Informasjon til øvingsleder

Innledende om scenarioet

Teknologi vi omgir oss med privat eller på jobb kan vanligvis kobles til andre enheter og til internett. Det gjør det mulig å dele informasjon og kommunisere overulike digitale løsninger som for eksempel bredbånd, kabel, xG, blåtann, wifi og radiosender og mottaker.

Eksempler på slik teknologi er:

  • Personlig mobiltelefon
  • Arbeidsrelatert mobiltelefon
  • Smartklokke med simkort, app-løsning, wifi, blåtann og GSM/GPS
  • Trenings-/pulssensorer med simkort, app-løsning, wifi og GSM/GPS
  • Personlig datamaskin, Ipad, laptop o.l
  • Arbeidsrelatert datamaskin, Ipad, laptop o.l
  • Kamera/videokamera med simkort, wifi, blåtann m.v.
  • GPS med simkort, wifi, blåtann m.v.
  • Nøkkelløse og programmerbare bilnøkler
  • Digital sporingsteknologi som trygghetsalarm, «key-finders» o.l
  • Alle stasjonære og mobile IoT (Internet of Things)-løsninger – d.v.s. system med sammenhengende dataenheter, mekaniske og digitale maskiner, objekter, dyr og mennesker som er utstyrt med unike identifikatorer (UID) og som gir mulighet for overføring av data over nettverk uten interaksjon mellom menneske og teknologi.

Det florerer med gode anbefalinger på digital sikkerhet både fra regjeringen, offentlige etater, organisasjoner og private aktører. Selv om mye informasjon er tilgjengelig, betyr det ikke at vi har tid, eller tar oss tid til å sette oss inn i alt. Diskusjonsøvelsen vil stille spørsmål som mange ikke tenker på, samtidig som man har en arena for deling av egne erfaringer og daglige utfordringer.

Diskusjon rundt denne type teknologi har til hensikt å gjøre ansatte i virksomheten oppmerksom på utenforliggende teknologi og hvilke sårbarheter som kan oppstå som en følge av dette. Målet er å diskutere mulige og nødvendige tiltak for å redusere risiko.

Ransomware (løsepengevirus) er en type malware (virus) som låser den teknologien du benytter, eller truer med å dele data på teknologien du benytter, med mindre du betaler løsepenger.

Spørsmål for å drive diskusjonsøvelsen fremover

  • Har det blitt gjort risikovurderinger i organisasjonen omkring denne type teknologi?
  • Hvilke teknologiske løsninger bruker ansatte daglig?
  • Hvordan beskytter man disse?
  • Hvilke krav stiller organisasjonen til passord?
  • Bruker man samme passord på flere løsninger? Privat vs. jobb?
  • Har man to-faktor passordløsning på viktige funksjoner eller apper?
  • Hvilke IoT-løsninger bruker ansatte og hvordan er disse beskyttet?
  • Deler man sine passord og pin-koder med noen (fordi man må)?
  • Har man laget beredskapsplaner for begrensning av skadevare som angriper denne type teknologi?
  • Er det antivirus, VPN eller andre sikkerhetsløsninger på apper ansatte benytter?
  • Har man og eventuelt skal man ta kontakt med samarbeidspartnere i forbindelse med hendelsen?
  • Har det blitt gjort risikovurderinger om. hvordan man sjekker at internettsider ansatte besøker/benytter er godkjente?
  • Er det mulig at utenforstående eller venner/familie gjennom tilgang til ansattes tekniske løsninger kan tilegne seg informasjon fra organisasjonens løsninger?