NorSIS publiserer ny rapport om befolkningens digitale sikkerhetskultur
Innledning
NorSIS publiserte i 2016 en rapport om den norske informasjonssikkerhetskulturen[1]. Forut for dette tildelte Justis- og beredskapsdepartementet midler til å utvikle en metode for kartlegging av sikkerhetskultur på et nasjonalt nivå for å lære mest mulig om hvordan disse forholder seg til informasjonssikkerhet i en digital hverdag.
I 2017 fulgte NorSIS opp med rapporten Ungdom og digital sikkerhetskultur[2], der vi undersøkte kunnskap, holdninger og adferd til digital sikkehet for de under 20 år. Datagrunnlaget til denne rapporten ble innhentet i forbindelse med studien i 2016.
Kunnskap om digitale trusler og hvordan man best beskytter seg mot slike endrer seg over tid. Kryptovirus og direktørsvindel er eksempler på trusler som har økt i omfang de siste årene, og kunnskap om hvordan man skal gjenkjenne slike angrep, og unngå å bli rammet er også til en viss grad ny kunnskap. Vi gir i dag andre råd om god passordbruk enn det vi gjorde før, men i hvor stor grad har befolkningen fått med seg dette?
Digitaliseringen gjennomsyrer hele samfunnet og dette skaper nye diskusjoner og nye problemer. I løpet av det siste året har vi hatt en nasjonal debatt om hvorvidt myndighetene skal få etablere et digitalt grenseforsvar. Store hendelser, som for eksempel Wannacry, har fått stor oppmerksomhet i media. Hvordan endrer slike diskusjoner og hendelser innbyggernes oppfattelse omkring digital sikkerhet? Endrer tilliten til digitale tjenester seg over tid? Blir innbyggerne mer eller mindre bekymret for sin sikkerhet på nett? Øker kunnskapen i befolkningen om hvordan man skal være trygge på nett?
Svaret på slike spørsmål kan vi kun få dersom vi jevnlig kartlegger den digitale sikkerhetskulturen i befolkningen. Utviklingstrender er ny kunnskap, og den er helt nødvendig for at myndighetene og andre beslutningstakere skal kunne utvikle gode strategier for å sørge for at alle i Norge kan være trygge på nett
Hovedkonklusjon
Nordmenn er dårlig rustet til å møte den digitale revolusjonen
De hurtige endringene i både trusselbilde, og hva som anses å være effektive sikringstiltak, medfører at kunnskap om digital sikkerhet må oppdateres jevnlig. På tross av dette observerer vi at kun 21% av befolkningen sier at de har mottatt slik opplæring i løpet av de to siste årene. Vi ser samtidig at ferdighetene er for dårlige, og at mange ikke gjør de enkle tingene som gir effektiv beskyttelse mot datakriminalitet og andre uønskede hendelser på nett. To-trinns verifisering, sikkerhetskopiering og oppdatering av digitale enheter nevnes som eksempler.
Myndighetene, private og offentlige virksomheter og utdanningsinstitusjonene gjør mye for å legge tilrette for at den enkelte skal få opplæring, men våre funn viser at dette ikke er nok. Digitaliseringen av samfunnet skaper nye og tettere gjensidige avhengigheter mellom systemer, organisasjoner og enkeltindivider. Web-kameraet som står i et privat hjem kan brukes av kriminelle til å slå ut systemer som er kritiske for samfunnet. Det er ikke lenger nok å tenke sikkerhet kun for de som eier slike kritiske systemer, når hele samfunnets sårbarheter kan utnyttes av dem som ønsker oss vondt. Et digitalt samfunn må også være et trygt samfunn, og da må vi ha en helhetlig tilnærming der også den enkeltes kunnskap og ferdigheter inngår. Vår undersøkelse viser at det er behov for en opptrapping av utdanning og opplæring av befolkningen. Et digitalt kompetanseløft som må omfatte digital sikkerhet.
Frykt for digitale trusler hindrer effektiv digitalisering
NorSIS erfarer at det er utfordringer med frykt og tillit i befolkningen til digitalisering og nye digitale tjenester. For at digitaliseringen skal være effektiv, må befolkningen omfavne de muligheter som gis. De må ha tillit til at de nye tjenestene er trygge, og de må ikke frykte at deres informasjon skal bli borte, bli endret eller komme på avveie. En mulig konsekvens når tilliten uteblir er at befolkningen velger å ikke ta tjenestene i bruk av frykt for digitale trusler. 33% sier at de har latt være å bruke digitale tjenester av frykt for slike trusler. Følelse av trygghet, og innstilling til digitaliseringen bør derfor være en prioritet for alle som arbeider med slike endringsprogram og ikke minst for myndighetene. Vi mener at tilliten til at politiet skal kunne hjelpe den enkelte er helt vesentlig når det kommer til den enkeltes opplevelse av frykt og tillit på nett. Vår undersøkelse viser imidlertid at politiet ikke nyter tilstrekkelig tillit når det gjelder det å hjelpe den enkelte som blir utsatt for datakriminalitet. Til påstanden Politiet vil hjelpe meg dersom jeg blir utsatt for datakriminalitet, svarer 44% at de er helt eller delvis enige i dette, mens 38% er helt eller delvis uenig.
Ny teknologi og digitalisering endrer samfunnet. Måten vi samhandler med hverandre og med teknologien endres. En kan allerede se hvordan disse endringene påvirker hvordan vi må tenke omkring digital sikkerhet. De digitale verdikjedene er lange og komplekse, og sikkerheten hos underleverandører (gjerne i flere nivåer) får direkte betydning for sikkerheten til funksjonen eller systemet som leveres. På samme måte blir sårbarhetsbildet også mer komplekst. Sammenhenger og årsakskjeder kan være vanskelig å forutse slik at målrettet forebygging blir mer utfordrende. Vi vet fortsatt for lite om hvordan befolkningens holdning til digitaliseringen påvirkes av store sikkerhetshendelser eller av samfunnsdebatter som berører den digitale innbygger. Hvordan påvirker for eksempel befolkningens holdning til styring og kontroll på nett etter en debatt omkring et Digitalt Grenseforsvar? Eller; er befolkningen utrustet med de holdninger og ferdigheter som må til for at vi kan ta imot en bølge av Internet of Things i de tusen hjem? Dette er kun to eksempler som kan få store samfunnsmessige konsekvenser.
Samfunnet trenger mer kunnskap om digital sikkerhetskultur
Kunnskap om trender og utviklingstrekk innen digital sikkerhet i befolkningen er styringsinformasjon som myndighetene trenger for å kunne utvikle god politikk på området, og som både offentlige og private virksomheter trenger for å utvikle og implementere trygge løsninger som befolkningen har tillit til. Myndighetene må derfor sørge for at det blir gjennomført slike undersøkelser minimun hvert annet år, og at resultatene deles med virksomheter i både offentlig og privat sektor. NorSIS mener at dette vil øke kunnskapsgrunnlaget i den enkelte virksomhet, og at disse dermed kan utvikle hensiktsmessige og effektive sikringstiltak.
Les rapporten her: Nordmenn og digital sikkerhetskultur 2017
[1] https://norsis.no/den-norske-informasjonssikkerhetskulturen/