Kan god dialog med brukerne stoppe cyberangrep?

Kan god dialog med brukerne stoppe cyberangrep?

Du er forsker. Mandag morgen får du en e-post som sier at du har logget inn på Instagram fra en ny, ukjent enhet. Torsdag samme uke får du meldinger fra flere Facebook-venner som forteller at de har mottatt et upassende videoklipp fra deg på Messenger. Dagen etter oppdager du at e-postkontoen din på universitetet er blokkert. Hva tenker du da? Hva gjør du? 

Dette var ett av flere scenarier som ble diskutert på Uninetts workshop om cybersikkerhet ved Universitetet i Bergen (UiB) i februar 2020.  Vi samlet studenter, forskere, ledere og support-ansatte til diskusjon og gruppearbeid. Her beskrev deltakerne sin digitale hverdag fra de står opp til de legger seg. Gjennom ulike scenarier drøftet de hvordan de ville taklet å bli utsatt for hacking, phishing eller andre sikkerhetsangrep.  

Se film fra sikkerhetsworkshopen på UiB
 
Sentrale spørsmål var blant annet: Hvor lagrer de sine data, og hvor opptatt er de av sikkerheten? Hvor ofte skifter de passord? Tenker de seg om før de klikker på e-postlenker? Bruker de universitetets e-postkonto i sosiale medier? Hvilket forhold har de til lokal IT-support, intranettet og institusjonens nettsider? Hvilke enkle grep kan de selv ta for å få en tryggere digital hverdag? Vet de hvor de kan oppsøke digital hjelp på campus?  

Hvor bevisst er brukerne på datasikkerhet?
 
Mer bevisst på jobb enn privat 
 
Malin Jonsson og Jørn Skavland er forskere på UiB og deltok begge på workshopen. De fortalte at de tenker mye mer på sikkerhet i jobben enn privat:  
 
- I jobbsammenheng tenker jeg mye på sikkerhet, i og med at jeg jobber mye med pasientdata. GDPR og liknende gjør at man må tenke mye på datalagring: Hvordan data lagres, hvor de lagres, anonymisering, osv. Privat er jeg mindre opptatt av IT-sikkerheten, sier forsker Jørn Skavland (Klinisk institutt 2)
 
- Jeg prøver jo selvsagt å være bevisst også på min private datasikkerhet, for eksempel på lenker i e-poster. Generelt sett syns jeg det har blitt mye mer fokus på sikkerhet nå enn tidligere, sier professor Malin Jonsson (Institutt for klinisk odontologi).

Gode rutiner, lite brukerdialog 
 
IT-avdelingen og administrativ ledelse ble utfordret på hvilke tiltak de gjennomfører og hvilke varslingskanaler de har når de oppdager at noen av deres brukere er angrepet. Sikkerhetsansvarlig ved IT-avdelingen på UiB, Sidsel Storebø var en av deltakerne:  
 
- Vi har gode rutiner på å stenge brukerkontoer når vi oppdager at noen er utsatt for identitetstyveri, phishing, hacking eller liknende. Hvis dette gjelder ansatte, får vi lett gitt dem beskjed om tiltaket. Men studenter får vi sjelden varslet, da IT-avdelingen ikke har direktekanaler for å nå dem. Dette er selvsagt en utfordring, uttalte Storebø. 
 
Mange ulike brukergrupper - vanskelig å nå alle

IT-avdelinger, HR-avdelinger, studieavdelinger osv. har svært mange brukergrupper de skal levere digitale tjenester til: Administrativt ansatte, forskere, gjesteforskere, innleide konsulenter, studenter, utvekslingsstudenter, tilknyttede forskningsinstitutt, osv. Direkte kontakt med alle disse brukerne er en stor utfordring, og uten gode kanaler får man verken tilbudt forebyggende sikkerhetstips eller support når angrepet er et faktum. 
 
- Studenter, forskere og øvrige ansatte i kunnskapssektoren er som befolkningen flest; de har høy tillit til systemene, og opptrer gjerne litt naivt. “Hvorfor skulle noen hacke meg?”, tenker de.  Men cyberangrep er gjerne indirekte, og mange som blir utsatt for phishing, hacking eller identitetstyveri vet ikke at de er angrepet. Når de først oppdager det, vet de ikke hvor eller hvordan de kan oppsøke hjelp. Dette ønsker vi å gjøre noe med, sier Rune Sydskjør, leder av Uninett CERT.

Hvor bevisst er brukerne på datasikkerhet?
 
Tjenestedesign for mer brukervennlige tjenester  

Uninett bruker nå tjenestedesign for å kartlegge cyberhverdagen på campus. Med nærmere innsikt om brukerne kan man skape brukervennlige tjenester som kan styrke cybersikkerheten.  
 
- Å samle brukerne og tjenestetilbyderne på en slik workshop er et viktig steg i kartleggingsarbeidet. Mange blir overrasket over brukernes beskrivelse av sin digitale hverdag, og ikke minst hvor lite bevisst de er på egen sikkerhet. Hvis vi skal levere gode, brukervennlige tjenester, må vi først ha god innsikt i deres ønsker og behov. Denne innsikten skaffer vi oss blant annet gjennom design thinking, sier Maria Luces, prosjektleder i Uninett AS.

Sikkerhetstjenester fra Uninett