Grunnleggende om informasjonssikkerhet
Mange sier de ikke har noe skjule, og trenger derfor ikke å bry seg med informasjonssikkerhet. Dette er i beste fall naivt.
Mange tror at de man skal skjule informasjon for er staten. Vi som bor i Norge har lite å frykte fra staten, og selv om dette kan endre seg i fremtiden er det i utgangspunktet kriminelle aktører og fremmede stater vi trenger å frykte. Forskere og ingeniører må forholde seg til trusselen om industrispionasje og journalister må verne om sine kilder.
Informasjonssikkerhet handler like mye om å ikke føle seg overvåket, som det handler om skjule seg. Det handler om å beskytte dine data, for det er akkurat det de er: dine data.
Informasjonssikkerhet
Informasjonssikkerhet er et fellesbegrep for veldig mange ting. De aller fleste har et forhold til hva det betyr, selv om det å komme med en enkel definisjon er vanskelig. Kort sagt så er det tre hovedprinsipper vi ønsker å oppnå med informasjonssikkerhet.
- Konfidensialitet
- Integritet
- Tilgjengelighet
Konfidensialitet
Konfidensialitet går ut på å skjule vår data fra andre enn den tiltenkte mottageren, enten det er oss selv, eller andre. Dette gjøres som regel med kryptering. Det finnes utallige typer kryptering, og hver type har også utallige algoritmer, eller formler for å skjule informasjonen fra uvedkommende.
Integritet
Integriteten til data er også viktig. Det å kunne stole på at en melding ikke har blitt endret med på veien, eller at ingen har tuklet med arkivet ditt over kontoutskrifter gir deg trygghet slik at du kan stole på informasjonen.
Tilgjengelighet
Tilgjengelighet går ut på at din data er tilgjengelig for deg når du trenger den. Vi skal ikke snakke så mye om dette punktet i denne håndboken da det i hovedsak berører de som drifter it-systemer. Det du skal huske på er sikkerhetskopiering, alltid.
Kommunikasjonssikkerhet
Kommunikasjonssikkerhet kan man se på som et samlebegrep for konfidensialitet og integritet. Hvis vi skal kommunisere sikkert med noen er vi helt avhengig av begge disse to. Det finnes mangen måter å oppnå konfidensialitet og integritet på, og metodene varierer med hvilken form for kommunikasjon vi driver med. Jeg liker å dele inn informasjon inn i to grupper, siden måten vi praktiserer kommunikasjonssikkerhet er veldig forskjellig basert på hvilken type data vi snakker om.
- Hvilende data
- Data i transit
Data i transit
Data i transit er kortlevd informasjon. Som for eksempel når du sender fødselsnummeret ditt til nettbanken din for å starte innloggings prosessen. Data i transit er altså data som beveger seg fra en enhet til en annen. Mye av data i transit går over til hvilende data når den når sin destinasjon. De aller fleste kjenner igjen den grønne hengelåsen og informasjon om selskapet bak nettsiden i adressefeltet i nettleseren når vi besøker "sikre" nettsider.
Denne hengelåsen forteller oss ingen ting om hvor sikkert et nettsted er. Det denne hengelåsen forteller oss er at informasjonen som sendes fra din nettleser til nettsiden er kryptert, og hvem som driver nettsiden. Dette gir oss konfindeisalitet og integritet på informasjonen i transit mellom nettleser og nettsiden. Den forteller ingen ting om hva som skjer med informasjonen på systemene til de som mottar den. Dersom denne informasjonen lagres på dette systemet liker jeg å se på den som hvilende data.
Data i transit bør sikres så godt man kan da denne informasjonen sendes over internett og passerer mange enhter. Disse enhetene eies av mange forskjellige firma og organisasjoner, og alle er utenfor din kontroll. Det betyr at man kan ikke vite hvordan disse behandler informasjonen dersom den ikke er kryptert. Ukryptert informasjon kan snappes opp og endres på veien. Man kan se på det som å sende et postkort i posten. Alle som jobber i posten i de forskjellige landene kortet passerer kan både lese det og endre innholdet uten at avsender eller mottaker nødvendigvis merker det.
Hvilende data
Det finnes mange typer hvilende data. All data som lagres er egentlig hvilende data. Grunnen til at jeg liker å skille disse to datatypene er at de systemene som beskytter data i transit ikke beskytter hvilende data. Det betyr at selv om nettbutikker har en kryptert forbindelse til din nettleser (grønn hengelås) betyr ikke det at kredittkortinformasjonen din lagres på en slik måte at den er beskyttet. Krypteringssystemet som beskyttet kredittkortnummeret ditt på veien til nettbutikken vil ikke lenger være til hjelp etter at det er kommet frem.
Hvilende data som er kryptert kan sendes fra en enhet til en annen uten at man trenger å benytte de systemene som skal beskytte data i transit.
Denne serien kommer til å handle om teknikker som benyttes for å beskytte data, både hvilende data og data i transit.
![[#32] Svindlere er på en digital jakt etter pensjonen din](/content/images/size/w600/2023/12/Skjermbilde-2023-12-18-133023.png)
![[#31] Ikke gjør det attraktivt å lage falske profiler i ditt navn](https://images.unsplash.com/photo-1515488825947-f1c0842d7953?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDkzfHxmYWtlJTIwcHJvZmlsZXxlbnwwfHx8fDE2OTk3MzA2NjZ8MA&ixlib=rb-4.0.3&q=80&w=600)
![[#30] Identitetstyveri](https://images.unsplash.com/photo-1660644808226-a5b2e691fc51?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDM3fHxpZGVudGl0eSUyMHRoZWZ0fGVufDB8fHx8MTY5NDI4NDQ3OXww&ixlib=rb-4.0.3&q=80&w=600)