Page 1

Grundläggande Informationssäkerhet För studenter på högskolan i halmstad

Högskolan i Halmstad

För utveckling av verksamhet, produkter och livskvalitet.

1


2


Grundläggande informationssäkerhet

Innehållsförteckning

Grundläggande informationssäkerhet

Begrepp: Informationssäkerhet och IT-säkerhet

5

5

Ansvarsfördelning inom Högskolan i Halmstad

5

Allas skyldighet 6 Allmänna råd 6 Dator 6 Lånad dator 7 USB-minnen etc. 7 Telefoner etc. 7 Publika trådlösa nätverk 7 Lösenord 9 E-post 9 Internet 10

Bedrägerier via webbplatser eller e-post

10

Publicera på Internet 11 Rapportera misstänkta informationssäkerhetsincidenter

13

Åtgärder och övervakning 13 Länktips 14

3


4


Grundläggande Informationssäkerhet

Grundläggande informationssäkerhet

Alla former av information har behov av informationssäkerhet, inte bara den som finns i IT-system eller på papper utan även den information som utbyts via telefonsamtal eller personliga möten eller liknande. Olika information är olika känslig och behöver hanteras på olika sätt. Till exempel diskuterar vi normalt inte sådant vi läst på löpsedlarna på samma sätt som det en vän berättat i förtroende. För Högskolan i Halmstad som myndighet finns krav på informationssäkerheten. Högskolan måste: • Behandla information på ett tydligt, korrekt, säkert och relevant sätt • Kunna leverera och hämta rätt information vid rätt tidpunkt • Uppnå och upprätthålla en god informationssäkerhet Utifrån detta arbetar Högskolan i Halmstad med synsättet att personal och studenter endast ska ha tillgång till den information och de IT-system de behöver för att lösa sina uppgifter.

Informationssäkerhet och IT-säkerhet

Informationssäkerhet: Säkerhet kring information för att upprätthålla önskad konfidentialitet, riktighet och tillgänglighet på innehållet. Begreppet innefattar såväl IT-säkerhet som säkerhet i administrativa rutiner. IT-säkerhet: Säkerhet kring datorsystem för att hindra obehörig åtkomst och obehörig eller oavsiktlig förändring eller störning vid databehandling eller dator- och telekommunikation. IT-säkerhetsarbetet inom Högskolan i Halmstad syftar också till att skydda och värna studenternas och de anställdas integritet.

Ansvarsfördelning inom Högskolan i Halmstad

Det faller på Högskolans IT-avdelning att upprätthålla en god grundläggande ITsäkerhet. Ansvaret för IT-säkerheten i IT-system faller på systemägaren och IT-säkerheten hanteras av driftleverantören. Samtliga IT-användare som är anslutna till Högskolans datornät har ett eget ansvar för informationssäkerheten avseende den information man själv hanterar. Enligt Informationssäkerhetspolicyn för Högskolan i Halmstad (dnr 10-2010-2654), har IT-chefen det övergripande informationssäkerhetsansvaret vid Högskolan i Halmstad. 5


grundläggande Informationssäkerhet

Allas skyldighet

Alla som hanterar information inom Högskolan ska: • Ha grundläggande kunskaper kring informationssäkerhet • Bidra till att informationen hanteras på korrekt sätt • Rapportera fel och brister kring Högskolans informationssäkerhetsarbete till infor mationssäkerhetsansvarig (se även avsnittet Rapportera misstänkta informationssäkerhetsincidenter nedan). • Framföra behov av information och utbildning till systemadministratör eller informa tionssäkerhetsansvarig

Allmänna råd

Släpp inte in obehöriga personer genom låsta dörrar. Fråga dem om deras ärende. Tänk på vad du säger när du pratar i telefon. Den som ringer kan vilja lura av dig uppgifter som du inte vill lämna ut.

Dator

Tänk på att spara ditt arbete under dagens lopp. Standardinställningen i Word är att dokument sparas automatiskt var tionde minut. Spara alltid på H:-disken när du är på Högskolan. Är du hemma och vill spara ditt dokument på Högskolans server använder du webbplatsen myfiles.hh.se. Där tar IT-avdelningen backup varje natt, så att du har möjlighet att återfå dokumenten om du raderar dem av misstag, eller om filen blir skadad av någon anledning. Sparar du dokumenten direkt på skrivbordet eller C: så sparas de bara lokalt på den dator du sitter vid. Uppstår problem med datorer i datorsalar kan de ominstalleras utan förvarning (när ingen använder den). Använder du en dator på Högskolan ska du alltid logga ut när du lämnar den. Din privata dator ska hållas uppdaterad säkerhets- och programvarumässigt. Trådlöst nätverk hemma Om du har ett trådlöst nätverk hemma är riskerna för intrång i din dator större än om du använder ett trådbundet nätverk. Någon på gatan kan till exempel ta del av den information du skickar och ta emot eller få tillgång till information på din dator. Din dator kan också tas över och användas för att exempelvis lagra otillåtet material eller göra massutskick av e-post eller spam. Det är därför viktigt att nätverket ställs in på rätt sätt, så att säkerheten blir så hög som möjligt. Slå på den inbyggda krypteringsfunktionen på din router, byt användarnamn och lösenord och stäng av möjligheten att ändra inställningar på avstånd. Du bör också byta namn på nätverket och stänga av utsändningen av nätverkets namn. 6


grundläggande Informationssäkerhet

Lånad dator

Lånar du utrustning som på ett internetcafé eller använder en lånedator i en hotellobby, vet du inte vilka program som finns installerade på den datorn. Där kan (medvetet eller omedvetet för datorns ägare) finnas program som lagrar alla knapptryckningar du gör, inloggningsuppgifter, betalningsuppgifter eller vilka sidor du besöker. Därför ska du vara försiktig med vad du använder dessa datorer till.

USB-minnen etc.

USB-minnen och CD/DVD-skivor är enkla att använda för att ta med sig dokument eller göra en extra kopia. Men de är också enkla att tappa bort och ibland slits de så att de blir oläsliga. Därför bör man aldrig ha det enda exemplaret av ett dokument lagrat på ett sådant sätt. Du bör också radera inaktuella versioner av dokument som finns på USB-minnet dels för att inte förvirra dig själv, och dels för att minska risken för att någon annan läser en halvfärdig version av dokumentet. USB-minnen kan enkelt användas för spridning av virus och andra oönskade program. Därför ska du inte använda USB-minnen som du fått av okända källor, till exempel i reklamsyfte. Du ska också vara försiktig med att använda ditt USB-minne i delade datorer utanför Högskolan.

Telefoner etc.

Smartphones, som iphone och android-telefoner, är mer än bara telefoner – de är små datorer. Därför måste de också behandlas som datorer. Se till att hålla telefonens programvaror uppdaterade, skapa säkerhetskopior regelbundet, använd helst krypterade trådlösa nät (se även avsnittet Publika trådlösa nätverk nedan) och aktivera lösenordsskyddet på telefonen. Detta är särskilt viktigt om du loggar in i trådlösa nätverk och/ eller på webbplatser automatiskt och gäller även för surfplattor som ipad.

Publika trådlösa nätverk

Publika trådlösa nätverk finns på många offentliga platser för att man ska kunna ansluta en dator till internet. Det finns risker med att använda sådana nät. Till exempel kan en obehörig avlyssna eller ändra i den information som överförs, du kan råka koppla upp dig till ett falskt nätverk, eller så kan det finnas andra trådlösa nätverk i närheten som stör trafiken i det nätverk du använder. Minska riskerna genom att hålla din trådlösa nätverksanslutning avstängd när du inte använder den. Inaktivera automatisk anslutning till nät som du använder sällan eller enstaka gånger. Använd bara trådlösa nät som tillhandahålls av någon du känner till och litar på. Om du är osäker på vilket nät du bör använda, fråga den som tillhandahåller det. 7


8


Grundläggande Informationssäkerhet

Generella råd vid användning av trådlös kommunikation Följande råd gäller oavsett om du kommunicerar via mobilt bredband, publika eller privata lokala trådlösa nätverk eller bluetooth. Slå på din mentala brandvägg och gör en bedömning av hur känslig din information är. Bedöm vilka risker som finns och hur allvarliga konsekvenserna blir om din information förloras, förvanskas eller avlyssnas. Fundera på hur du kan skydda dig. Minska risken för avlyssning genom att använda en anslutning som är krypterad. Det är särskilt viktigt om du hanterar information som är eller kan uppfattas som känslig, till exempel personuppgifter, kreditkortsnummer, inloggningsuppgifter eller liknande. Kopplingen mot webbsidan är krypterad om det står https:// i början av adressraden.

Lösenord

Lösenord är personliga och ska hållas hemliga. Lämna aldrig ut ditt lösenord, varken till vänner, familjemedlemmar eller andra ”betrodda källor”. Du bör byta ditt lösenord var tredje månad. På så sätt minskar risken för att någon som kommit över det kan nå ditt arbetsmaterial, eller använda din dator eller ditt datorkonto (e-post) för skadlig verksamhet. Ett lösenord bör bestå av minst åtta tecken, med en kombination av gemener, versaler, specialtecken och siffror. De ska inte bestå av ditt användarnamn eller enkla teckenkombinationer såsom ”qwerty” eller ”abc123”. Använd inte samma användarnamn och lösenord på olika ställen. Byt ditt lösenord om du misstänker att någon annan kommit över det. Lösenordet till Högskolans nätverk byter du i Helpdesksystemet (www.hh.se/helpdesk). Skriv inte ned lösenordet så att någon annan förstår att det är ditt lösenord. Ett lösenord bör vara lätt att komma ihåg, svårt att gissa och ska inte kunna härledas till användaren.

E-post

E-post är ett enkelt verktyg för att sprida information, både för dig och för andra. Följande tips underlättar för mottagaren av din e-post: • Ange alltid ett tydligt ämne för meddelandet så att mottagaren ser vad denne kan förvänta sig fav innehållet. • Skriv inte någon känslig information i ämnesraden. • Skriv korta brev. • Var selektiv med att använda stora gruppadresser (massutskick) och med att skicka eller vidarebefordra meddelanden som innehåller stora filer. • Skicka eller vidarebefordra inte kedjebrev. 9


grundläggande Informationssäkerhet

Om du skickar e-post till många mottagare, skriv ditt eget namn i ”Till”-fältet och lägg in mottagarnas i ”Hemlig kopia”. Detta är särskilt viktigt när du skickar meddelanden till grupper där inte alla vill dela med sig av sin e-postadress eller ska se vilka de övriga mottagarna av meddelandet är. För någon med rätt utrustning är innehållet i e-post lika enkel att komma åt som innehållet på ett vykort. E-post är också en enkel och billig metod för en illvillig person att sprida skadliga program eller försöka lura av dig kontouppgifter eller andra känsliga uppgifter. Avsändaradresser är enkla att förfalska, så bara för att du känner igen avsändarens namn betyder inte det att meddelandets innehåll är säkert, eller att ditt svarsmeddelande skickas dit du tror. Erbjudanden som verkar för bra för att vara sanna är oftast det. Öppna eller svara aldrig på skräppost, då riskerar du bara att få fler.

Internet

Allt du gör på internet loggas, dels i din dator och dels på de webbplatser som du besöker. Använder du en dator från Högskolan så framgår det ur loggarna på webbplatsen att besöket kommer från Högskolan. Surfa därför med ett gott omdöme så att ditt agerande på nätet inte skadar Högskolan. Att surfa på webbplatser med olagligt, oetiskt eller olämpligt innehåll är inte tillåtet från Högskolans datorer om inte arbetsuppgifter, forskning eller studier specifikt kräver besök på sådana webbplatser.

Bedrägerier via webbsidor eller e-post

Det finns olika former av bedrägerier som är vanliga på Internet. Många går att skydda sig mot om man använder sunt förnuft. Till att börja med - var skeptisk. Om något är för bra för att vara sant så är det oftast det. Om du är det minsta misstänksam, ta själv kontakt med de företag som erbjuder eventuella tjänster. Tänk dig för innan du lämnar ut information om dig själv såsom namn, adress, ekonomiska uppgifter eller personnummer. Om en webbplats kräver mycket information om dig så bör du ifrågasätta detta och vara försiktig om det inte tydligt framgår hur uppgifterna kommer att användas. Svara inte på e-post och använd inte länkar till webbplatser i meddelanden där du uppmanas att lämna ut personlig eller ekonomisk information. Kom ihåg att tillförlitliga företag och organisationer aldrig begär in känslig information (som kontouppgifter eller 10


grundläggande Informationssäkerhet

personuppgifter) via e-post, webbsidor eller telefon. De skickar inte heller ut obeställda programuppdateringar via e-post. Lägg inte upp personer som du inte känner i kontakt- eller vänlistor för snabbmeddelanden eller på Facebook. Ladda aldrig ner program eller filer om du inte litar på avsändaren och inte känner igen filtyperna. Tänk på att avsändarnamnet kan vara förfalskat, både i e-post och på chatt. Var skeptisk mot program som kommer via e-post eller erbjuds på en chatt. Kryssa inte i popup-fönster där du uppmanas att ladda ner filer från en webbplats, om du inte är där för att hämta en fil. Det finns webbplatser vars syfte är att lura av besökarna känslig eller personlig information. Ett enkelt sätt att vilseleda internetanvändare är att bygga en sida som liknar den riktiga, men med en adress som är mycket snarlik den riktiga webbplatsen. Är du tveksam, kontrollera sidans webbadress. Moderna webbläsare visar ofta domännamnet extra tydligt. Är inte namnet exakt det du förväntar dig, lämna webbplatsen och skriv själv in den önskade sidans adress. Ofta kan bedragare skicka ut e-post för att locka besökare till dessa webbplatser. Dessa meddelanden innehåller ofta ett starkt, känslobetonat språk och de manar till snabba svar. Ibland används även skrämseltaktik.

Publicera på Internet

Om du lägger ut uppgifter på internet, som kommentarer hos tidningar eller i bloggar, på Facebook eller Youtube ska du utgå ifrån att det du skriver aldrig kommer att försvinna. Skriv inte kommentarer som kan uppfattas som kränkande. Lämna inte ut känsliga personuppgifter. Virus och andra skadliga program Virus, maskar och trojaner är program eller programsekvenser vars uppgift är tränga in i andra program för att utföra något otillbörligt. De sprider sig ofta lätt och det kan vara svårt att veta var de kommer ifrån. Gratisprogram, spelprogram och filer som laddas ner från internet eller bifogade filer till e-post eller snabbmeddelanden är de vanligaste spridningsvägarna. Högskolan har bra programvaror för viruskontroll och nätverket kontrolleras kontinuerligt. Även USB-minnen som du använder i Högskolans dator och filer som du hämtar från internet kontrolleras. Öppna inte bifogade filer eller klicka inte på länkar i din e-post om du inte vet vad de innehåller. Eftersom vissa virus letar efter och använder e-postadresser för att 11


12


grundläggande Informationssäkerhet

sprida sig vidare, kan även meddelanden från avsändare du känner innehålla virus. Vissa virus kan smitta via förhandsvisning eller bildvisning i e-postprogrammet. Tecken på datavirus i systemet kan vara: • Datorn gör saker som du inte har bett om (IT-avdelningen kan dock ibland koppla upp sig mot datorer för att installera program) • Pip eller hälsningar på skärmen • Datorn beter sig onormalt, som att den arbetar mycket långsamt, kraschar ofta eller inte kan startas Om du misstänker att Högskoledatorn du sitter vid innehåller virus – dra ur datornätverkssladden och lämna datorn med strömmen påslagen och lägg (från en annan dator) in ett ärende i helpdesk.hh.se där du beskriver vad som hänt och vilken dator det gäller.

Rapportera misstänkta informationssäkerhetsincidenter

Alla anställda och studenter har ett ansvar för sin egen informationssäkerhet. Upptäcker du en allvarlig eller upprepad informationssäkerhetsincident ska du anmäla det enligt riktlinjerna (dnr 10-2011-1298). IT-säkerhetsincidenter, som till exempel misstänkt virus eller stulen dator anmäls till Helpdesk. Informationssäkerhetsincidenter som till exempel upphittade eller borttappade papper med känsligt innehåll, misstänkt obehörig åtkomst till ett IT-system eller dokument, obehöriga personer i lokalerna eller brott mot informationssäkerhetsregler och –rutiner ska också anmälas till Helpdesk.

Åtgärder och övervakning

IT-avdelningen har rätt att utan förvarning för handhavande av den löpande driften, ta del av nättrafik genom tekniska åtgärder i nät och system. Föreligger misstanke om brott mot Högskolans IT-regler omfattar denna rätt även den enskildes lagrade data. IT-avdelningen har rätt att vid driftstörning, säkerhetsrisk eller vid grundad misstanke om lagbrott eller brott mot Högskolans IT-regler tillfälligt stänga av individuella och gemensamma IT-resurser. Upprepade eller allvarliga brott mot Högskolans IT-regler kan leda till avstängning av datorresurser och/eller anmälan till disciplinnämnd. Misstänkta lagöverträdelser kan polisanmälas. 13


grundläggande Informationssäkerhet

Länktips:

Helpdesk www.hh.se/helpdesk 20-minuters interaktiv utbildning i informationssäkerhet: https://msb.se/disa Lär dig mer om lösenord på PTS webbtjänst: https://www.testalosenord.pts.se Post och Telestyrelsens sidor om internetsäkerhet: http://www.pts.se/sv/Internet/Internetsakerhet/ Surfa lugnt, för barn och ungdomar på nätet: http://surfalugnt.se/

14


15


HÖGSKOLAN I HALMSTAD Box 823 • 301 18 Halmstad • Besöksadress: Kristian IV:s väg 3 Tel. 035-16 71 00 • e-post: registrator@hh.se • www.hh.se

Informationsavdelningen, Högskolan i Halmstad • mars 2012.

16

Grundläggande informationssäkerhet  

Alla former av information har behov av informationssäkerhet

Read more
Read more
Similar to
Popular now
Just for you