Det var Abid Raja som skjulte seg inni NRKs nissedrakt, men verden er full av nisser. Er du en av dem? Ikke? Tja, vi får se på det. Det er en viss fare for at du kan føle deg avkledd, om du leser videre. Men ikke stopp! Det vil være verdt det. Etterpå kommer du til å gjøre noe smart.

I disse dager, hvor vi forsøker å balansere mellom effektiv julehandel og nye koronavirusvarianter, velger stadig flere av oss å gjøre julehandelen på internett. (Ingen ønsker vel omikron som julemiddagsgjest). Vi er på kort tid innom et stort antall nettbutikker for å handle gaver og bestille julemat og julepynt. I tillegg er det avgjørende å få dokumentert all denne julekosen på sosiale medier, hvor vi snør inne i stemningsfulle oppdateringer om julepyntede hus, lykkelige familiesamlinger og familiehunder utkledd som Rudolf. Med andre ord –vår digitale aktivitet intensiveres. Det meste av denne aktiviteten krever innlogging med brukernavn og passord, for å være helt sikker på at du faktisk er deg, og for at betalingsinformasjonen du oppgir skal bli tatt godt vare på. Muligheten for å bidra til å beskytte deg selv og dine data ligger derfor rett foran deg! Men i effektivitetens (og latskapens) navn forsøker vi å gjøre all denne tidkrevende innloggingen så enkel for oss selv som mulig. Ingen er vel interessert i hva jeg har handlet på Zalando uansett?

Hva er ditt favorittpassord?

Så vi gjenbruker våre enkle favorittpassord for å slippe å komme i den kjedelige situasjonen hvor vi må trykke «glemt passord». Juleinnkjop2020 oppgraderes til Juleinnkjop2021, Vinter2019 får holde et par år til, og Emilie21092001 går jo aldri ut på dato.

Er det ikke også slik at mye av julehandelen foregår i ledige stunder mellom digitale møter og andre jobbaktiviteter? På den bærbare pc-en, mens du er innlogget på jobbens interne nettverk via fjernaksessløsninger? Og du gjenbruker kanskje også de samme enkle passordene her? Eller?

I rapporten Risiko 2021 forklarer Nasjonal Sikkerhetsmyndighet (NSM) hvordan gjenbruk av passord mellom brukerkonti med ulikt tilgangsnivå eller gjenbruk av passord på private og jobbrelaterte konti, svekker virksomhetenes sikkerhet.

Microsoft har gjennomført en studie som viser at rundt 44 millioner brukere gjenbruker passordene fra og med 2020. I 2019 viste en studie at rundt 72 prosent av brukerne resirkulerte eller gjenbrukte passordene sine. 63 prosent av disse brukerne brukte nøyaktig samme passord for alle sine kontoer. (Les om studien på TechRadar: Millions of Microsoft users are reusing passwords | TechRadar)

Passordhumor

Komikeren Michael McIntyre harselerer med intens innlevelse i en Netflix-spesial om folks forhold til passord. Han mimrer om internettets liberale barndom, da det var fritt frem for oss å ha et passord med bare små bokstaver. Etter hvert som internettet ble mer populært, begynte virksomhetene der ute å legge føringer for passordene. Vi måtte ha minst én stor bokstav. Det ble som regel den første bokstaven i passordet vi allerede hadde. Så måtte vi ha tall, og alle plasserte et 1-tall etter det gamle passordet. Og når det etter hvert kom krav om minst ett spesialtegn, landet alles øyner på utropstegnet. Det passer fint til slutt, bak vårt kjære, trofaste passord. Hvordan kan det være så morsomt at salen bryter sammen i latter av en komikers passe unyanserte gjennomgang av passordhistorien? Fordi skremmende mange kjenner seg igjen i fortellingen.

Hackere har gjennom lang erfaring og analysering av våre passord-uvaner opparbeidet seg lister over våre 100, 1000 og kanskje 10 000 mest brukte passord. Disse passordlistene benyttes i målrettede og automatiserte angrep mot et stort antall virksomheter og privatpersoner samtidig – og kontinuerlig! Finnes ditt enkle passord på denne listen, er både du og muligens din arbeidsgiver et lett bytte for angriperne.

NCSC (Nasjonalt cybersikkerhetssenter) utførte en studie på villige organisasjoner for å teste hvor mottakelige de var for slike angrep. 75 prosent av organisasjonene hadde minst én konto, som brukte et av topp 1000-passordene. 87 prosent hadde minst én konto med et passord i topp 10 000.

Det svakeste leddet

NSM skriver at svake passord fremdeles er den letteste veien inn i virksomheters systemer. De rapporterer om utstrakte funn av korte passord som er lette å gjette, eller som lar seg knekke med automatiserte angrep. Som «Sommer2020» og «September2020». Jeg anbefaler å ta en kikk på NSMs tips for passord.

Microsoft uttaler at 99,9 prosent av alle identitetsrelaterte angrep kan stoppes ved bruk av tofaktorautentisering. Det betyr at man i tillegg til ordinært brukernavn og passord, benytter en ekstra «faktor», som bank-id eller SMS-kode på telefonen for å bevise sin identitet under påloggingen.

NSM anbefaler alle privatpersoner og virksomheter å innføre en slik ekstra autentisering der det er teknisk mulig.

Ligg unna lenka!

Vår uforsiktige og makelige uvane med å opprette og gjenbruke enkle passord, er ikke den eneste faren. Fremdeles blir vi urovekkende ofte forsøkt «fralurt» personlig informasjon, særlig påloggingsinformasjon og bank- og kontoinformasjon, fra angripere som utgir seg for å være noen som kunne ha vært en del av ditt nettverk.

På sosiale medier deler vi informasjon om hvem som er vår arbeidsgiver, hvor vi bor, hvem vi er i familie med, hvilket fotballag vi heier på eller hvilke organisasjoner og innsamlingsaksjoner vi donerer penger til. Alt dette er informasjon som kan brukes til å skreddersy et angrep nettopp mot deg. Vi hører stadig oftere om svindelforsøk hvor angriperne benytter eposter og SMS-er for å lure deg til å oppgi informasjon.

Telenor advarte nylig om et massivt svindelforsøk i forbindelse med at deres mobilkunder fikk en tekstmelding, der de ble bedt om å laste ned en applikasjon for å høre talebeskjeder. Hvis man lastet den ned, vil man få et virus på mobilen som gir kriminelle tilgang til å plukke opp brukernavn, passord, betalingsinformasjon, kontaktlisten din og andre personlige opplysninger som kan brukes til ytterligere svindelforsøk.

Også Oslo kommune måtte nylig advare mot falske SMS-er i forbindelse med 3 vaksinedose. I disse tekstmeldingene ble man bedt om å oppgi personnummer og navn. Ikke helt unaturlig i disse tider?

Og har du mottatt gunstige Black Friday-tilbud på epost, gjerne fra en kjent nettbutikk, og klikket på en lenke og bestilt varer? Du sjekket vel om nettsiden var den ekte?   

Kan du stole på IT-sjefen?

Angrepene blir stadig mer komplekse og vanskelige å oppdage for de fleste av oss. I det siste har det til og med dukket opp angrep hvor angriper utgir seg for å være IKT-avdelingen hos din arbeidsgiver. I en epost eller SMS ber de deg om å oppdatere ditt passord som et nødvendig tiltak etter en sikkerhetsoppdatering. Hadde du hatt samvittighet til å la være?

Ved å utgi seg for å være en troverdig avsender, er det større sannsynlighet for at vi lar oss lure til å åpne et vedlegg eller klikke på en lenke. Vanlige svindelmetoder og hva du kan gjøre for å oppdage og avverge dem, kan du blant annet lese mer om på Nettsvindel – Politiet.no.

Hvor ille kan det gå?

Men hackerne har da ingen interesse av meg? Eller den lille kommunen jeg jobber i? Spør Østre Toten! Der ble kommunen utsatt for datainnbrudd og krevd for løsepenger. De hadde ikke tilgang til sine egne datasystemer og saksarkiv, og store mengder dokumenter havnet på avveie. Innbruddet fikk både driften og økonomien til kommunen ned i knestående. Og Datatilsynet til å reagere.

I 90-tallsfilmene skjedde datainnbrudd ved at kriminelle først hadde brutt seg fysisk inn på arbeidsplassen, så fant de lappen med passord som lå skjult under tastaturet. Voilá! Så dumme er vi ikke lenger, tenker vi selvtilfreds. Vi gjemmer heller passordene våre i et notat på telefonen. Vel, da er det faktisk smartere å gjøre som idiotene i 90-tallsfilmene. (Ikke at jeg skal oppfordre til å legge lapp under tastaturet, altså!) For det er langt større fare for digitale innbrudd enn fysiske.

Føler du deg avkledd nå?

Om det er en trøst, du er ikke alene. Men det er et selskap du ikke vil være en del av.

Felles for alle slike opplysninger er at de personlige, du skal selv bestemme over dem og helsepersonell har taushetsplikt om denne typen opplysninger.

Stadig flere helseopplysninger registreres i elektroniske duppeditter og applikasjoner på mobiltelefoner. Mange er også avhengige av medisinsk utstyr som er tilkoblet internett og gjør løpende målinger. Disse gir, enkelt sagt, direkte behandling basert på målingene. Eksempler på slik utstyr er insulinpumper og pacemaker.

Elektroniske duppeditter, applikasjoner og medisinsk utstyr kan hackes dersom datasikkerheten ikke er god nok. Hackerne får da tilgang til helseopplysninger om deg. I noen tilfeller kan de også fjernstyre medisinsk utstyr. Dette kan få fatale konsekvenser.

Men er noen interessert i helseopplysningene dine?

Marie Moe snakket om dette i NRK Ekko 25.10. Moe jobber i SINTEF og har en doktorgrad i informasjonssikkerhet. Hun har blant annet forsket på hacking av pacemakere. Da hun selv fikk pacemaker meldte nemlig spørsmålet seg om disse kan hackes. Svaret er ja.

Moe sier at helseopplysninger kan være interessant for forsikringsselskaper og at opplysningene videreselges på det svarte markedet. Der er helseopplysninger verdt 10 ganger så mye som kredittkortopplysningene dine (kilde: www.reutes.com). I tillegg gjør tilgang til helseopplysninger det enklere å gjennomføre identitetstyveri.

Stadig flere opplysninger om deg finnes på internett og helseopplysningene dine er gull verdt. Dette er en klar oppfordring om at disse opplysningene må passes ekstra godt på. Om du bruker elektroniske duppedingser og applikasjoner som registrerer helseopplysninger, eller medisinsk utstyr som er koblet til internett, bør du stille spørsmål om informasjonssikkerhet til dem som leverer løsningen! Hvilke av mine opplysninger lagres? Hvor lagres de? Hvordan sikres de fra at uvedkommende får tilgang til dem? Og hvor lenge lagrer dere mine helseopplysninger?

Samtidig må leverandører og helseforetak passe godt på helseopplysninger som enkeltpersoner gir til dere! De har tillit til at opplysningene er trygge hos dere, og i systemene og maskinene dere bruker. Denne tilliten er avgjørende for at folk vil dele sine helseopplysninger!

I desember ble Datatilsynet kontaktet av en person som hadde levert sin gamle mobiltelefon til butikken der han kjøpte den. Butikken skulle skrote telefonen. Senere fikk personen et varsel fra en sporingsapp han hadde installert om at telefonen var ladet og slått på et sted i Estland. I april kunne NRK melde at Lefdal solgte «ny» PC med sensitivt innhold. Tidligere denne måneden fikk vi vite at en annen person, som også hadde levert inn PC-en sin til en butikk, opplevde at en fremmed hadde fått tilgang til alle hennes Dropbox-filer.

Det finnes regler, men de er ikke gode nok

Alle kommuner og forhandlere av EE-produkter har plikt til å ta imot EE-avfall (litt enkelt forklart: brukt elektronikk). De har også plikt til å sikre at elektronikken oppbevares sikkert. Det følger av avfallsforskriften. Dette er regler Datatilsynet ikke kan håndheve, men personverntrusselen er likevel stor.

For det første har vi fått innspill om at ikke alle lagrer elektronikken sikkert i praksis. Enkelte lagrer for eksempel elektronikken i utendørs beholdere som det er lett å bryte seg inn i.

For det andre har kommunene og forhandlerne stor valgfrihet når det gjelder hvem de gir avfallet videre til. Enkelte aktører i gjenvinnings- og gjenbrukskjeden har plikt til og gode rutiner for å lagre avfallet sikkert slik at filer ikke havner på avveier. Andre har det ikke. Det er altså helt tilfeldig om du og jeg kan føle oss sikre når vi leverer inn den gamle mobiltelefonen vår.

For det tredje: Hvem har til syvende og sist ansvaret for at filene våre slettes eller destrueres? Loven gir ikke svar på dette.

Hva vi gjør, hva bransjen gjør – og hva du kan gjøre selv

Vi har levert et forslag til endring av avfallsforskriften til Klima- og miljødepartementet og Miljødirektoratet. Vi håper at reglene skal skjerpes slik at problemene ovenfor forsvinner. Dersom returordningen har mer tillit, vil også flere levere gammel elektronikk. Det er vi alle tjent med!

I arbeidet med forslaget har vi fått gode bidrag og tilslutning fra Elektronikkbransjen (en forening for EE-forhandlere), KS (en forening for kommunene), Elretur og Forbrukerrådet. I tillegg har vi fått støtte fra IKT-Norge og NorSIS. Vi er mange som mener at en endring må til.

Elektronikkbransjen begynner nå arbeidet med en ny bransjenorm for å sikre at EE-forhandlere har gode rutiner for avfallshåndtering. Dessuten er det satt fokus på å utarbeide bedre informasjon for forbrukere.

For deg som vil gjenvinne uten risiko for personvernet, finnes det løsninger som helt sikkert sletter innholdet på mobilen eller nettbrettet ved å skrive over harddisken flere ganger. Slike tjenester koster imidlertid penger. Hvis man først velger å betale ekstra for dette, er det viktig at man også får en kvittering på at sikker sletting faktisk har blitt utført – ellers kan man ikke vite om man har fått det man har betalt for.

Målet er imidlertid at vi snart kan levere avfallet til kommuner og forhandlere, uten å betale ekstra, og likevel være sikre på at opplysningene våre behandles (og slettes) på en trygg måte.

I forrige uke deltok vi på Security Divas, som i år ble arrangert for femte år på rad i Gjøvik. Vi deltok også i fjor på konferansen som arrangeres av Norsk senter for informasjonssikring (NorSIS) med mål om å ta vare på, og forsterke, sikkerhetsmiljøet med flere damer. Dette bidrar til nettverksbygging og faglige innspill til alle kvinner som er – eller ønsker å være – involvert i informasjonssikkerhet.

Det var 110 engasjerte kvinner som deltok på årets konferanse. Det var gode foredragsholdere, og interessante og høyst relevante innlegg. I pausene og under måltidene var det både tid og mulighet for å diskutere faglige tema, utveksle erfaringer og utvide nettverket.

Konferansens første dag dreide seg om digitalisering og sikkerhet, mens det dagen etter handlet om personvern, Big Data og beskyttelse av egen identitet.

Hva er så det viktigste vi sitter igjen med og som vi vil formidle videre?

Mørketallene – de usynlige lovbruddene
Leder for NSR Mørketallsundersøkelsen 2014 og informasjonssikkerhetsutvalget, Janne Hagen, fortalte om de usynlige lovbruddene. Mange digitale angrep skjer uten at de blir oppdaget og rapportert inn til myndighetene. Datatilsynet får blant annet mange færre avviksmeldinger på personopplysninger på avveier enn det vi antar at skjer. Datatilsynet deltok i arbeidet med Mørketallsundersøkelsen, og blogget også om den da undersøkelsen ble presentert i september. Undersøkelsen viser blant annet hvor stor tillit offentlig sektor har til nettskyleverandører. Få stiller krav om databehandleravtale, og vi mener at det er alt for mange som ikke vet hvordan leverandørene håndterer deres data eller hvor data blir lagret. Dette er nedslående og kan innebære to lovbrudd; at man ikke har oversikt over hvor data behandles, og at det kan ha skjedd en ulovlig overføring til tredjeland.

Funn fra tilsyn
Nasjonal sikkerhetsmyndighet (NSM) hadde et innlegg med en overskrift som vi kjente oss igjen i. Vigdis Grønhaug, kontrolldirektør i NSM, ga en beskrivelse av hvilke funn de hadde gjort innenfor informasjonssikkerhet. Oppsummeringen kunne like gjerne vært fra tilsynene vi i Datatilsynet gjør på internkontroll og informasjonssikkerhetsområdet. Ikke mye nytt å lære for oss, men interessant å se hvor like avvik vi finner i kontroller etter våre to regelverk (sikkerhetsloven og informasjonssikkerhetsområdet i personopplysningsloven).

Security Architect Divas?
Digitale angrep handler ikke lenger bare om angrep som fører til at informasjonssystem blir tatt ned eller kompromittert, men nå blir det også utført digitale angrep som fører til fysisk skade. Sofie Nystrøm er utvalgsmedlem i regjeringens nye Digitale Sårbarhetsutvalg (Lysneutvalget). Hun fortalte blant annet om en sabotasje på et smelteverk i Tyskland i desember i fjor, som førte til store fysiske skader.

En virksomhet som har en sikkerhetsarkitekt viser en høyere grad av modenhet. Sikkerhetsarkitekten er en person som ser på linken mellom krav og implementasjon, ser behovene og forstår hvordan de skal løse dem, sier Nystrøm.

Et stort problem med sikkerhetsarbeidet i enkelt virksomheter, er at det jobbes mye med enkelttiltak fremfor å jobbe med helhetlige tiltak. Statistikk fra Microsoft (2014) sa at det tar 48 sekunder fra en pc er kompromittert til en angriper har oppnådd administratorrettigheter på domenet. Vi som jobber med sikkerhet må tilstrebe å se på rotårsaker til at noe oppstår i stedet for å hotfixe (en kortsiktig reparasjon av et sikkerhetshull eller sårbarhet). Man skal selvsagt patche og oppdatere sine system, men man må også se på de underliggende problemene og se på helheten av et system.

Helhetlig tankegang må inn i systemutviklingen og i sikkerhetsarbeidet allerede fra starten av. Det er ofte et stort gap mellom krav, og implementasjon og produksjon. Kravspesifikasjonen inneholder sikkerhetskrav, policy, rammeverk, styringssystem, standarder, lovverk og kontrakter. Men de som jobber med utvikling forholder seg mest til implementasjon, testing, leverandører og underleverandører. En virksomhet som har en sikkerhetsarkitekt viser en høyere grad av modenhet. Sikkerhetsarkitekten er en person som ser på linken mellom krav og implementasjon, ser behovene og forstår hvordan de skal løse dem.

Hva vil den nye personvernforordningen medføre?
De kommende personvernreglene fra EU (forordningen) blir sannsynligvis vedtatt i løpet av våren 2015 og vil så bli implementert i Norge i løpet av et par år. Dette fortalte Eva Jarbekk, som er advokat og leder av Personvernnemnda. Reglene vil medføre at det blir langt viktigere enn tidligere med god intern styring og oversikt over personopplysninger i både offentlige og private bedrifter. Virksomheter med over 5000 registrerte må ansette personvernombud, Datatilsynet vil kunne gi enorme bøter til virksomheter som har store avvik, og krav om avvikshåndtering vil bli strengere. Det vil være krav om «retten til å bli glemt», og krav om innebygd personvern (Privacy by Design) når man utvikler nye system eller løsninger. Datatilsynet er i gang med arbeidet med å se på forordningen og vi har allerede mye veiledning innenfor nytt og eksisterende regelverk. Blant annet har vi oversatt de syv prinsippene for innebygd personvern  og vi har på trappene en veiledning på hvordan man skal gjøre en vurdering av personvernkonsekvenser (Privacy Impact Assessment).

Dagens forbrukere er i økende grad bekymret over at deres personopplysninger samles inn, (mis)brukes og videreselges, og flere begynner med digitalt selvforsvar, sier Tranberg.

«Don’t give data to a stranger»
Skal man være naiv, paranoid eller bruke sunn fornuft i dagens digitale samfunn? Skal vi bruke vårt egentlige navn på sosiale nettsteder, eller bør vi bruke pseudonym i all vår digitale kommunikasjon? Hvem kan vi stole på og hvem bør vi passe oss for? Vi hørte Pernille Tranberg, som er dansk journalist, snakke om god og dårlig bruk av Big Data. Dagens forbrukere er i økende grad bekymret over at deres personopplysninger samles inn, (mis)brukes og videreselges, og flere begynner med digitalt selvforsvar. Tranberg ga oss tips om å beskytte vår digitale identitet og ha ulike brukernavn på sosiale nettsteder. Hun snakket varmt om tjenester som tilbyr personvern som standardinnstilling (privacy by default), fremfor sporing som standardinnstilling (tracking by default).

Personvernutfordringer ved Big Data er ikke ukjent for oss i Datatilsynet, og vi skrev en rapport om Big Data for halvannet år siden. En av utfordringene er nedkjølingseffekt ved at mennesker begrenser seg i sin digitale kommunikasjon med fare for hvem som «lytter». Men blir dette riktig eller skal vi stille større krav til virksomhetene som behandler våre personopplysninger? Vi bør kunne forvente at opplysningene vi legger fra oss blir behandlet trygt og sikkert, ved at opplysningene ikke blir solgt videre til datameglere eller brukt av virksomhetene til «å forbedre egne tjenester». Men selvsagt må vi ha sunn fornuft når vi beveger oss i «det offentlige rom» og sikre oss for å unngå ID-tyveri. Her har både vi og NorSIS mange gode råd. Hvor utsatt er DU for ID-tyveri? Ta en test for å finne det ut.

Hilsen Krystalle Parmeggiani – mitt pseudonym generert på nett for i dag

I den landsdekkende undersøkelsen vi gjennomførte i november 2013 spurte vi om respondentene deler påloggingsinformasjon til sine personlige kontoer, for eksempel for å la andre foreta en betaling, eller å sende selvangivelsen for seg. Respondentene ble spurt om de frivillig har gitt ut påloggingsinformasjon som passord, pin-koder og kodekalkulator.

Trykk på bildet for å se grafen i full størrelse

Tre av fire sier at de ikke har gitt ut påloggingsinformasjon til andre. 13 prosent svarer imidlertid at de har delt denne typen informasjon. Det er mest vanlig å dele tilgangen til e-post og nettbank. Tallene viser at de 13 prosentene som deler innlogging med andre, gjerne deler innlogging til flere type tjenester.

De yngste deler i større grad påloggingsinfo med andre

Sorterer vi svarene fordelt på alder, ser vi signifikante forskjeller.

Trykk på bildet for å se grafen i full størrelse

De eldre er mer restriktive med å gi ut påloggingsinformasjon, enn den yngre delen av befolkningen. 82 prosent av de over 50 år har aldri gitt ut denne typen informasjon til andre, sammenlignet med 59 prosent i den yngste aldersgruppen. I samtlige kategorier, bortsett fra offentlige portaler, deler de yngste i større grad påloggingsinformasjon enn de eldre. Særlig i kategorien ”sosialt nettsamfunn” er det stor forskjell mellom yngre og eldre. Nesten 20 prosent i alderen 15-29 år har delt påloggingsinformasjon til sosiale nettsamfunn, mens snittet for den øvrige befolkningen ligger på rundt seks prosent.

Tallene sier ingenting om i hvilken grad de som gir ut påloggingsinfo til andre har opplevd personopplysninger på avveier eller misbruk av egne opplysninger. Det kan imidlertid være lurt å tenke seg om to ganger før man gir andre slike tilganger. Spesielt den yngste gruppen kan ha grunn til å trå varsomt siden mange deler innloggingsinfo til sosiale nettsamfunn. Nettsamfunnene inneholder mye sensitiv informasjon og kommunikasjon som kan sette kontoeieren i en sårbar situasjon hvis uvedkommende snoker eller misbruker kontoen – noe som ikke er helt uvanlig i følge ungdommene vi snakker med når vi er på skolebesøk.

Undersøkelsen er utført av Opinion Perduco i november 2013 via webpanel. 1501 respondenter i alderen 15 og oppover svarte på undersøkelsen.

Se alle tallene om bekymring og informasjonssikkerhet fra vår undersøkelse her. Ta gjerne også en kikk på våre tips for å lage gode passord.  

Trykk på bildet for å se grafen i full størrelse

Identitetstyveri er den trusselen flest er bekymret for at skal ramme dem. Hele tre av fire i undersøkelsen sier at identitetstyveri er en av de to truslene de er mest bekymret for. På andreplass kommer hacking eller tyveri av personopplysninger, fulgt av følsomme personopplysninger på avveier.

Folk er minst bekymret for overvåking fra politi, etterretning og offentlige etater. Det kan tyde på at tilliten til myndighetene er relativt høy, mens det er større bekymring knyttet til at tredjeparter stjeler personopplysninger og bruker disse på en uønsket måte.

Kvinner frykter bilder på avveier
Tallene viser at begge kjønn stort sett har samme bekymringer. Det er imidlertid noen forskjeller verdt å merke seg:

Trykk på bildet for å se grafen i full størrelse

 Sammenlignet med menn er kvinner mer bekymret for uønsket bildepublisering, identitetstyveri og følsomme personopplysninger på avveier. Menn på sin side er mer bekymret for overvåking fra politi, etterretning og offentlige etater. Dette kan tyde på at menn har lavere tillit til myndighetene, mens kvinner i større grad frykter at informasjon om dem selv kommer på avveier og kan bli misbrukt av tredjeparter. At kvinner er spesielt opptatt av uønsket bildepublisering og identitetstyveri kan være knyttet til at de deler et større volum av personlig innhold på nettet. Dette er noe vi tydelig så i en annen undersøkelse, gjennomført i januar 2013.

De yngste er mer bekymret for uønsket bildepublisering og overvåking fra myndighetene
Når vi ser på alder er det interessante forskjeller knyttet til tre av truslene:

• Kun 55 prosent av de i aldersgruppen 15-29 år er bekymret for identitetstyveri, sammenlignet med ca 80 prosent av alle som er over 30 år.
• De yngste er derimot mer bekymret for uønsket bildepublisering (18 prosent), sammenlignet med den mer voksne delen av befolkningen. Kun 10 prosent av de som er 50 år og eldre er bekymret for det samme.
• De yngste er også mer bekymret for overvåking fra politi og etterretning (15 prosent), sammenlignet med resten av befolkningen (rundt seks prosent). Vi ser den samme tendensen når det gjelder overvåking fra offentlige etater.

Den yngste gruppen skiller seg altså ut ved at de er mer bekymret for uønsket bildepublisering og overvåking, sammenlignet med den øvrige delen av befolkningen. Vi vet at de yngste er storkonsumenter av Internett og digitale tjenester. De føler seg kanskje derfor ekstra sårbare fordi mye av livene deres er eksponert gjennom bilder og annet personlig innhold i sosiale nettverk. Bakgrunnen for at de yngste er mer bekymret for myndighetsovervåking er uklar, men kanskje kan det knyttes til det siste årets mediefokus på avsløringene om massiv amerikansk overvåking. Fordi de yngste i stor grad lever livene sine på nett, er det mulig at de i større grad føler seg rammet av denne type overvåking.

Undersøkelsen er utført av Opinion Perduco i november 2013 via webpanel. 1501 respondenter i alderen 15 og oppover svarte på undersøkelsen.

Se alle tallene om bekymring og informasjonssikkerhet fra vår undersøkelse her.

Først og fremst bør du holde holdet kaldt. Selv om opplysningene dine er på avveier, er det ikke sikkert noen vil misbruke dem. Det viktigste du kan gjøre er å begrense andres mulighet til å misbruke opplysningene. Her er våre råd om hvordan du kan gjøre det:

1. Sperr kortet.
Om du sperrer kortet med en gang, begrenser du muligheten for at noen kan bestille varer eller tjenester i ditt navn.

2. Bytt passord på kontoer som er knyttet til kortet.
Hvis du bruker det samme passordet flere steder, må du bytte passordet ut disse passordene til nye. Hvis noen får tilgang til et passord du bruker på flere kontoer eller tjenester, kan de få tilgang til alle disse. Vi vet at det kan være vanskelig å huske mange ulike passord. Derfor anbefaler vi at du lager et passordsystem.

3. Følg med på bruken av kortene dine.
Hvis du oppdager transaksjoner eller annen bruk av kortene dine, som du ikke kjenner igjen, må du si ifra til banken eller kredittkortselskapet med en gang.

4. Følg med på postkassa.
Vær særlig oppmerksom dersom du mottar gjenpartsbrev for kredittvurderinger du ikke kjenner til. Hvis du mottar slike må du ta kontakt med den som har bestilt kredittvurderingen. Se også etter regninger for varer eller tjenester du ikke har kjøpt. Dersom du får regning for noe du ikke har bestilt, kontakter du den som har sendt deg regningen. Hvis du får mindre post enn du pleier, eller ikke får post i det hele tatt, kan det være lurt å kontakte Posten for å forsikre deg om at ingen har omadressert posten din.

5. Ikke oppgi personlig informasjon på e-post eller telefon.
Seriøse aktører vil aldri be deg oppgi personlig informasjon på e-post. Vi anbefaler at du ikke sender noe i en e-post som du ikke kan sende på et postkort. Det er fordi e-post er en usikker kommunikasjonskanal.

Hvis noen tar kontakt per telefon og ber deg oppgi personlig informasjon, som kredittkortnummer og koder, fødselsnummer eller passord over telefon, kan du ta det som et sikkert tegn på at noen prøver å lure deg.

6. Anmeld ID-tyveri til politiet
Hvis noen tar opp lån eller kjøper varer og tjenester i ditt navn, kan du være utsatt for ID-tyveri. Da må du kontakte ditt lokale politikontor og anmelde forholdet.

Test hvor god du er på å beskytte personopplysningene dine:

Les mer om ID-tyveri