Risikoer ved phishing

Det er flere risikoer knyttet til phishing. Med tanke på personvernet er risikoene for personopplysningers konfidensialitet, integritet og tilgjengelighet særlig aktuelle. Dersom en angriper får kontroll over en e-postkonto kan dette medføre risikoer for blant annet:

• konfidensialiteten og tilgjengeligheten for personopplysningene i e-postboksen, herunder innboksen, sendte elementer, slettede elementer og andre mapper,
• konfidensialiteten for personopplysningene i kontaktregisteret. Hvis kontoen er tilknyttet et sentralt kontaktregister vil personopplysningene i dette også være omfattet,
• integriteten for e-post som er sendt ut av kontoen mens den har vært kompromittert.

Det betyr at selv om bare én e-postkonto er berørt, vil det i de fleste tilfeller være langt flere enn én person som er berørt av hendelsen. Både personer det finnes opplysninger om i løsningen og personer som mottar e-post fra angriperen gjennom den kompromitterte kontoen vil være berørte personer. Antall berørte personer vil kun begrenses av den samlede mengden personopplysninger som er tilgjengelig gjennom løsningen, samt hvilke personopplysninger angriperen har tatt med seg inn i løsningen, for eksempel adresselister for utsendelser via e-post.

Økende bruk av løsepengevirus

Vi har sett økende bruk av løsepengevirus de siste årene. Hvis løsepengevirus sprer seg i datasystemene, kan dette føre til risiko for at personopplysninger blir utilgjengelige. Hvis virksomhetens lønnssystem ikke er tilgjengelig, kan det for eksempel være vanskelig å betale ut lønn i tide. Hvis et kritisk system i en helseinstitusjon blir utilgjengelig kan det i verste fall stå om liv og helse.

Det blir stadig vanligere at angripere stjeler data i tillegg til at de krypteres («double extortion»). I slike tilfeller kan angripere også true med å offentliggjøre opplysningene for å få virksomhetene til å utbetale løsepenger. Spredning av løsepengevirus medfører derfor i økende grad også en risiko for brudd på konfidensialitet.