Teknologi som driver endring

Illustrasjonsbilde. Bildet viser en hektisk København sommerstid.

Det tok over 75 år for fasttelefonen å nå 50 millioner kunder. For mobiltelefonen tok det 16 år, mens Facebook brukte litt over 4 år. Nå tar det kun dager før en ny digital tjeneste er spredd internasjonalt. Når alt skal på nett vil det også påvirke risikobildet vårt.

Den fjerde industrielle revolusjonen gir samfunnet store muligheter. Varer og tjenester kan lages og leveres med automatiserte prosesser, offentlig sektor kan effektiviseres, og velferdstilbudet forbedres. Behovet for økt bevissthet om hvilke sikkerhetsutfordringer som ligger i disse endringene er noe vi alle må ta inn over oss. Innovasjon omfatter å ta risiko, men risiko må også tas med utgangspunkt i forståelse av både svakheter og trusler.

Stordata

Telenor har over 7000 basestasjoner i Norge. Disse samler inn enorme mengder data fra trafikken i mobilnettet. Disse stordataene kan gi verdifull innsikt og analyser som aldri tidligere har vært mulig. Både politi, helsevesen, statlige etater, kommuner og private virksomheter vil dra nytte av innsikt fra stordata.

I 2016 begynte forskningsavdelingen i Telenor å dele mobilitetsdata for forskningsformål. Disse dataene inneholder ikke personopplysninger som kan identifisere enkeltindivider, men består av store mengder datamateriale fra basestasjonene som er anonymisert og slått sammen.

Datagrunnlaget fra aggregerte aktiviteter i mobilnettet er enormt. Etter hvert som vi har utforsket og gravd dypere i datamaterialet, finner vi stadig frem til nye bruksmuligheter som vi tror både offentlig og privat næringsliv vil ha stor nytte av å bruke for egen virksomhets analyser og planlegging. Vi planlegger å bruke stordataene i kommersielle produkter. Da vil eventuelle personopplysninger være anonymiserte og det er ikke mulig å identifisere individer eller enkelte mobiltelefoner ut fra de aggregerte resultatene.

Sterkere rett til egne personopplysninger

En personopplysning er en informasjon eller vurdering som kan knyttes til deg som enkeltperson, slik som for eksempel navn, adresse, telefonnummer, e-postadresse, bilnummer, bilder, fingeravtrykk, irismønster, hodeform (for ansiktsgjenkjenning) og fødselsnummer (både fødselsdato og personnummer).

I 2018 vil en ny personvernlovgivning tre i kraft i EU og EØS. General Data Protection Regulation (GDPR) erstatter eksisterende lovverk fra 1995 som oppleves som utdatert på flere områder og som ikke dekker godt nok opp hvordan data blir samlet inn, oppbevart og prosessert i vår digitale tidsalder.

Den nye lovgivningen vil ha stor innvirkning på den norske personvernloven og styrker enkeltpersoners personvern og kontroll over brukerdata. Samtidig vil det nye lovverket gi nye plikter til både private virksomheter og offentlige aktører som samler inn, lagrer og prosesserer personopplysninger for ansatte eller kunder.

Dette betyr de nye personvernreglene for private og offentlige organisasjoner:

  1. Alle norske virksomheter får nye plikter 
  2. Alle skal gi god informasjon om hvordan de behandler personopplysninger 
  3. Alle skal vurdere risiko og personvernkonsekvenser 
  4. Alle skal bygge personvern inn i nye løsninger (Privacy by Design) 
  5. Mange virksomheter må opprette personvernombud (Telenor Norge har personvernombud) 
  6. Reglene gjelder også virksomheter utenfor Europa 
  7. Alle databehandlere får nye plikter 
  8. Alle får nye krav til avvikshåndtering 
  9. Alle må kunne oppfylle borgernes nye rettigheter

Kilde: Datatilsynet

Personvern som prioritet

Et sterkt personvern har alltid høy prioritet i Telenor Norge, og arbeidet for å sikre at den nye reguleringen blir ivaretatt er satt til en egen prosjektgruppe. Prosjektet skal ivareta disse områdene:

  • Sørge for at alle våre produkter, tjenester, prosesser og IT-systemer håndterer personvern på en korrekt måte. 
  • Innføre ”privacy by design” for å sikre at alle nye eller endrede produkter og tjenester håndterer personvern på en korrekt måte. 
  • Oppdatere eksisterende og innføre nye prosesser som overvåker og kontrollerer at Telenor Norge følger retningslinjer, lover og forskrifter for personvern. 
  • Opplæring av ansatte i riktig håndtering av personopplysninger.

Databeskyttelse og personopplysninger

Personvern dreier seg om ivaretakelsen av personlig integritet, enkeltindividers rett til privatliv, selvbestemmelse, selvutfoldelse og håndtering av personopplysninger. Digitale tjenesteleverandører sitter på enorme mengder informasjon om sine brukere, og brukerne deler informasjon som aldri før.

En av de nyere utfordringene for personvernet er at vi legger igjen mange digitale spor. Ny lovgivning som gjelder fra mai 2018 vil i større grad enn tidligere gi deg mulighet til å ha et aktivt forhold til hvordan dine personlige opplysninger blir brukt i tjenesteproduksjon.

Telenor Norge har store mengder personopplysninger om våre kunder. Det er snakk om telefonnummer, adresser, e-postadresser, adferdsmønster og bevegelsesmønster, bare for å nevne noe. Telenor Norge har konsesjon for innsamling, behandling og lagring av spesifikke type opplysninger til begrensede og spesifikke formål. Enhver ny eller endring i innsamling, behandling, lagring eller sletting av data må begrunnes i konsesjon eller i personvernlovgivningen.

Personopplysninger skal ikke komme på avveie, men dersom det skjer har Telenor Norge et ufravikelig krav om å varsle Datatilsynet.

Utlevering av data til norske myndigheter

Alle Norges telekomselskaper utleverer kundedata til Politiet dersom det foreligger rettslig kjennelse eller Politiet påberoper seg nødrett. Hvert år rapporterer Telenorkonsernet tall fra antall utleveringer til lokale myndigheter i alle de landene selskapet opererer.

I Norge er det kun Politiet og Politiets sikkerhetstjeneste som kan gjennomføre avlyttinger av kommunikasjon forå etterforske alvorlig kriminalitet eller saker relatert til nasjonal sikkerhet. Slike operasjoner har Politiet og PST kun tillatelse til etter en rettslig kjennelse.

I 2016 mottok Telenor 7679 anmodninger om utlevering av historiske trafikkdata (metadata), signaleringsdata, terminaldata, bruk av IP-adresser, abonnementsinformasjon og kundeinformasjon. Tallet er en sum av ulike typer anmodninger.

I 2016 mottok Telenor 432 anmodninger om kommunikasjonskontroll og 667 anmodninger hvor hjemmel om nødrett er benyttet. Dette er antall anmodninger Telenor Norge har mottatt fra myndighetene og viser ikke antall berørte enkeltnummer.

Mobilaktivitet-600x400
27. juli fra kl. 17 til 28. juli kl. 05. analyserte Telenors forskningsavdeling hvordan 2,3 millioner mobilkunder beveget seg mellom basestasjoner. Alle bevegelsene ble plottet inn i et Norges-kart, som viser hvor mobiltelefoner har flyttet seg mellom to områder. På kartet vil man tydelig se at aktiviteten er størst langs de store veiene. Flyruter vises som rette streker mellom for eksempel Oslo og Bergen.

Tingenes internett

Smarte byer, tilkoblede ting, roboter og styring ved hjelp av kunstig intelligens er løsninger for fremtiden. Verdipotensialet antas å være betydelig; samfunnet vil spares for store summer fordi vi automatiserer og endrer hvordan jobber blir utført.

De som har besvart vår undersøkelse har i gjennomsnitt seks påkoblede enheter i hver husholdning. Hvis en legger Statistisk Sentralbyrå (SSB) sine tall på antall husholdninger til grunn, kan man lage et grovt anslag på totalt 14 millioner PCer, mobiltelefoner, treningsklokker, varmeovner, webkameraer, værstasjoner, husalarmer biler og annet som sender informasjon over internett her og nå.

tek-graf-1-600x400

Hvor mange ting har du koblet på nettet i din husholdning? Gjennomsnittlig seks enheter per husholdning ifølge SSB var det 2 348797 private husholdninger i Norge 2016: Anslag på antall private påkoblede ting i Norge= 6* 2 348 797= 14 092 782 påkoblede ting.

Tingenes internett er et begrep som favner svært vidt, og det kan være alle mulige gjenstander, alt fra leketøy til droner. Det er i utgangspunktet ikke en ting som ikke kan kobles på internett. Selv enkeltindivider kan i dag kobles til internett via en pacemaker.

Tingenes internett bringer mange nye utfordringer, men aktualiserer dessverre også mange kjente utfordringer i ny kontekst.

Seks sikkerhetsutfordringer rundt Tingenes internett

  1. Dårlig sikkerhet
    Det er mange aktører i denne bransjen som er flinke til å lage leketøy, biler eller kameraer, men som historisk sett ikke har trengt å ha særlig kompetanse på cybersikkerhet.
  2. Misbruk
    Kriminelle tenker utenfor boksen, og ser hvordan «tingen» kan utgjøre en trussel utenfor bruksområdet den er laget for. Det vanligste akkurat nå er at sårbare ting utnyttes til å lage botnet. De kan også brukes til å bryte seg inn i datanettverket på norske arbeidsplasser når tilsynelatende harmløse konsumentprodukter tas med på jobb og blir koblet til nettet. Da blir den nyttige dingsen et springbrett for å kompromittere bedriften og dens IT-systemer, for eksempel til å drive industrispionasje.
  3. Produsenten av tingen har blitt et IT-selskap
    «Tingene» blir ofte laget av tradisjonelle produksjonsbedrifter. Dette er selskaper som aldri har hatt høy IT-ekspertise, men produserer biler, leketøy eller kjøkkenutstyr. Disse selskapene har av naturlige årsaker ikke alltid har et våkent forhold til cybersikkerhet, fordi de aldri har drevet med IT tidligere – og ofte fortsatt ikke har forstått hva det innebærer at de nå gjør det.
  4. Få incentiver
    Ved fremveksten av IoT-baserte botnet har det blitt svært tydelig at det i tillegg til kunnskap og teknisk instrumentering for sikkerhet, også mangler incentiver og ansvarsplassering. Eierne av IP-kameraer og videoopptakere som er innrullert i et botnet og misbrukes til DDoS-angrep, er ikke selv klar over at de har et problem, og produsentene har begrenset motivasjon for å foreta seg noe.
  5. Sikkerhetsovervåkning
    Fordi preventiv sikring ikke er nok, blir sikkerhetsovervåkning helt sentralt. Du må forvente at endepunkter i et nettverk, som tingene jo er, kan bli kompromittert, og bygge sikkerhetsovervåkning for å avdekke det. Trafikkovervåkning er særlig sentralt, da mange «ting» i seg selv har begrenset instrumentering for overvåkning.
  6. Overeksponering til internett
    Internett er overalt, og det er både enkelt og billig å etablere en kobling ved å eksponere tingen direkte til internett, men ikke alle ting bør eksponeres direkte til internett eller kommunisere i samme trafikkplan som «alt annet». Både segmentering og minimering av angrepsflate er veletablerte sikkerhetsprinsipper som vi også bør følge for IoT.


Det er mange sikkerhetsutfordring knyttet til tingenes internett, men det er ett ledd i verdikjeden som kan kontrolleres, og som automatisk vil gi bedre sikkerhet: En trygg og god kommunikasjonskanal.

I år kommer det to nye kommunikasjonsstandarder i 4G-nettet, som er bygget for IoT. Mobilnettbasert kommunikasjonskanal muliggjør både mindre eksponering til internett og bedre segregering av kommunikasjonen.

Datamaskiner, nettbret, smarttelefoner og «ting» kan bli kapret og bli en del av et botnet. Et botnett er et nettverk av datamaskiner infisert av datavirus eller trojanske hester. Disse maskinene kobler seg til en eller flere sentrale styrende noder der de får tildelt oppgaver.

FAKTA: Botnet

Datamaskiner, nettbrett, smarttelefoner og «ting» kan bli kapret og bli en del av et botnet. Et botnett er et nettverk av datamaskiner infisert av datavirus eller trojanske hester. Disse maskinene kobler seg til en eller flere sentrale styrende noder der de får tildelt oppgaver.