Medienes dekning av temaet datasikkerhet
Inntil ganske nylig har beskyttelsen mot datakriminalitet vært å ha et antivirusprogram og en brannmur installert. Ansatte har fått dette ferdig installert på sine arbeidsmaskiner. Privatpersoner kan ikke ha unngått å ha fått med seg oppfordringene, og alt fra nettbanker til PC-leverandører gir bort gratis programvare. Den senere tid følger det til og med med i operativsystemet, slik som Windows Defender.
Da burde problemet vært løst tenker mange, men dessverre har farene og fremgangsmåtene den senere tid endret seg mye. I dag er mennesket det svake leddet, og selv om fortsatt mye tekniske fremgangsmåter benyttes innebærer angrepene som regel en stor andel psykologi. Dette er svært vanskelig for antivirusprogramvare å oppdage/avverge, og kunnskap har plutselig blitt den nye strategien for å bekjempe hacking og svindel. Og da ikke kunnskap hos IT-drift eller utviklere, men hos brukerne selv.
I denne nye settingen har medier fått en viktig rolle. De er blant de få som har mulighet til å nå ut til folk flest med kunnskapen. Dessverre må vi alt nå si at vi synes de håndterer dette ansvaret på en svært dårlig måte. Mediene er langt mer opptatt av å lage “klikk-saker” som gir annonseinntekter, enn å utføre sin egentlig rolle som kunnskapsformidlere. Allikevel stoler brukere på at mediene skal gi all den kunnskapen de trenger.
Utydelig innhold og dårlig tid
La oss starte med et konkret eksempel. I slutten av februar dukket det opp en sak i en utenlandsk avis om at det å ta personlighetstester på Facebook kunne utgjøre en trussel mot eget og faktisk også kontakters personvern. En etter en skrev mediene artikler om dette, og det virker som om det å komme med en artikkel, og få sin andel av klikkene, var mye viktigere enn hva innholdet i saken var.
Et tydelig eksempel vi kom over var denne saken fra NRK:
Tar vi for oss denne artikkelen, så står det i all hovedask dette, på tross av mange ord:
- Intervju med en ekspert som sier “Når du logger deg inn deler du ofte vennelisten din, hvilke data du deler og data om deg selv for å lære noe om deg. Dette er for å gi deg mer målrettede annonser i håp om at du skal bidra til inntekter.” . For uten å være en setning med svært krøkkete formulering (hva betyr egentlig “Når du logger deg inn deler du ofte vennelisten din, hvilke data du deler og data om deg selv for å lære noe om deg“?) er dette helt riktig. Men i tillegg til markedsføring glemmer de helt å nevne at informasjon tappet gjennom slike tester kan være gull verdt også for svindlere.
- Deretter har de litt statistikk om størrelsen på en av aktørene – Helt greit.
- Så kommer en lang seksjon om et intervju med en person som vet at det ikke er lurt å ta slike tester, men som gjør det allikevel. Hvis hensikten med artikkelen er å gjøre folk oppmerksom på en sikkerhetsutfordring, er det vel ikke helt klokt å “ufarliggjøre” handlingen ved å fortelle at andre likevel konkluderer med at farene er til å “le bort”?
Her er ikke meningen å henge ut artikkelen eller journalist, men dette er et typisk eksempel på hvordan datasikkerhet formidles. Svært få medier forteller hva som er de konkrete farene og gir personer nok informasjon til å kunne gjøre egne vurderinger. I dette tilfellet finnes det også en rekke ting man selv kan gjøre i innstillingene til sin Facebook-konto som minimerer farene, dette nevnes ikke med et ord. Ei heller nevnes det at det at dine venner tar slike tester kan være en sikkerhetsrisiko for deg selv, noe som er et vesentlig poeng her.
Siden vi selv har skrevet en ganske omfattende artikkel om temaet, tok vi kontakt med NRK sin journalist, og tilbød henne å plukke informasjon fra vår artikkel for å gjøre sin egen sak mer opplysende. Den hyggelige meldingen vi fikk tilbake var:
Takk for tilbakemelding på artikkelen min. Ha en fin mandag:-)
Nå, ca to uker etter, er saken fortsatt identisk med slik den var når den ble publisert. Det var altså ingen interesse for å videreutvikle eller oppdatere en sak som egentlig bommer ganske mye på å formidle det som er viktig i saken. Selv ikke når man får tilsendt ferdig tekst man nærmest kan klippe og lime sitater fra.
Ordbruk og faktafeil
Rene faktafeil i artikler er en annen ting vi ser ofte. Et enkelt eksempel er hvordan medier alltid benytter begrepet “virus” for å skape interessante overskrifter.
I en stor andel av tilfellene er virus faktisk helt feil ord å benytte. I de fleste Facebook-virus-saker er det heller phishing-angrep mot brukerkontoer som er utført. Og ja, selvsagt er ordet phishing vanskelig for folk flest, og kanskje ikke noe som bør benyttes. Men hva skjer derimot når mediene bruker ordet virus? Jo, da vil folk tro de faktisk har fått, eller kan få, virus av slike meldinger på Facebook. Og når ordinære brukere hører ordet virus tenker man at et antivirusprodukt kan hjelpe de, naturlig nok. Men i denne sammenhengen kan ikke et slikt produkt gjøre noe som helst. Er man et offer for svindelen er passordbytte på Facebook løsningen, og preventive tiltak er for eksempel to-faktor-autentisering og å lære seg kjennetegn på phishing-angrep. Det står enkelte ganger som en del av artiklene, men for de som kun leser overskrifter eller forsøker referere hva de har lest til andre er det ordet “virus” som brenner seg fast. Dette blir faktisk litt som å rope “brann, brann”, dersom det som faktisk har skjedd er en vannlekkasje… Mottiltaket som folk forbinder med brann fungerer da ganske dårlig…
Det eneste positive med å bruke feil ord kun for å tiltrekke seg lesere er at folk faktisk leser artikkelen. Vi synes imidlertid det er en dårlig unnskyldning for å missinformere leserne. Hadde dette blitt gjort med andre nyhetssaker ville jo mediene måttet gått ut å beklage i ettertid for å ha feilinformert. Og vi ser at det sprer seg. Svært ofte når brukere har problemer med nettlesere, e-post, sosiale medier eller maskinen generelt er forklaringen de kommer med at de har fått “virus”.
Et annet eksempel på feil ordbruk er alle artiklene om Nora Mørk-saken:
Vi har omtalt dette i en egen bloggpost, men i korte trekk går det ut på at ordet “hacket” blir brukt. Ettersom det ikke beskrives hvordan bildene er kommet på avveie finnes det en lang rekke muligheter som ikke innebærer hacking slik det vanligvis er definert (utføre handlinger ved hjelp av spesielt stor teknisk kompetanse). De fleste scenariene innebærer at noen har fått tilgang til kontoer gjennom dårlig passordkontroll eller at opprinnelige mottakere av bilder har spredd det videre. Når mediene likevel velger å skrive “hacket” vil få forstå at dette vel så gjerne kan skje dem selv. De fleste tenker heller at dette skjer fordi det er en kjent person og at det er lagt ned store ressurser hos “hackere” i å klare å bryte seg inn i telefonen.
Vi mener ikke at aviser skal bruke vanskelige ord eller begreper, men i stedet for å benytte feil ord, kan de heller forklare hva som faktisk er farene.
Fokus på enkeltsaker i stedet for opplæring
Et siste problem er hvordan medier foretrekker å beskrive enkeltsaker og enkeltsvindler.
Her gjør de ofte en langt bedre jobb når det kommer til å forklare den enkelte svindelen, både med hvordan den ser ut og hva den gjør. Advarslene konkluderer derimot ofte med at “får du en melding som inneholder teksten ….. så slett den”. Og med det har de faktisk gjort en god jobb med å forhindre at leserne går på nettopp denne svindelen.
Problemet er imidlertid at slike svindler kun sirkulerer i svært kort tid før de endrer seg eller forsvinner og nye dukker opp. Innen journalistene har fått tips, sjekket det ut og skrevet en sak er ofte angrepsbølgen over. Og hva sitter da leseren igjen med av kunnskap om hvordan neste svindel dukker opp? Svært lite. Det artiklene mangler er jo en omtale av hvordan du som bruker kunne ha avslørt svindelen selv, basert på hvilke kjennetegn den har. Hadde leserne fått en slik sjekkliste kunne de dermed også vært sikret mot en stor andel fremtidige svindler. I tillegg mangler det stort sett alltid en oversikt over hvilke enkle preventive grep man alt burde ha gjort.
Hvorfor har vi disse problemene?
Det er lett å skylde på at mediene er interessert i klikk og annonseinntekter. At mediene ikke har kunnskaper nok og at tiden ikke strekker til. Men hva er det som styrer dette? Jo, det er oss lesere! Mediene tilpasser seg jo hva vi klikker på, bruker tid på og deler videre.
Vårt inntrykk gjennom formidling av datasikkerhet er det samme. De gangene vi skriver om enkeltsaker får de langt flere lesere, liker-klikk og delinger enn når vi skriver en mer generell artikkel om hvordan eksakt de samme svindlene kunne vært avdekket. Selv om den siste typen skaer er det leserne faktisk hadde hatt mest utbytte av.
Vi er også ganske sikre på allerede at denne artikkelen vil få langt færre lesere fordi den ikke tar for seg en konkret trussel folk har sett dukke opp på som SMS eller e-post på sin egen mobil eller via en Facebook-profil. Og dette er også forstålig… Som lesere ofrer vi ikke tid på noe som “muligens” kan komme til nytte fremover.
Vi håper imidlertid at dette kan endre seg. At vanlige brukere blir interessert i å lære såpass mye mer om datasikkerhet at de i stedet for å hele tiden måtte bli opplyst om farer de kanskje alt har gått på, kan bruke den samme tiden til å selv lære å avsløre en stor andel farer og svindler. I tillegg til at de selv kan gjøre preventive tiltak, i stedet for å i ettertid bli fortalt at “dette burde du ikke ha gjort”.
Ved å sende tips og forespørsler til medier om hva du savner i saker, samt å fokusere på å dele de sakene som har god informasjon, ikke bare “klikkvinnerne”, vil medier over tid endre innholdet. De lever jo av å ha lesere.
Inntil mediene tar sin rolle, vil vi gjøre deler av denne jobben. Du kan jo alt nå starte med å lese noen av disse bloggpostene som gir deg en rekke nyttige tips:
- Personlighetstester på Facebook – En sikkerhetsrisiko?
- Hvem sa du at du var? – Spoofing
- Ny venneforespørsel fra eksisterende venner?
- Falske virusadvarsler dukker opp på kjente nettsteder
- Vær på vakt for venneforespørsler fra falske Facebook-profiler
- Barn og datasikkerhet – Hva bør foreldre vite?
- Ransomware
- Slik avslører du svindlerenes e-poster
- Det finnes ikke noe slikt som en gratis lunsj
- Ja, men dette har jeg da ikke bestilt?
- Sikkerhetsinnstillinger i Facebook
- To-faktor-autentisering
- Ikke alle konkurranser har en vinner!
Vi vil også anbefale vår lettleste bok om datasikkerhet for de som ønsker en litt mer komplett oversikt: