IKT-sikkerhet – Et norsk kunnskapshull

Boy and Girl see something amazing
photo: StartupStockPhotos

At kunnskapen norske barn har om nettvett styres etter interessen til læreren sin er helt feil. Dette er opp til Røe Isaksen å gjøre noe med.

Det er mer penger i datakriminalitet enn det er i kriminalitet knyttet til våpen, dop og prostitusjon til sammen. I dag møter norske barn Internett for første gang som åtteåringer. Bare 4% av norske barn mellom 9 og 16 år bruker internett sjeldnere enn én gang i uken. Dette gjør markedet for datakriminalitet enda større og noe mer sårbart. Andelen nordmenn, uansett alder, som er på internett er høy. Likevel har ikke alle den samme erfaringen med internett og få har full kontroll over farene som ligger og lurer. Dagens voksne har mye mindre erfaring med internett enn dagens barn ettersom de manglet muligheten til å vokse opp med det. De voksne sitter likevel på en evne til å kunne tenke mer fornuftig og kritisk.

 

Fokus på sikkerhet

Når barn får sin første husnøkkel får de klar beskjed fra sine foreldre om at denne må passes på og kanskje noen retningslinjer om hvordan passe best mulig på den. Dette er kunnskap de de få hjemmefra fordi foreldrene er kvalifiserte nok til å kunne gi denne opplæringen. Brannsikring derimot får barna gjerne gjennom skolen av brannvesenet ettersom få har like god kunnskap som dem. På samme måte er det også med førstehjelp. Sikkerhet på internett og digitale hjelpemidler har på langt nær samme fokus. Det kan heller ikke forventes at alle foreldre har tilstrekkelig kunnskap til å gi nok opplæring.

 

I kompetansemålene på grunnskolen

Læreplanen i norsk skole blir satt etter kompetansemålene. I løpet av barneskolen, 1.-7. klasse har elevene to kompetansemål innenfor bruk av datamaskinen og dens data og sikkerhet rundt denne. Innen 4. klasse skal elevene ha lært å vurdere om informasjon de finner via digitale hjelpemidler er pålitelig. De skal også ha kunnskap om personvern i digitale medier.

Innen 7. klasse skal de også kunne reglene for nettvett, nettetikk, personvern og opphavsrett. Det er også et mål om å kunne vurdere kilder. Dette høres ut som store krav, men de kan også påstås å burde være obligatoriske om man skal bruke internett.

 

Viktig med kildekritikk

Som ung er man ofte mer naiv enn de med mer livserfaring. Kildekritikk er dermed et av de viktigste kompetansemålene de har på barneskolen. Selv lærte jeg at man helst skulle bruke andre kilder enn Wikipedia, fordi det ikke var en kilde man kunne stole på. Det jeg derimot ser nesten ti år etter er hvor mye annet man også må være kritisk til. Nemlig alt på internett. Det er ikke alt på blogger som er riktig, alle linker i e-poster som bør trykkes på og absolutt ikke alle premiene du har vunnet som faktisk finnes. Desto tidligere dette blir innlært jo mindre skuffet trenger guttene å bli idet de ser jente(17) i nærheten som gjerne vil ha sex med dem.

 

Tilfeldighetene som rår

På lærerhøyskolen er det ingenting om nettvett på utdanningsplanen. Det gjør det helt tilfeldig om elevene på barneskolen lærer det de skal angående nettvett og kildekritikk. Lærerens egne interesse for feltet vil dermed være avgjørende på hvor mye hver klasse vil lære og hvilket fokus de vil ha på å få inn den kunnskapen. Dette skaper store forskjeller på hvilken kunnskap elevene sitter igjen med etter fullført skolegang og gjør enkelte svært mye mer utsatte for datakriminalitet enn andre.

 

Sikkerhetsfaglig råd

Høsten 2015 overrakte Nasjonal sikkerhetsmyndighet rapporten Sikkerhetsfaglig råd med 72 tiltak til Forsvarsminister Ine Eriksen Søreide og statssekretær Gjermund Hagesæter i Justis- og beredskapsdepartementet. Av de 72 tiltakene som er ment til å styrke sikkerheten frem mot 2020 er 40 av dem om IKT-sikkerhet. To av dem igjen handler om styrking av kunnskap innenfor IKT-sikkerhet. Hvorav begge begynner med setningen ”Justis- og beredskapsdepartementet bør ta initiativ overfor Kunnskapsdepartementet…”. Det er ikke første gang kunnskap blir nevnt i en rapport som omhandler styrking av IKT-sikkerheten i landet. I 2012 ble det skrevet en rapport undertegnet datidens Justis- og beredskapsminister, Forsvarsminister, Samferdselsminister og Fornyings-, administrasjons- og kirkeminister. Denne rapporten, Nasjonal strategi for informasjonssikkerhet, forteller at alle barn og unge skal ha basiskompetanse innen informasjonssikkerhet. Likevel var ikke Kunnskapsdepartementet å se i denne forbindelsen heller.

 

Kunnskapsministeren bør ta initiativ overfor Kunnskapsdepartementet

Den sikreste måten å bygge opp kunnskap i en hel befolkning er å la det gå gjennom grunnskolen. Et sted å starte er derfor å ha obligatorisk emne om dette på lærerhøyskolene og dermed putte det i læreplanen på barneskolen. Det blir skrevet rapporter om dette rett som det er, men det hjelper så lite om ikke Kunnskapsminister Røe Isaksen og resten av Kunnskapsdepartementet er med på samtalen. Internett ser ut til å ha kommet for å bli og kunnskap om riktig bruk er nødvendig. Så lenge vår tids foreldregenerasjon ikke har vokst opp med nettet eller fått inn kunnskap på andre sikre måter må opplæring komme på andre plattformer enn hjemmefra. Jobben med at de unge skal holde følge med digitaliseringen er på god vei, men blir veldig halvveis når sikker bruk ikke er på planen. Ærlig talt, Torbjørn, her må noe gjøres. At kunnskapen elevene sitter igjen med styres etter interessen til læreren sin er helt feil. Dette er et for alvorlig tema til at tilfeldighetene bør spille inn.

Advertisements

Norsk næringsliv i endring grunnet EU-forordning

Security concept - Locks on digital screen
Security concept – Locks on digital screen(photo: Jack Moreh) 

Hvordan behandlingen av personopplysninger skjer har endret seg stort de siste årene. Dette krever nye lover og at næringslivet må omstille seg.

Da jeg gikk inn i klasserommet på Juridisk fakultet på Universitetet i Oslo i vår for å ta emnet ”Personvern i offentlig forvaltning” ble jeg møtt med beskjeden ”Gratulerer! Dere har tatt det smarteste valget av dem alle”. Videre ble det fortalt at temaet, sånn det er i dag, er ganske lite omdiskutert. Det er heller ikke en prioritering i virksomheters ledelse. Om to år vil derimot saken bli en annen. Straffene skal bli større. Bøtene kommer til å svi til og med for de selskapene med størst omsetning. I tillegg vil det bli behov for næringslivet å ansette flere som kan lovene grundig for å opprettholde at alt går riktig for seg til enhver tid.

 

Trenger modernisering

I Norge følger vi i dag personopplysningsloven. Lovene ble gjeldende i 2001 og mye har endret seg siden den tid. Den har som formål å beskytte enkeltmennesket mot at personvernet blir krenket gjennom behandling av personopplysninger. Dagens lovtekst gjelder behandling av personopplysninger gjennom elektroniske hjelpemidler, som gjerne er digitale. Likevel er det veldig lite i lovteksten som forteller spesifikt om dette. Mye av grunnen til dette kan være at forskjellene på samfunnet da loven kom og den dag i dag er enorm når det gjelder elektroniske hjelpemidler.

 

Fornyer lovene til hele EU

EU-kommisjonen la frem sitt forslag av en modernisering av personverndirektivet i 2012. Ved å gjøre det til en forordning vil lovene tre i kraft i medlemslandene uten at det vil måtte bli vedtatt i hvert enkelt land. Dette gjelder også Norge grunnet EØS-avtalen. Begrunnelsen på at dette er nødvendig er at informasjon om privatpersoner mye mer enn tidligere flyter over landegrensene. Det er derfor viktig at vi spesielt i Europa, hvor handel og tjenester gjerne skal gå lett fra land til land, har en felles enighet i hvordan personopplysninger skal behandles.

 

Strengere på informasjonssikkerhet

En av de store forskjellene i den nye personvernforordningen til EU-kommisjonen er at søkelyset nå vil rettes på informasjonssikkerhet. Når den nye loven trer i kraft vil det bli krav om at virksomheter sørger for tilfredsstillende sikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Det vil også være et strengere krav til risikovurdering enn tidligere. Samtidig er det ønsket å unngå unødvendige byrder for næringslivet.

 

Kan bli veldig dyrt

Om næringslivet tråkker feil i henhold til EU sitt direktiv eller Norges personopplysningslov i dag kan det få konsekvenser i form av bøter eller fengsel på maksimalt tre år. Bøtene kan i dag gå opp til maksimalt 900 000 kr, men en av de strengere straffene ble sett da Gjensidige fikk en bot på 600 000 kr i 2014. Etter at forordningen trer i kraft og den nye loven blir gjeldende i Norge kan bøtene gå opp til 100 millioner euro eller opp til 5% av virksomhetens årlige omsetning. Dette vil for alvor gjøre at næringslivet ikke tar like lett på loven og behandlingen av personopplysninger. Beslutningene bør bli løftet opp til ledelsen og styret idet loven trer i kraft. Om ikke, så vil den i hvert fall det etter første gangen virksomheten tråkker feil.

 

Næringslivet står foran en stor omstilling

Næringslivet må begynne å se på den nye forordningen allerede. Fra årsskifte 2018 vil det begynne å koste dem dyrt om de gjør selv de små feilene. Det vil også bli strengere krav til innebygd personvern og til klar og tydelig informasjon og samtykke. I tillegg kommer det til å bli veldig viktig at alle har retten til å bli glemt på internett og det skal dermed bli mye enklere å få slettet opplysninger om seg. Næringslivet er nødt til å foreta seg en stor omstilling. En av de største forskjellene vil være at diskusjonene og beslutningene blir nødt til å skje oppe hos ledelsen og styret istedenfor IT-rommet. Det vil også bli satt krav til å opprette en personombud-stilling om bedriften er av en viss størrelse eller behandler en viss mengde med personopplysninger. To år går fort. Kanskje blir vi som satt i klasserommet i vinter ansatt i de mange nye stillingene som personvernombud.

Når storebror blir med på date

Før måtte vi ta motet til oss og be på date ansikt til ansikt. Nå legger vi igjen mer personlig informasjon om oss selv på nettet enn vi kanskje er klar over i håp om å finne den store kjærligheten.

En halv million nordmenn har til felles å være brukere av applikasjonen Tinder. Jeg ble i 2015 én av dem. Da hadde jeg allerede i lengre tid hørt på venners historier om erfaringer de hadde fått av datingapplikasjonen. Selv satt jeg med sommerfugler i magen da jeg lastet ned Tinder på min iPhone.

Tinder har som mål å gjøre det enklere for brukerne sine å finne bekjentskaper, og forhåpentligvis fremtidige kjærester, i geografisk nærhet av brukeren. Ved å se enkel informasjon, som bilder og navn, skal du sveipe mot høyre eller venstre etter hvilket inntrykk du danner deg. Høyre er representert som «like» eller «ja» og venstre som «nope» eller «nei». Informasjonen om brukerne henter de fra Facebook etter tillatelse fra brukerne når Tinder-brukeren blir opprettet.

Ønsket innblikk i religiøst synspunkt

Min egen erfaring med Tinder var god helt til en oppdatering av applikasjonen kom og de ba om enda mer innsyn til Facebook-profilene til brukerne sine. Denne gangen ønsket de å hente ut informasjon om religiøst og politisk standpunkt. I henhold til personopplysningsloven § 2 er dette sensitive personopplysninger, som man skal beskytte spesielt. Man skulle jo tro at det ikke var applikasjonen Tinder brukerne ville åpne seg for da de lagde bruker, men heller en ny flørt. Hva mer informasjon kunne Tinder ha samlet opp?

Ærlige, men grådige

Personvernretningslinjene til Tinder beskriver tydelig og ærlig hvilken informasjon om brukeren de lagrer og hvordan de bruker og deler den. Det kan likevel bli oppfattet som sjokkerende hvor grådige de faktisk er på informasjon om ikke retningslinjene har blitt lest grundig. Tinder henter ut informasjon fra samtalene dine og loggene blir tatt vare på. I tillegg henter de ut alt som brukerne gir tillatelse til at hentes fra Facebook. Dette kan være alt av bilder, hvem du er venn med, hvor du bor og hvor du tar utdannelsen din eller jobber. I tillegg vet de hvilke sider du liker og hvor gammel du er.

Storebror ser deg

Mens Facebook byr på informasjon om oss til Tinder byr også Tinder på noe til brukerne sine. Informasjonskapsler, som også kalles cookies, er det brukerne får servert. Dette er den mest utbredte formen for sporing på internett. Under personverndagen i 2016 hadde Datatilsynet og Teknologirådet hovedfokus på nettopp cookies. De forteller i rapporten de ga ut i anledning personverndagen at cookies legges ut via nettleseren som en liten kode på datamaskinen vår. Denne koden gjenkjennes når vi besøker samme side senere. På denne måten samles det informasjon til eieren av nettsiden om hva vi som brukere foretar oss på sidene, hvilke interesser vi har, hva vi søker på og hva vi klikker på. Dette fungerer på samme måten på mobilapplikasjoner og gjør at Tinder får vite all brukeratferd, som hvem vi trykker på og hvem vi søker etter.

Er eksponeringen uunngåelig?

Eksponeringen av personlig og privat informasjon kan virke skummel ettersom den er så omfattende. På en annen side er den til egen nytte og nytelse da den gir oss personliggjorte nettsider og applikasjoner. Ved personliggjøring kan man for eksempel få reklamer på nettsider og nettaviser hvor innholdet er spesifikt valgt etter dine interesser og tidligere ønsker. Interessene blir kalkulert etter hva du tidligere har trykket deg inn på eller søkt etter. På Tinder betyr dette at applikasjonen kan vise deg personer som minner om de du tidligere har vist interesse til før de viser deg personene du ikke har vist interesse for. På en annen side kan man velge å se den negative siden av personifiseringen. Privatlivet sies å være nærmest dødt og internett vet mer om deg enn du kanskje husker om deg selv. Jeg husker i hvert fall ikke alle guttene jeg har sveipet høyre på eller hva jeg søkte på på Google for en uke siden.

Samtidens it-jente

Kjedelig fakta først: Jeg er en 21 år gammel jente fra Lillehammer. Som 19-åring flyttet jeg til Oslo og ble mer Oslo-jente enn Lillehamring da jeg bestemte meg for å studere informatikk ved Universitetet i Oslo.

Navnet mitt er Nina Hoddø Bakås og jeg er IT-jenta. Et pseudonym jeg liker å bruke på meg selv. Mye fordi jeg, da jeg begynte å blogge, ville blogge anonymt. For ja, jeg syntes det var flaut med blogg jeg også. Som moteblogger og informatikkstudent var IT-jenta det beste navnet jeg kunne komme på. Jeg er ingen it-jente, som defineres som samtidens mest trendsettende jenter. Gjerne en som skiller seg ut og mange ser opp til deg som et forbilde. Jeg er IT-jente fordi jeg er en informasjonsteknologi-jente, noe jeg synes har ganske lik definisjon som it-jente. IT er trendsettende, som IT-student og jente skiller man seg ut og jeg vil si at man går frem som et forbilde ved å gå mot strømmen.

Så hvorfor valgte jeg å studere informatikk og gå mot strømmen? Jeg er glad i å ikke gjøre som alle andre. Det kan også være at jeg ble påvirket av både mamma og pappa, som begge to har jobber innenfor IT. Selv om vi alle tre ble overrasket over valget mitt, så tror jeg ikke det er så vanskelig å forstå likevel. Jeg fant interessen for algoritmer og kryptografi på videregående og har alltid interessert meg for de sosiale mediene. En jobb som medieviter ville vært interessant, men der kan jobbene være noe smale, så jeg vil heller være hun som vet teknologien bak dem.

Teknologien er fremtiden og jeg vil ikke bare være en del av den, men også være med på å forme den.

Dette semesteret tar jeg emnet MNKOM3000 og det er egentlig derfor jeg har opprettet denne bloggen. Jeg har en blogg eller to fra før av, men det er alltid gøy å begynne med blanke ark. Emnets navn er Formidling og vitenskapsjournalistikk og er i grunn ganske selvforklarende. Vi skal her lære om hvordan formidle et vitenskapelig tema på en god måte gjennom fem forskjellige sjangre. Den første oppgaven er dette blogginnlegget og etterhvert kommer det både essay, kronikk og populærvitenskapelig artikkel. I tillegg skal vi holde en presentasjon. Jeg kommer nok til å skrive litt om det også.

Grunnen til at jeg har valgt dette emnet er fordi jeg har et eksponeringsbehov uten like og er glad i å formidle det jeg interesserer meg for. Det er heller ikke rent lite jeg finner interessant. Likevel er det jo noe som interesserer meg mer enn andre ting.

En av de tingene som interesserer meg ekstra mye er informasjonssikkerhet og personvern. Det er også noe jeg synes er viktig å formidle videre, for folk flest er ikke særlig flinke på informasjonssikkerhet. Hverken i hverdagen eller jobb-og skolesammenheng. Dette som jobb er vel det jeg ser på som drømmejobben, altså en formidlingsjobb. Med dette som mål har jeg også et mål og et ønske om å bli best mulig i formidling. Det er grunnen til at jeg tar dette emnet.

For meg er formidling noe som skal inspirere, både formidler og han som hører på.