Nordmenn og digital sikkerhetskultur 2018


NorSIS publiserer rapport om nordmenn og digital sikkerhetskultur i forlengelsen av nasjonal sikkerhetsmåned.

Innledning

Det norske samfunnet blir stadig mer digitalisert. Tidligere manuelle oppgaver og prosesser blir digitalisert, og de digitale tjenestene knyttes hele tiden tettere sammen i nye og komplekse strukturer. Tradisjonelt har nok mange sett på disse nye strukturene som rene teknologiske strukturer. Sammenkoblinger av systemer, tjenester, infrastrukturer og enheter. Det har vært mange trusler mot de digitale strukturene, men helt siden «Morris-ormen» så sitt lys i 1988 har man i hovedsak snakket om de teknologiske truslene, og de teknologiske konsekvensene.

Nå som digitaliseringen skjer i hele samfunnet mener NorSIS at vi ikke kan skille mellom teknologien og mennesket. Mennesker har nesten alltid en plass i risiko- og årsakskjedene. I tillegg opplever også menneskene konsekvenser når teknologien brukes til, eller rammes av, kriminelle formål. I tillegg til å utvikle ny kunnskap om hvordan man best skal beskytte teknologien mot digitale trusler, må samfunnet også utvikle ny kunnskap om hvordan mennesket blir mer robust i møtet med teknologi og digitale trusler. Teknologien påvirker samfunnsutviklingen. Dette betyr at teknologien også påvirker den enkelte, men vi vet også at den enkelte kan påvirke digitaliseringen i samfunnet.  Dette så vi blant annet i debatten rundt Datalagringsdirektivet for noen år siden. Måten befolkningen engasjerte seg i debatten bidro til å gjøre fordeler og ulemper ved direktivet kjent.

Digital sikkerhetskultur er samfunnets felles verdier, holdninger, normer, kunnskaper og handlinger om det å kunne ta del i et digitalisert samfunn på en trygg måte. Den digitale sikkerhetskulturen skal gjøre både den enkelte, og samfunnet i sin helhet, mer mindre sårbare mot digitale trusler. Dette bidrar til å bygge tillit til de digitale tjenestene slik at samfunnet kan høste alle godene som digitaliseringen kan gi oss.

Det er derfor svært gledelig å se at stadig flere har fokus på digital sikkerhetskultur og på menneskene som bruker digitale tjenester. NorSIS mener at man likevel må være ydmyke for at samfunnet foreløpig ikke vet nok om hvordan utfordringene skal løses. Hjelper det å opplyse de ansatte om trusler og sårbarheter? Hvilke typer opplæring fører til at elever lærer bedre nettvett, og hvilke typer opplæring har minimal effekt? Vil det som fungerer i en bedrift ha samme effekt i andre bedrifter?

NorSIS har siden 2015 kartlagt digital sikkerhetskultur i befolkningen, på skoler og i bedrifter, og vi begynner nå å se hvordan utviklingen er over tid. Dette er svært viktig, for det er kun gjennom en slik kartlegging at en kan oppdage om nøkkel-indikatorer har den utviklingen en ønsker seg. Tillit er en forutsetning for digitaliseringen. Myndighetene må vite om befolkningen har tillit til at opplysningene deres behandles på en trygg måte, og at de får hjelp dersom de blir utsatt for datakriminalitet. En slik kartlegging avbefolkningen gir myndighetene en tilbakemelding på om det de gjør for å bygge sikkerhetskultur har ønsket effekt.

Konklusjon

I rapporten «Nordmenn og digital sikkerhetskultur 2017» slår vi fast at nordmenn er dårlig rustet til å møte den digitale revolusjonen. Fordi både trusselbildet og det teknologiske landskapet er i endring, er det nødvendig at befolkningens kunnskap om hvordan en skal beskytte seg mot kriminalitet og andre uønskede hendelser på nett opdateres.

Ettersom digitale enheter i de tusen hjem også kan brukes til å angripe grunnleggende samfunnsfunksjoner eller til å begå nettkriminalitet i stor skala, er det imidlertid ikke bare snakk om egenbeskyttelse. Den enkeltes holdninger til og oppførsel knyttet til digital sikkerhet kan derfor får store og direkte konsekvenser for samfunnet som helhet.

I samme rapport slår vi også fast at frykt for digitale trusler og mistro til at politiet vil hjelpe dersom noe skjer, er skadelig for digitaliseringen av samfunnet. Årets rapport viser at situasjonen ikke har blitt vesentlig bedre. Konklusjonene fra forrige rapport er derfor fremdeles gyldige.

Økende frykt 

I årets undersøkelsen observerer vi at befolkningen har en økende frykt knyttet til deler av deres digitale liv. I 2018 mener flere at de utsetter seg selv for risiko på nett enn i 2015. Den gang svarte 58% at de er helt eller delvis enig i påstanden om at de utsetter seg selv for risiko på nett, mens det i 2018 er 73% som svarer det samme. Dette er en økning på 15 prosentpoeng. Samtidig opplever færre at de får tilstrekkelig informasjon om digitale trusler. I 2015 sa 68% seg helt eller delvis enig i at de får tilstrekkelig informasjon om dette, mens det i 2018 er 61% som sier det samme.

 Flere forbinder også det å bruke offentlige tjenester på nett med høy risiko enn tidligere. I 2015 svarte 13% at de i ganske stor eller svært stor grad forbinder slik bruk med høy risiko, mens det i 2018 er 21% som svarer det samme. En økning på 8 prosentpoeng. Denne observasjonen understøttes også av at 30% av de spurte ikke har tillit til at myndighetene sikrer informasjonen de har registrert om dem.

 Vi gjør en tilsvarende observasjon for det å bruke nettbank, i 2018 forbinder flere det å bruke nettbank med høy risiko enn tidligere. I 2015 svarte 10% at de forbinder slik bruk med høy risiko, mens det i 2018 er 19% som svarer det samme. Det er en økning på 9 prosentpoeng.

NorSIS mener det er uheldig at flere oppfatter det mer risikabelt å nettbank og andre digitale tjenster enn tidligere. Vi vet imidlertid ikke nok om bakgrunnen for denne økningen. En mulig forklaring er at risikoen knyttet til slik bruk faktisk har økt. NSM skriver i sin rapport Risiko 2018at Norge står overfor økende risiko for å bli rammet av sikkerhetstruende hendelser, men rapporten sier ikke spesifikt at dette gjelder bruk av nettbank eller offentlige tjenester på nett. Vi kan imidlertid ikke utelukke at risikoen faktisk øker, og at endringen i befolkningens oppfatning kommer som en følge av dette.

En annen mulig forklaring er at folk tror at risikoen øker, uten at den faktisk gjør det. Dette er i så fall også problematisk, for det kan tyde på at informasjonen omkring slik risiko enten er mangelfull eller feilaktig. NorSIS antar at kunnskap om risiko spiller en rolle her, og minner om at mindre enn en fjerdedel av befolkningen sier at de har fått opplæring i digital sikkerhet i løpet av de siste to årene. Kunnskap alene styrer ikke nødvendigvis hva befolkningen mener om risiko, men NorSIS mener likevel at det er av svært stor betydning at flere nordmenn før opplæring i nettvett.

Vi ønsker at nordmenn skal utvise sikker adferd på nett, og på den måten forebygge uønskede hendelser. Men på tross av god forebygging, går det noen ganger galt. Når dette skjer er samfunnets motstandsdyktighet mot digitale trusler også avhengig av hva den enkelte vet om slike trusler, og hvordan de forholder seg til dem.

I september 2018 observerte NorSIS en stor økning av forsøk på utpressing av norske innbyggere. Mange, trolig flere tusen, mottok en epost der avsender hevdet å ha brukt datamaskinens kamera til å filme vedkommende mens han eller hun onanerte foran skjermen. Avsenderen truet med å dele filmen med mottagerens venner på facebook, dersom det ikke ble betalt inn et større beløp til utpresseren innen en gitt frist.

Vår felles digitale sikkerhetskultur påvirker hva den enkelte gjør når en får  slike trusler. Blir man engstelig for at utpresseren faktisk sitter på en slik video, og derfor betaler det som kreves? Gjenkjenner man det som en falsk trussel og sletter eposten? Søker man hjelp fra eksperter for å finne ut hva dette er? Informerer man sine venner om at dette er en trussel som også kan ramme dem, og gir råd om hva de bør gjøre?

Å redusere frykten for å bruke digitale tjenester bør være et mål for samfunnet. Det er mange som deler ansvaret for å oppnå dette. Myndighetene må sørge for at det finnes tidsriktig informasjon om trusselbildet. Deretter må de sammen med sikkerhetsbransjen og andre aktører som arbeider for digital sikkerhet, sørge for gode og effektive tiltak som både enkeltpersoner og bedrifter kan bruke for å møte truslene som finnes.

På stedet hvil

Hovedinntrykket etter årets undersøkelse er at det jevnt over ikke er store endringer i befolkningens sikkerhetskultur fra undersøkelsene i 2015 og 2017. Selv om vi skal være tilfreds med at det ikke har blitt verre på noen områder, er vi ikke tilfreds med at det ikke har blitt bedre. Særlig på områder der vi forventer en positiv fremgang.

Det er fremdeles færre enn 25% av de spurte som sier at de har fått opplæring i løpet av de to siste årene. Videre er det kun en tredjedel av sier at de bruker to-trinns bekreftelse  der det er mulig. Dette til tross for at det er et av de aller viktigste tiltakene man kan gjøre for å beskytte seg mot mange former for digitale trusler. Vi observerer ut fra dette, lite bevegelse i både holdninger og adferd rundt digital sikkerhet fra 2015 til 2018.

Undersøkelsen i seg selv gir ikke svaret på hvorfor det er slik. Det er mange aktører i Norge som bidrar til å gi befolkningen økt kunnskap og større bevissthet rundt digitale trusler. Myndighetene, skolene, virksomheter i offentlig og privat sektor, bransjeorganisasjoner, aktører i sikkerhetsbransjen og enkeltpersoner bidrar alle til dette. Når vi likevel ikke finner noen endringer i befolkningen på flere viktige områder, er det riktig å stille spørsmål ved om den samlede innsatsen har den effekten som samfunnet har behov for.

Dette er selvsagt en svært sammensatt og kompleks problemstilling. Å endre holdninger og adferd er utfordrende. Det gjør heller ikke oppgaven enklere at det ikke foreligger noe tydelig og omforent målbilde for digital sikkerhetskompetanse i befolkningen. I forbindelse med lansering av ny nasjonal strategi for digital sikkerhet, vil Justis- og beredskapsdepartementet også gi ut en egen kompetansestrategi.Hvordan denne følges opp, vil ha stor betydning for befolkningens digitale sikkerhetskultur i tiden fremover.

NorSIS forutsetter at strategimålene er tydelige, og at departementet evaluerer måloppnåelsen i årene fremover. Våre årlige undersøkelser om nordmenns digitale sikkerhetskultur bør inngå som et viktig grunnlag i evalueringene.

For å skape de endringene vi mener er nødvendige, er det imidlertid ikke bare regjeringen og departementene som må ha en mer målrettet innsats. Det er mange som har en stemme i det offentlige ordskiftet. Disse bidrar til å lære opp og til å endre holdninger og adferd hos folk flest. NorSIS mener myndighetsaktørene , slik som Nasjonal sikkerhetsmyndighet, Nasjonal kommunikasjonsmyndighet, Direktoratet for sikkerhet og beredskap og Utdanningsdirektoratet, har et særskilt ansvar å utvikle og evaluere tiltak for å endre befolkningens digitale sikkerhetskultur. NorSIS anbefaler også at alle aktører som gir råd og opplæring til den enkelte innbygger har tydelige mål for sine aktiviteter og at disse også er gjenstand for evaluering.

NorSIS har gjennom sitt oppdrag et tydelig medansvar for å bidra til befolkningens kunnskaper, holdninger og en adferd som gjør dem til trygge digitale innbyggere. Når vi nå ser at effekten av dette arbeidet uteblir,  er det all grunn til å evaluere våre egen tilnærming til å løse dette oppdraget. NorSIS har tradisjonelt tilnærmet seg de ulike målgruppene på forskjellige måter. Norske bedrifter har fått anledning til å gjennomføre sikkerhetsopplæring i forbindelse med Nasjonal sikkerhetsmåned som koordineres av NorSIS. I Nasjonal sikkerhetsmåned gis bedriftene mulighet til å kjøpe en tidsriktig opplæringspakke. Denne er gratis for bedrifter med opp til 20 ansatte. Kanalene for å nå den enkelte innbygger har i hovedsak vært medieoppslag i sosiale medier, aviser, radio og fjernsyn, og gjennom veiledninger på nettvett.no.

NorSIS tar nå nye grep for å sikre at den enkelte får mulighet til å skaffe seg mer og bedre informasjon om hvordan de bør forholde seg til digitale trusler. Som en del av Nasjonal sikkerhetsmåned i 2018 ble opplæringstilbudet utvidet til også å omfatte den enkelte innbygger, ikke bare ansatte i norske bedrifter. Vi mener at dette vil føre til at befolkningen i enda større grad følger de råd og anbefalinger som gis. Lenke til kurset: https://nettvett.no/kurs/informasjonssikkerhet-i-hverdagen/

Om den nye nasjonale kompetansestrategien, og den samlede innsatsen fra alle sikkerhetsaktørene, gjør Norge til et trygt sted å være en digital innbygger vil vise seg i årene som kommer. NorSIS vil på sin side kontinuerlig evaluere effekten av egne tiltak. Vi vil også arbeide for at alle sikkerhetsaktører har et oppdatert situasjonsbilde på nordmenns digitale sikkerhetskultur.

Les hele rapporten her: https://norsis.no/wp-content/uploads/2018/11/Nordmenn-og-digital-sikkerhetskultur-2018-web.pdf

 

Rapporten er utarbeidet med støtte fra Justis- og beredskapsdepartementet.