Alle ansatte med smarttelefoner har fått beskjed om å installere kryptering på telefonen innen nyttår. Men det beskytter ikke mot mobilovervåking av typen Aftenposten har avslørt, ifølge sikkerhetseksperter.
Få dager før Aftenposten avslørte at Stortinget, statsministeren og flere sentrale norske selskaper overvåkes ved hjelp av det som mest sannsynlig er falske basestasjoner, sendte Statoil ut e-post til alle ansatte med smarttelefoner med beskjed om at disse skal krypteres.
- Av sikkerhetshensyn har IT-avdelingen bestemt at kryptering skal aktiveres på alle smarttelefoner, heter det i e-posten som Aftenposten har fått se.
E-posten henviser til et skriv om nye retningslinjer for mobilsikkerhet, datert 1. desember.
Les Aftenpostens avsløring: Stortinget og statsministeren overvåkes
Vil ligge lavt
Informasjonssjef i Statoil, Jannik Lindbæk, vil ikke kommentere opplysningene. Aftenpostens målinger ved Statoils kontor på Fornebu viste ingen tegn på at falske basestasjoner var i bruk i området, og Lindbæk vil ikke bidra til å gjøre selskapet mer «interessant» for aktørene som foretar overvåkingen ved å snakke om hvordan selskapet beskytter seg.
Flere store banker og advokatfirmaer har de siste dagene fått seg en vekker etter at det ble klart at de kunne være utsatt for overvåking fra falske basestasjoner. Lindbæk sier Statoil har hatt interne kjøreregler for mobilsikkerhet «i ett års tid».
- Vi følger generelt beste praksis på dette området. I mange tilfeller vil det for eksempel være at mobilene blir liggende igjen utenfor møterommene, sier han.
Etter det Aftenposten kjenner til, blir ansatte også bedt om å bytte ut smarttelefonen med en gammel modell uten sensitivt innhold når de skal reise til for eksempel Russland.
Statoil er et utsatt mål for industrispionasje. Sikkerhetssjef i Statoil, Jannicke Hilland, sa i et intervju med sysla.no tidligere i høst at selskapet hver dag opplever flere nettangrep.
Saken fortsetter under videoen:
Ofte alarm
Ifølge Hilland stopper selskapet rundt 2,5 millioner e-poster med mistenkelig innhold hver måned, og virusalarmen går et par tusen ganger hver måned.
For å skjerpe oppmerksomheten rundt problematikken internt, sender selskapet jevnlig ut e-post som skal simulere virus til de ansatte. Og nå skal også altså mobilsikkerheten skjerpes ved at smarttelefonene krypteres.
- Flere av de nyeste smarttelefonene har krypteringsfunksjon man kan aktivere, slik at uvedkommende ikke kan hente ut sensitivt innhold fra telefonen dersom den kommer på avveie. Hvis det dreier seg om slike funksjoner, har dette ikke noe med samtalebiten å gjøre, sier sikkerhetssjef Tore Orderløkken i Evry.
Han sier slik kryptering antagelig ikke vil sikre Statoil-ansatte mot mobilspionasje av typen Aftenposten har avslørt.
- Det finnes ikke særlig gode løsninger for samtalekryptering. Da må du i så fall kjøpe rene kryptotelefoner, sier han.
Det finnes en rekke forskjellige apper man kan laste ned på mobilen som gjør at du kan ringe kryptert, men dette krever at de du ringer med har lastet ned samme app.
Det eksisterer tilsvarende apper for tekstmeldinger. Disse tjenestene har varierende kvalitet, og Evry anbefaler selskaper som vurderer å ta i bruk velprøvde tjenester og innføre en felles praksis for alle ansatte.