Sosiale medier og informasjonssikkerhet – Del 2

Informasjonen din er innom en rekke steder før den når frem til den/de du sendte den til!

Informasjonen din er innom en rekke steder før den når frem til den/de du sendte den til!

Innsamling av informasjon skjer hele tiden

På mandag skrev jeg litt om informasjonsverdien av det vi la igjen via sosiale medier og i del to blir fokus på hvordan den informasjonen kan samles inn av andre uten at du nødvendig har kontroll over det. Jeg avsluttet forrige blogginnlegg med å påstå at de fleste av oss tar et valg når vi bruker de ulike tjenestene og en del av det valget bør bestå i å forstå at din og min informasjon er en eller annen form for handelsvare som vi ikke nødvendigvis har kontroll på. For å si det på en annen måte. Det er ikke medlemsavgiften for bruk av Facebook som er verdien i selskapet. Det er jo gratis å bruke deres tjenester. Det er som kjent få ting i livet som er gratis og internett er ikke en av dem. Dessverre.

La meg også presisere at store selskapene som Google (+) Facebook, Twitter og LinkedIn for å nevne noen, tar sikkerhet seriøst og det er ikke noe de bare sier. De bruker mye ressurser for å sikre sine systemer og informasjonen som de forvalter. Det er mange grunner til at de er avhengig av å ta sikkerhet på alvor. En av grunnene er at de må ha tillit hos brukerne. Har de fleste selskapene på dette nivået opplevd å bli hacket på en eller annen måte og fått kompromittert brukerinformasjon og kontoer? Ja dette er ikke unormalt! Men det betyr ikke at de ikke tar sikkerheten på alvor.

Det er en annen side av dette som jeg allikevel skal komme tilbake til litt senere og har du som leser fulgt med i nyhetsbildet de siste ukene burde du vite hva jeg kommer til å trekke frem.

Informasjonen du og jeg publiserer eller ubevisst legger igjen av digital spor, kan bli fanget opp og lagret av andre. Det er bare å venne seg til tanken. I dette blogginnlegget bruker jeg informasjonsinnsamling som et fellesbegrep. Så med informasjonsinnsamling betyr dette å skaffe seg tilgang til, samle inn, lagre og utnytte informasjonen. Jeg fokuserer på innsamling av informasjon fra sosiale medier i dette innlegget og jeg vektlegger spesielt den informasjonsinnsamlingen som kan skje utenfor din og min kontroll.

Informasjonsinnsamlingen kan skje på flere måter og jeg skal etter beste evne å forklare de ulike måtene dette kan skje på. Vi kan dele dette inn i flere kategorier.

  • Innsamling som du som bruker har gitt samtykke til som du forstår eller ikke forstår noe av.
  • Innsamling som du ikke nødvendigvis har gitt samtykke til, men som likevel er lovlig.
  • Innsamling via andre som du kommuniserer med (ikke nødvendigvis med ditt samtykke).
  • Innsamling via andre du kommuniserer med.
  • Tilgang til din informasjon ved at du ikke logger deg ut, eller får eksponert brukernavn/passord på annen måte.
  • Innsamling av din informasjon gjennom hacking av din enhet (PC/nettbrett).
  • Innsamling av din informasjon gjennom hacking av linjer/noder hvor informasjon transporteres.
  • Innsamling av din informasjon gjennom hacking av tjenesteleverandøren din
  • Innsamling av din informasjon gjennom hacking av den du kommuniserer med.

En viktig forutsetning er å forstå at din elektroniske informasjon ikke beveger seg i en direkte linje mellom deg som avsender og mottakeren av informasjonen. (Se illustrasjonen øverst i innlegget)

Når du leverer et vanlig brev med frimerke til en ansatt i posten er det ikke den personen som personlig leverer brevet til mottaker. Brevet går innom en rekke logiske fordelings- og sorteringssteder før den havner i mottakerens postkasse.  På samme måte foregår det i den digitale verden, bare mye raskere. Dog ikke like logisk når det kommer til geografi.  Informasjon som du legger ut på Facebook fra Norge og som bare er ment å leses av dine venner i Norge kan raskt vært i Sverige, Tyskland, Irland og USA før den i løpet av sekunder kan leses av dine venner i Norge. Informasjonen er garantert lagret utenfor Norge. F.eks. lagrer Facebook informasjonen sin i datasentre som ligger i Sverige og i USA. Ikke helt som å sende et vanlig brev med andre ord.

Innsamling som du som bruker har gitt samtykke til som du forstår eller ikke forstår noe av.

For å opprette en profil og bruke de ulike tjenestene må du bekrefte at du aksepterer vilkårene for tjenesten. Her vil tjenesteleverandører som Facebook  og andre beskrive hvordan de vil behandle din informasjon og hva den brukes til. Ikke alltid like lett for alle å forstå det tekniske og juridiske språket og det er vel de færreste av oss som virkelig leser vilkårene? En liten test på om vi leser slike vilkår eller ikke kan du lese om her.

De fleste tjenestene understreker at de anonymiserer informasjonen som de benytter til sine ulike formål, men ikke glem at din profil i sin helhet befinner seg på deres servere.

Det finnes en del kilder på dette området og jeg nevner Slettmeg.no i regi av NorSIS og Datatilsynet som noen norske kilder. Datatilsynet har tidligere publisert utredninger om hva som skjer med personopplysninger i Facebook

Innsamling som du ikke nødvendigvis har gitt samtykke til, men som likevel er lovlig.

De siste ukers medieoppslag om det amerikanske PRISM programmet har jeg allerede kommentert i et tidligere blogginnlegg.  Hvor omfattende programmet er diskuteres fortsatt. Uten å ta et direkte standpunkt til akkurat det, konsentrerer jeg meg om det som syntes å være bekreftet fra flere kilder. De ulike selskapene/tjenestene er pålagt å utlevere informasjon om brukere når amerikanske myndigheter ber om dette.  Det kan den enkelte mene og føle mye om, men vi kommer ikke bort fra at informasjonen befinner seg hos amerikanske selskaper som lagrer informasjonen på amerikansk jord og er underlagt amerikansk jurisdiksjon.

I Norge kan politiet med hjemmel i straffeprosesslovgivningen be om utlevering av slike opplysninger. Datatilsynet skrev i april 2013 i sin personvernblogg om at enkelte selskaper/leverandører er blitt flinkere til å gi statistiske opplysninger om hvor ofte dette skjer.  Slike situasjoner kjenner vi til fra media hvor norsk politi i den såkalte Sigrid saken blant annet anmodet om innsyn i hennes Facebook konto.

Vi har en situasjon hvor vi som brukere foretar bevisste eller ubevisste valg som gjør at vår personlige informasjon er lagret en rekke steder rundt omkring i verden. Det landet hvor informasjonen befinner seg i, kan med sine nasjonale juridiske fullmakter begjære en rekke tiltak som gjør de i stand til å få tak i informasjonen ut i fra sine definerte behov.

Innsamling via andre som du kommuniserer med

Her gjelder de samme forutsetningene som punktet over, men hvor det ikke er nødvendigvis det er deg som er objektet for en slik informasjonsinnsamling, men den du kommuniserer med som er objektet. Av den grunn kan din personlige informasjon bli en del av denne innsamlingen.

I tillegg til dette kommer jo muligheten for at det er ikke nødvendigvis sikkert at du har kontroll på hvem alle er. Selv om dere er venner på “face” Spørsmålet om vi virkelig har 400 nære venner er et innlegg i seg selv. Men vi bør kanskje tenke litt nøyere over det spørsmålet innimellom.

Har du virkelig 400 nære gode "venner"?

Har du virkelig 400 nære gode “venner”?

Tilgang til din informasjon ved at du ikke logger deg ut, eller får eksponert brukernavn/passord på annen måte.

Her er det fortsatt mange brukere som ikke er bevisste nok. I disse ferietider kan et besøk på en internett-kafe eller lån av noen andres PC, nettbrett m.m. føre til at brukernavn/passord fra ulike tjenester som blant annet sosiale medier – kommer på avveie. Dette kan videre føre til at informasjonen din også havner på avveie.  Det finnes mange andre måter vi kan få avslørt våre brukernavn og passord på. F.eks. at vi gjenbruker det samme brukernavn og passord på ulike tjenester. Ryker en konto ryker alle…

Innsamling av din informasjon gjennom hacking av din enhet (PC/nettbrett/mobil).

Det bør ikke overraske at våre enheter som PC, nettbrett og mobiltelefoner m.m. er sårbare for å bli hacket. Hensikten med å hacke deg kan være mangeartet. Jeg skal beskrive mer om dette i del 3, men det er viktig å forstå at informasjonen på din enhet har verdi. Grunnleggende sikkerhetstiltak som brannmur/antivirus og oppdatert programvare er sammen med fornuftig atferd på nett fortsatt det viktigste du kan gjøre for å redusere risikoen for at dette skjer deg.

En av utfordringene er at det fortsatt er for lavt kompetansenivå hos mange brukere og det vil fortsatt være en utfordring i fremtiden.

Innsamling av din informasjon gjennom via linjer/noder hvor informasjonen transporteres.

Vi kan dele denne problemstillingen i to. Der hvor innsamling skjer med juridiske fullmakter som gjør dette lovlig og der hvor innsamlingen skjer ulovlig f.eks. ved at noen har hacket seg inn på kommunikasjonslinjene.

Nå skal det legges til at en god del av den informasjonen som sendes vil være kryptert slik at det er ikke bare å få tak i informasjonen i seg selv.

Et eksempel på hvordan informasjonsinnsamling kan skje med lovlige midler er FRA lovgivningen i Sverige som du kan lese mer om her.

Innsamling av din informasjon gjennom hacking av tjenesteleverandøren din

Jeg startet dette innlegget med å påstå at selskaper som Facebook og andre tar sikkerheten på alvor og at de var avhengige av å ha tillit hos sine brukere. Dersom man ser dette fra en annen side utgjør de samme selskapene kjempestore mål for alle som av ulike grunner vil være interessert i informasjonen de har lagret. Så hvorfor skal de som tenker slik, forsøke seg på enkeltindivider når de kan forsøke å skaffe seg tilgang til flere millioner menneskers informasjon på en gang.

Nå vil det nok være noe lettere å hacke enkeltindivider enn selskaper av denne størrelsen, men dersom de lykkes er belønningen selvsagt mye større.

Innsamling av din informasjon gjennom hacking av den du kommuniserer med.

Det samme som kan skje deg og din PC kan selvsagt skje andre som du kommuniserer med. Her er risikoen for at deler av din informasjon også blir samlet inn. Det er altså ikke nok hva du selv gjør. Du er også avhengig av at leverandøren(e) din sikrer informasjon og at dine venner gjør det samme.

Hvor i verden ender det du legger ut på sosiale medier? Facebook, Twitter og andre sosiale plattformer krever sosial kompetanse, og sikkerhetsbevissthet. Ill.foto: Colourbox.com

Hvor i verden ender det du legger ut på sosiale medier? Facebook, Twitter og andre sosiale plattformer krever sosial kompetanse, og sikkerhetsbevissthet. Ill.foto: Colourbox.com

Nå har jeg forsøkt å gi en forenklet beskrivelse av hvordan informasjon fra sosiale medier kan havne andre steder enn det vi opprinnelig hadde tenkt.  I siste del vil jeg beskrive hva denne informasjonen kan benyttes til og jeg vil også forsøke å knytte de tre delene sammen til en helhetlig fremstilling av de sikkerhetsmessige utfordringene som finnes i forhold til sosiale medier.

 

 

About Roar Thon

Roar Thon er fagdirektør sikkerhetskultur i Nasjonal sikkerhetsmyndighet hvor han har arbeidet siden 2003. Han har tjenestebakgrunn fra Forsvaret og Politiet. Han har de siste årene arbeidet mye med menneskers bruk av teknologi og hvordan mennesker atferd påvirker sikkerhetstilstanden. Roar er tildelt ITAKT prisen 2012 for sitt engasjement og evne til å formidle sikkerhet. (ITAKT - Internet og Telekombransjens Anti Kriminalitets tiltak)
This entry was posted in Identitetstyveri, Informasjonssikkerhet, Internettsikkerhet, Sosial manipulasjon, Sosiale medier. Bookmark the permalink.

One Response to Sosiale medier og informasjonssikkerhet – Del 2

  1. Pingback: Sosiale medier og informasjonssikkerhet – Del 3 | Sikkerhetsbloggen

Comments are closed.