Ansatte i Forsvarsmateriell tester satelitter for å gi bredbånd til Forsvaret nord for Svalbard.
Ansatte i Forsvarsmateriell tester satelitter for å gi bredbånd til Forsvaret nord for Svalbard. Foto: Simen Rudi/Forsvarsmateriell

Forsvaret har innført stans i bruk av minnepinner

– Flere gjør som Forsvaret, opplyser Nasjonal sikkerhetsmyndighet til TV 2.

Denne artikkelen er over ett år gammel, og kan inneholde utdatert informasjon.

Cyberforsvaret, som blant annet har i oppgave å beskytte Forsvaret mot digitale trusler og cyberangrep, har innført stans i bruk av minnepinner i Forsvaret fra 1. mai.

– Det var forsvarssjefen som 25. mars tok beslutningen om at det skal reduseres bruk av minnepinner i Forsvaret, etter råd fra sjef Cyberforsvaret, sier major Roar Wold, pressekontakt for forsvarssjefen, til TV 2.

Wold sier at det ikke er snakk om noe totalt forbud, da det fortsatt vil være tillatt brukt der hvor det er operative behov for det.

– Forsvaret ønsker å redusere bruken av minnepinner der hvor det ikke er operative behov for å bruke det. I dag finnes det alternativer for overføring av informasjon som er bedre og sikrere enn minnepinner, og Forsvaret ønsker å i større grad benytte slike alternativer, sier major Wold.

– Flere innfører samme forbud

Bruk av minnepinner innebærer en sikkerhetsrisiko, ifølge Nasjonal sikkerhetsmyndighet (NSM). De kan brukes til å infiltrere datasystemer, og kan infisere isolerte datasystemer.

– Vi erfarer at stadig flere virksomheter innfører samme forbud mot minnepinner som Forsvaret nå har gjort, opplyser kommunikasjonsrådgiver Anniken Beyer Fjeld i NSM til TV 2.

Hun legger til at NSM ikke har vært aktivt medvirkende i Forsvarets avgjørelse, men sier at avgjørelsen er i tråd med NSMs anbefalinger om å redusere digitale sårbarheter der disse er kjent.

Minnepinner kan bidra til å spre ondsinnede programmer som virus, ormer og trojanere, heter det i NSMs brosjyre som gir råd om sikrere bruk av denne typen lagringsenheter. En internasjonalt kjent hendelse er fra 2007, da en minnepinne ble brukt for å plante verdens første digitale våpen i Irans atomanlegg.

Cyberforsvarets operasjonssenter på Jørstadmoen.
Cyberforsvarets operasjonssenter på Jørstadmoen. Foto: Anette Ask/Forsvaret

Fjeld sier at NSM i flere år har advart mot bruk av minnepinner, og påpekt sårbarhetene ved bruken av disse.

– Bruk av minnepinner er å anse som en mer-risiko. Vi har mange kjente eksempler på spredning av skadevare over USB. Et forbud mot minnepinner er med på å begrense angrepsflaten. Hvis en virksomhet ønsker å begrense mer-risikoen som bruk av minnepinner medfører, så er et forbud et effektivt tiltak, sier NSMs kommunikasjonsrådgiver til TV 2.

Kan spre skadevare

I likhet med Forsvaret påpeker også NSM overfor TV 2 at det finnes en rekke gode alternative digitale tjenester for å dele dokumenter og andre filer på en sikrere måte med kolleger enn å bruke minnepinner.

– Behov for bruk av minnepinner synker i takt med stadig bedre digitale tjenester som muliggjør flytting av dokumenter/filer, som reduserer den type sårbarhet som bruken av minnepinner utgjør, sier Anniken Beyer Fjeld i NSM.

– Hvis en USB har vært plugget inn og blitt infisert av en PC kan den spre skadevare til neste PC, poengterer hun.

– Utfordrende

I NSMs ferske reisevettregler for reiser til utlandet fraråder fag- og tilsynsmyndigheten at nordmenn kobler seg til lokalt utstyr som minnepinner, printere og ladere.

NSMs fem reisevettregler:

  • Legg ikke ut på tur uten først å vurdere risiko.
  • Ta med så lite sensitiv og skjermingsverdig informasjon som mulig og forbered utstyret du tar med.
  • Vær bevisst på økt risiko og tilpass adferden deretter.
  • Oppbevar utstyret sikkert.
  • Ta hensyn til at utstyret har vært i utlandet.

Kilde: NSMs IKT-sikkerhetsråd for reiser til utlandet, april 2019

Nasjonal sikkerhetsmyndighet har en rekke eksempler på at nordmenn slurver med sikkerheten når de er på utenlandsreise, sier kommunikasjonsrådgiveren som illustrerer noe av problematikken slik:

– Selv om arbeidsgiver har innført skille mellom jobb og privat utstyr/minnepinner – hvor privat utstyr ikke er tillatt brukt i jobbsammenheng - kan det være utfordrende for arbeidstakere å holde disse minnepinnene adskilte med mindre de er tydelig merket. Selv da kan det være fristende for en arbeidstaker «å bare bruke en privat minnepinne en rask gang» av bekvemmelighetshensyn (for raskt og enkelt flytte/kopiere noen filer).

NSM vil ikke fortelle om bruk av nordmenns minnepinner har ført til rapporteringspliktige, sikkerhetstruende hendelser, da dette «vil i all hovedsak dreie seg om gradert informasjon, og det kan vi ikke kommentere på».

I 2010 ble en norsk offiser som tjenestegjorde i Afghanistan refset og sendt hjem for å ha lastet ned gradert materiale på en minnepinne. Ifølge Forsvaret har det ikke forekommet lignende hendelser etterpå.

– Hva gjelder refselser for bruk av minnepinner er vi ikke kjent med noen konkrete refselsessaker ut over den du viser til. Generelt kan jeg si at vi i de senere år har registrert en vesentlig nedgang i antallet sikkerhetsbrudd som blir anmeldt til Militærpolitiet, sier forsvarssjefens pressekontakt Roar Wold til TV 2.