på enhetene, slik at de kunne resynkronisere kontakter, mailer og andre data. 
  • Ifølge tall fra forskningsbyrået Sanford C. Bernstein er markedet for brukte mobiltelefoner ventet å eksplodere i årene fremover. De estimerer at markedet vil vokse fra 53 millioner enheter til 257 millioner enheter over de neste fem årene.
  • Det skjer ca. 105 000 ID-tyverier i Norge hvert år.

(Kilde: blancco.com, informationweek.com, forbes.com, elretur.no, alternativdata.no)

– Myndighetene ser at det oppstår sikkerhetsbrister hos forhandlere og på gjenbruksstasjoner her til lands. Situasjonen i Norge er likevel ingenting sammenlignet med enkelte stater som tjener gode penger på å operere i et ulovlig informasjonsmarked. Det fins stater som har enorme budsjetter på dette som ikke har redelige hensikter, hvor folk går på jobb for å skape falske pass og utføre ID-tyverier, sier hun.

Vær bevisst

Alternativ Data og Zachariassen forteller at det offentlige har klare regler for hvordan dette skal gjøres, men for hvermansen som må operere mer i det blå, anbefaler de NSM sin liste over godkjente sletteverktøy, eventuelt deres «lillesøster» NorSIS som publiserer veiledninger som er mer rettet mot forbrukere.

– Vær bevisst, du må anta at det er opplysninger på din enhet som kan være interessante for andre. Be om dokumentasjon når det er blitt foretatt en sletting, for å være sikker på at informasjonen ikke lenger ligger der, tilføyer hun.

Zachariassen mener det bør fungere som et lite varsku at passordbeskyttelse, formatering og egenhendig sletting ikke er nok for å hindre folk i å få tilgang til data.

– Spør gjerne om butikken/leverandøren har en ordning for dette når du kjøper en ny duppeditt. Både hvis du ønsker å slette enheten for videresalg eller hvis du skal kaste den. Forhandlere har mottaksplikt for EE-avfall og bør kunne hjelpe deg med dette.

Til toppen