Slik sikrer du dine data

Jo mer vi blir avhengig av IT, jo viktigere blir datasikkerhet. Her er også ofte kimen til kritikk: IT fører bare til mer pes og utrygghet. Men sikring av data innebærer ofte bedre sikring enn de tidligere produktene, konseptene og løsningene de overtar for.

Datasikkerhet kontra informasjonssikkerhet

Av og til dukker det opp debatt om datasikkerhet og informasjonssikkerhet. Mange mener at det er det samme, og dermed bør man bruke informasjonssikkerhet, eller IT-sikkerhet. Sikkerhet kan også være å unngå at noe skal skje, som å begrense eller fjerne følgene av at noe skjer.

En diskusjon som har dukket opp, er at datasikkerhet egentlig er informasjonssikkerhet. Det kan være rent språklig. Data betegner som kjent "død" informasjon, mens informasjon innebærer data satt i en meningsfull sammenheng og kommunisert. Det er derfor mer meningsfullt med informasjonssikkerhet.

En annen er å definere informasjonssikkerhet som analyseredskap, hvor det definerer "Vern mot brudd på konfidensialitet, integritet og tilgjengelighet for den informasjonen som behandles av systemet og systemet i seg selv" (Håndbok i datasikkerhet, Tapir Forlag).

Konfidensialitet er her sikkerhet for at kun autorisert person får tilgang til følsom eller gradert informasjon, og at det på forhånd er foretatt en gyldig identifisering og autentisering av denne personen.

Integritet er sikkerhet for at informasjonen og informasjonsbehandlingen er fullstendig, nøyaktig og gyldig, og et resultat av autoriserte og kontrollerte aktiviteter.

Tilgjengelighet er sikkerheten for at en tjeneste oppfyller bestemte krav til stabilitet, slik at aktuell informasjon er tilgjengelig ved behov.

Riktige definisjoner

Imidlertid er datasikkerhet satt i en større sammenheng også vern av dataene alene. Selv om transaksjoner i et betalingssystem i seg selv bare er data, og først satt i sammenheng med betalingsevne, metode og tidligere og senere transaksjoner gir særlig god informasjon, så er det fortsatt disse dataene i transaksjonene som grunnleggende må vernes. I det følgende vil vi snakke om datasikkerhet i bred betydning, men også bruke informasjonssikkerhet definert som og gi tips for å møte utfordringene.

Når vi i det følgende snakker om programvare og applikasjoner, er det for å markere at det er en liten forskjell mellom begrepene.

Programvare er fellesnavn for både operativsystem, programvarepakker og programsnutter som for eksempel kjører i en Web-tjener eller en Web-side.

Applikasjoner er avhengig kode, altså programvare som er avhengig av at det finnes en type rammeprogram som OS og en større programvarepakke for å kjøre. Skillene er glidende, men det er nødvendig å understreke at vi bruker disse begrepene fordi de er forskjellige, og ikke bare anglisismer.

Datavirus er små programmer skrevet for å endre hvordan et IT-system kjører, gjerne uten at brukeren vet eller har godkjent dette. Virus må kunne kjøre sin egen kode, og den må også være i stand til kopiere seg selv.

Mest iøynefallende for vanlige IT-brukere er den type datavirus som kalles ormer, og mange mener at dette er det ene, store sikkerhetsparadigmet. Så enkelt er det ikke.

Ormer, som betegner en type virus som bruker nettverksressurser til å spre seg, gjerne utnytter kjente sårbarheter, som gjerne har en skadelast som er mangfoldig og som ikke trenger noen vertsfil er bare en type trussel – og en type virus. Datasikkerhet innen antivirusfeltet alene inneholder derfor flere typer virus.

I tillegg er det tilgrensende utfordringer, som kan ha sikkerhetsrelevans, som søppelpost (spam) eller spionprogramvare (spyware).

Brannmurver og avbruddsfri strømforsyning

I spann med datavirus spiller brannmurer en viktig rolle, først og fremst fordi nye virus gjerne har kombinerte angrepsmønster. Dette setter krav til kompleksiteten i vernet, slik at antivirus uten brannmurvern er tilnærmet verdiløst. Nært beslektet, og i visse brannmurer integrert er inntrengingsdetektering og inntregningsvern (IDS/IPS).

Datasikkerhet inneholder også strømvern, som innebærer vern mot større (lynnedslag) og mindre ujevnheter i strømleveringen (spikes og transienter), og vern mot at data går tapt fordi strøm forsvinner før lagring, den egentlige avbruddsfrie strømforsyningen.

Det finnes flere typer UPS, for alle praktiske formål er det kun «line-interactive» og «online» som er aktuelle.

UPSer blir også stadig mer aktuelle, fordi vi på den ene siden får utstyr som bør ha en UPS som naturlig partner, og på den annen side har et kraftnett med mye støy, og stort vedlikehold- og oppdateringsbehov.

For eksempel har trenden med IP-telefoni gjort at UPSer er nødvendig for å beholde telefonisambandet om strømmen forsvinner, mens kravet om billig strøm har redusert muligheten for nødvendig oppdatering og effektivisering i strømnettet.

Hold det oppe – hold det i gang

Et viktig tema når det gjelder selve sikringen av IT-systemer, er rettelser (patching) og oppdatering av programvaren. Rettelser innebærer å tette sårbarheter og sikkerhetshull, mens oppdateringer er fiksing av og tillegging av ny funksjonalitet for å oppnå bedre kjørende programvare.

All programvare er laget av mennesker og trenger i utgangspunktet alltid oppdateringer. Selv om eldre programvare er fullt ut rettet, kommer likevel nye systemer som må tettes og vedlikeholdes.

Og for å ta det med en gang: Windows er i dag ikke et spesielt usikkert operativsystem. At det til tider har vært katastrofalt usikkert, er ordnet med skikkelige rutiner for sikkerhetsdesign og sikkerhetsrevisjon. Men som verdens mest utbredte plattform, både av sikre og usikre versjoner, er de naturlige hovedmål for alle verdens virusforfattere.

Mindre plager

En hovedkonkurrent som Linux mangler å være like utbredt og populært som Windows, og slipper dermed unna alle de som forsøker å lage virus som kan ramme Windows. Så om virus er en spesielt stor plage, er Linux et skikkelig alternativ.

Et annet alternativ for mange kan derfor være Mac, som er ekstremt brukervennlig og utpreget design. Men nedsiden her er at det meste av maskinvare og programvare er strengt kontrollert av Apple.

Her kommer imidlertid en annen side ved skifte av OS og plattform: Opplæring og tillæring av bruken av dette OSet er en egen utfordring. Inntil kompetanse er bygd opp, bør man derfor være mer forsiktig enn vanlig når man tar i bruk et nytt OS. IT-systemene er mest sårbare mens kompetansen bygges opp.

Ta sikkerhetskoip

Lagringsløsninger og sikkerhetskopiering er gjerne sett under ett, av den enkle grunn at det ikke er fornuftig å tenke på det ene uten å ta med det andre. Fra hjemmebruker til mobilarbeider til datasentralen er gode lagringsforhold og sikkerhetskopiering avgjørende.

Dette er enkelt og greit fordi feil kan oppstå, og sikkerhetskkopi oftest er den raskeste veien tilbake til kjørbar tilstand.

Et moment som ofte glemmes, og som antagelig er viktigere jo kortere nedetid man kan tillate seg, er å sjekke tilbakerullingsrutinene. Det er fint med sikkerhetskopi, men mange opplever at rutinene for å få dataene tilbake kunne trenge testing og drilling. For ikke å snakke om å verifisere at sikkerhetskopien faktisk inneholder data.

Må ha rutiner internt

En egen disiplin innen sikkerhet er oppetid og stabilitet. Dette er imidlertid mer et mål enn et middel, fordi om IT-systemene kjører feilfritt og uten stadige omstarter, er avhengig av andre elementer – fra antivirus og brannmurer til UPSer.

Når det likevel også er et middel, er det for de tilfellene hvor svake rutiner fører til problemer. Stabilitet og oppetid forutsetter nemlig at man har rutiner mot å installere maskinvare eller programvare i IT-systemer  som er ment å utføre en jobb.

Selv om det står på utsiden av pakken at det nye grensesnittkortet er testet mot Windows og fungerer, er ikke dette noen garanti at det fungerer mot din installasjon av Windows. Faktisk er det ingen garanti for at det fungerer i det hele tatt, råtne drivere kan effektivt ødelegge en god Windows-installasjon.

Gule lapper er ikke bra

I bedrifter fører manglende testrutiner til i beste fall at noen brukere opplever IT-systemet som ikke tilgjengelig, i verste fall kan manglende testing slå ut hele IT-systemet.

Når katastrofen er oppstått, er det selvsagt en stor fordel om man har gode sikkerhetskopirutiner, og at rutinene for tilbakerulling fra sikkerhetskopirutinene er på plass. Også virtualiseringsverktøy kan være en fornuftig løsning for å få på plass gode testerutiner, eller simpelthen for å redusere antall bokser og kompleksitet.

Den største utfordringen er imidlertid ikke å holde uvedkommende borte fra IT-systemene fordi de er en trussel. Ofte er de verste truslene interne brukere.

IT-sikkerhet i bedriften og hjemme sikres av opplæring og beredskap, fordi brukere som ikke får informasjon om hvorfor visse handlinger er farlig kan komme til å bryte datasikkerheten mer eller mindre forsettlig.

Det holder å antyde situasjonene hvor en bruker i frustrasjon over passordregler skriver sitt eget på en gul lapp og fester den på et lurt sted, for eksempel på skjermen. I slike tilfeller bør man kanskje vurdere en annen passordpolitikk, siden mange har problemer med å huske mer enn to PIN-koder, bør man kanskje be dem bruke passord som for eksempel. andre linje i andre vers av en låt av yndlingsartisten.

Opplæring må til

På hjemmekontoret har vi sett skrekkelige eksempler hvor barn har delt ut, altså gjort hele hjemmeharddisken tilgjengelig på Internett. Grunnen er selvsagt at i fildelingsnettverk må du dele ut fillagringsplass for å få delta.

At hele verden får tilgang til disken din, er kanskje ikke så ille. Men du vil helst ikke at spammere og andre skal få tilgang til dine data. Opplæring er derfor viktig.

Vi kan også nevne at det selvsagt er en trussel med utro medarbeidere. Medarbeidere som med vitende og vilje tar med seg kundedatabaser og kontakter før de slutter, eller som tar med seg og sletter bedriften sin kopi av data kan effektivt sette bedrifter ut av spill. Og når de fleste kan få en minnepinne på en gigabyte og som er like stor som en tommelfingernegl, så er det en alvorlig trussel.

Gode rutiner for sikring av data, god internkontroll, kvalitetssikring av tilsettinger og innsats for et godt arbeidsmiljø reduserer risikoen. Og er uhellet ute, så les gjerne om hva firma som IBAS kan gjøre for deg.

E-postormer var opprinnelig en virustype som var uavhengig av en vertsfil, og som spredte seg videre ved bruk av nettverksressurser som e-post, filutveksling, Web-kode eller nettverksdelte ressurser.

Nå er det imidlertid flere typer virus som sprer seg slik, og underveis har en last av hissig og farlig kode gjort denne trusselen mer komplekst og uensartet. Vi som driver virustesting ser også etter Trojanske hester som er en type kode som både kan være virus og hackerverktøy og sammen med ormene en konstant skiftende trussel. Brannmurer er ofte eneste alternativ for å plukke trojanere.

Gamle kjenninger

Polymorfe virus er virus som endrer sin egen programkode for å unngå å bli oppdaget av antivirusprogrammer. Denne typen er blitt nifsere enn noensinne, fordi de raskest spredende virusene endrer seg selv og spredningsmåte avhengig av hvor de aktiveres.

Filvirus, eller "klassiske virus" utnytter kjørbare programmer og filer til å gjøre ugagn. I samme klasse er Systemvirus, som kopierer seg selv inn på oppstartssektoren til disketter og harddisker.

En gammel gjenganger er Makrovirus, som er en selvstendig plage. Hovedproblemet er at noen av makroene kan utføres automatisk i visse programmer når en åpner et dokument. Siden makroene tildels har veldig kraftig funksjonalitet, kan de fortsatt gjøre stor skade.

Mange ormer inneholder både skript og makroer som kan gjøre skade, og det er her slike trusler blir virkelig ille, spesielt om de også inneholder evnen til å endre seg, altså bruker egenskapene til polymorfe virus.

Sikkerhet er å avveie risiko mot kostnader. Det kan også gjøres helt matematisk. Det kan også gjøres helt elementært som en tankeøving.

Dersom du kommer hjem til en brennende boligblokk, og får beskjed om at du får fem minutter til å hente det viktigste fra din leilighet: Hva ville du ta med? Og hva mer om du fikk ti minutter? Svarene her forteller hvor du skal satse på å sikre ekstra godt. Og for enkelhets skyld, familien din er i sikkerhet.

Alt kan tallfestes

Rent matematisk opererer man gjerne med risikostyringsformler som rent matematisk forteller noe om forholdet mellom kostnaden ved å sikre noe til et visst sikkerhetsnivå i forhold til sannsynligheten for at sikkerhetstrusselen virkeliggjøres.

Gitt et måltall, kan alt tallfestes og kostnadsfestes, og resultatet ende opp i en liste over hva som må, kan, kunne eller ikke trenger/er for dyrt å sikres. Hvor omfattende dette kan gjøres, er avhengig av situasjon og trusselbilde. Men vi vil nok tro at omfang og kompleksitet skalerer med hvor stor organisasjon som skal sikres.

Ingen kan ødelegge et interessant konsept som en sikkerhetskonsulent. I IT-verdenen er dette fortsatt sant. Men av og til er folk mer villige til å godta sikring, om konsekvensene av dårlig sikring kartlegges og gjøres kjent, og kostnadene både til implementering av sikkerhet og kostnadene ved å la være, er kjent.

Å gjennomføre en total datasikring kan i verste fall innebære å gjøre noe maksimalt tilgjengelig helt utilgjengelig. Den sikreste PCen er frakoblet Internett, og har kun mulighet for å hente ut informasjon, og legge inn ufarlig informasjon – for eksempel. tekster uten skript og kode.

Det er selvsagt uholdbart. Sikkerhet må balanserer mot brukervennlighet og tilgjengelighet, hvis ikke blir ikke IT-systemene tatt i bruk. Eller noe som gjerne er enda verre: De blir brukt helt feil, eller på en måte som eksponerer sårbarhet.

Tenk sikkerhet fra starten

Det er også slik at man ikke kan hoppe bukk over sikkerheten om man skal tilby IT til flere, fordi kunder og partnere vil forutsette at sikkerhetsnivået i din bedrift vil verne dataene de får eller utveksler.

For bedrifter er det også verdt å se på sikkerhet som et grunnleggende premiss for alle systemutviklinger og prosjekter som innebærer IT fra starten av. 

Årsaken er at internaliseringen av sikkerhet vil gjøre prosjektmedarbeidere og mottakere klar over og i stand til å ta sikkert inn. En annen side er at kostnadsbildet ifølge undersøkelser fra Gartner, viser at kostnaden i et prosjekt som har sikkerhet med fra starten er 22 prosent lavere enn om man lager prosjektet ferdig før man legger på sikkerhet.

Fordelen hjemme er at du har oversikt, og alt kan kontrolleres. Ulempen er at trusselbildet kan lamme handling. Det første er det viktigste, det andre kan unngås fordi det er en sikkerhetstrussel i seg selv.

Helt grunnleggende for hjemmesikring av IT-systemer – inkludert bredbånd og IP-telefoni – er antivirus, brannmur, sikkerhetsoppdateringer, sikkerhetskopiering og strømvern/UPS. Dette er heldigvis overkommelig for de fleste, selv om mange nok dessverre må miste noen digitale fotografier før de starter med sikkerhetskopiering. Eller ødelegge noe elektronikk før de skaffer seg UPS.

Imidlertid er datasikring hjemme kort og godt å tenke gjennom hva som er viktig, og sikre dette. Er de fem punktene over tatt hensyn til, vi de fleste ha et greit sikkerhetsnivå:

1. Antivirus bør ha automatisk oppdatering, helst flere ganger om dagen om du har bredbåndstilkopling til Internett.

2. Brannmuren bør enten ligge i en bredbåndsruter eller som en personlig brannmur, f.eks. levert som en del av antiviruspakken. Er du mobil bruker med bærbar PC må du ha personlig brannmur.

3. Sikkerhetsoppdatering av operativsystemet bør helst foregå automatisk, og minst en gang i uka. De mest populære programmene og applikasjonene dine bør oppdateres en gang i måneden.

4. Sikkerhetskopiering – en full sikkerhetskopi minst en gang i måneden til CD, DVD, REV eller båndstasjon. Daglige sikkerhetskopier av endrete data.

5. Strømvern/UPS – all elektronikk bør ha en type strømvern, og elektronikk som har en avslutningsrutine – som PCer – bør ha en type UPS, for å sikre at strømbrudd ikke fører til datatap.

I jobbsammenheng er det gjerne den klassiske utfordringen som ligger i kravet fra ansatte om tilgang til data fra flere steder enn jobbpulten, som gjelder.

Noen bedrifter har kanskje kommet så langt at de gir tilgang hjemmefra via en VPN-oppkopling eller enn terminalklient som en Citrix ICA-klient. Bedrifter som vil benytte moderne løsninger må møte utfordringene fra en mengde IT-klienter som vil ha tilgang til det meste av IT-systemer fra de underligste steder til de pussigste tidspunkter.

I de siste årene er det en stor satsing fra de store IT-leverandørene mot bedrifter som er i SMB-skiktet, altså bedrifter med under 250 ansatte. Grunnen er at det er en veldig typisk europeisk næringsstruktur, hvor tall fra HP og Microsoft. forteller at Storbritannia og Frankrike utmerker seg med en høy andel SMBer.

En interessant statistikk vi har fått fra Novell er at mobilarbeidere, definert som folk som tilbringer mindre enn en tredel av arbeidstiden sin på en fast arbeidsplass, er spesielt høy i Norge.

La ekspertene ta det

For norske bedrifter er dette en utfordring med løsning levert. Med flere mobilarbeidere settes det opp krav om sikker tilgang til bedriften sine data og IT-systemer. På den ene siden er det en utfordring å gi datastøtte på en sikker måte til mange mobilarbeidere. Men det er store muligheter for å kunne kjøpe den eller de delene av datasikkerhet man ikke kan eller ikke ser seg tid til å styre med selv. Det hele bunner i at sikkerhet er viktig også for den som vil legge mest mulig oppmerksomhet i å utvikle bedriften, og dermed kan man la ekspertene ta seg av dette.

Et eksempel er HP. Giganten har en egen satsing hvor de bunter egne tjenester og produkter med partnere og skal levere sikkerhetstjenester etter utleieprinsippet til SMBer. HP operer med «prisen av en kaffekopp» om dagen som antydning av prisnivå.

En konkurrent til HP, som Computer Associates, bygger også opp løsninger som skal kunne levere det sikkerhetsnivået eller de tjenestene bedriftene ønsker.

Og firma som WebDeal utnytter virtualisering til å tilby dedikerte tjenestemaskiner med høy sikkerhet og effektiv utnytting av maskinvare. Dette inkluderer at man kan få utført alt fra antivirusskanning til hele sikkerhetskopijobben eksternt.

Bokser eller hjerne?

Et annet eksempel på sikker infrastruktur er Citrix sine tynnklientløsninger. Norge er allerede blant de landene som har høyest andel Citrix i verden, noe som henger sammen med et næringsliv som må tilpasses underkontorer og produksjonssteder plassert på de underligste steder – med tynne datalenker som telefon og mobiltelefon. Og selvsagt, en tjenesteytende offentlig sektor som av og til satser på kostnadseffektivt IT for å bedre tjenester. Citrix har spesialisert seg på sikker infrastruktur basert på at sambandet ikke trenger å være bredbånd.

Sikkerhet både for de helt små og de større kan av og til også arte seg som et kappløp for å bruke mest mulig penger på maskinvare. Det har sine klare fordeler i å ha dedikerte maskiner for for eksempel IDS-kontroll.

Utfordringen er at med flere bokser øker kompleksiteten i administrasjon og drift med mange forskjellige grensesnitt. Av og til kan derfor bare det å legge opp til at utstyret skal kunne administreres under et være et sikkerhetstiltak. Dette betyr av og til å putte penger inn i felles administrasjonsprogramvare, eller leie noen som bruker dette for kontroll g sikkerhet. Selv om dette betyr mindre fete bokser, må man av til prioritere ned «jern», og heller bruke penger på «hjerne».

En typisk innvending som dukker opp fra småbedrifter er at sikkerhet ikke er så viktig, om du bare er liten nok. Uten Internett over bredbånd og egen Web-server i bedriften, slipper bedriften noen utfordringer.

Men selv den lille kiosken med en PC, som kjører regnskapet, har viktige kundelister og planer for vekst lagret i noen dokumenter. En full kaffekopp som tømmes i PCen ved et hendelig uhell, eller brannen på bakrommet utsletter informasjonen om det ikke finnes en sikkerhetskopi av dataene. Feilen i strømanlegget kan gi strømfeil som blåser en harddisk, eller ødelegge data som ikke var lagret ennå. Dette kunne vært unngått med en UPS.

En UPS er også det som gir konstantdrift for småbedriften som tar IP-telefoni i bruk – med en UPS til bredbåndstelefonen, så er bedriften tilgjengelig selv når sikringen eller strømmen går.

Og dette er før vi snakker om fordelene med antivirus og brannmur i denne PCen, som verner mot trusler som kommer via datakanalene, det være seg virus via kabel eller minnepinne/diskett, eller dataangrep som stjeler planene for vekst. Bedriften kan dessverre vanskelig bli liten nok til å ikke bry seg om IT-sikkerhet,

To nye utfordringer har dukket opp i ytterkanten av sikkerhetsfeltet. I utgangspunktet var ikke disse sikkerhetsutfordringer i vanlig forstand, delvis fordi de først var begrenset i omfang, og delvis fordi de ikke ble ansett for å være noen trussel mot IT-systemer.

Men søppelpost er blitt et problem fordi mengdene av den truer stabiliteten til IT-systemene, og det både truer integriteten og leveringssikkerheten til e-posten. Det siste betyr kort og godt at man kan feilvurdere og sortere ordentlig og/eller viktig e-post med søppel, automatisk eller manuelt, eller komme til å slette reell e-post i sammenheng med massesletting av e-post.

Trege PCer

Spionprogramvare var heller ikke noe problem fram til Internett ble allemannseie – og inngripen mot operativsystemene hadde færre konsekvenser.

Spionprogramvare i dag er en trussel mot stabiliteten til enkelt-PCer, fordi de fører til treg kjøring, låste systemer og uvilkårlige omstarter. Dette fører til mer irritasjon og av og til større og mindre utlegg – opp til å bytte ut hele PCen. For en bedrift er én side stabilitet og brukerstøtte, en annen kostnadene til unødvendig ny maskinvare. En tredje og mer alvorlig er at mye av spionprogramvaren får karakteristika som ligner virus – det åpner IT-systemet for eksterne.

Frem med telefaksen

Interessant nok åpner spam for mange mottiltak, og i enkelte tilfeller renessanse for eldre teknologier. For eksempel fører spamproblemer til at man tar i bruk telefaksteknologi til å sende informasjon. Riktignok, eller heldigvis, er det snakk om å bruke teknologi, men gjerne integrert mot en multiinformasjonsklient som er åpent for slikt – for eksempel Microsoft Outlook.

Det innebærer at man sender melding fra samme grensesnittet man i dag bruker til e-post eller SMS – og at denne sendes via telefaks-protokoller til en telefaks-mottaker. Om mottaker har en vanlig telefaks, så skrives det ut. Om det er elektronisk telefaks-mottak, kan sendingen settes opp og leveres som innskannete dokumenter, en FTP-fil eller et Web-lenke til mottaker. Vi har sett slike løsninger fra Faxcore, som støtter slike løsninger. Nedsiden er åpenbar for de som har eller har hatt telefaks: Det er ikke fritt for at telefakser kan bli søppelsendingsmottakere.

Det er heldigvis flere gode kilder for IT-sikkerhet. Her er noen som har vært nyttig for oss i denne artikkelen.

www.nettvett.no

www.hp.com/EMEA/SMB

www.citrix.com

www.commaxx.no

www.ibas.no

www.ca.no

www.webdeal.no

www.microsoft.no/sikkerhet

www.symantec.no

www.nettpost.no

Les også gjerne boken

«Innføring i Nettverk» fra IDG books, eller «Håndbok i informasjonssikkerhet» fra Tapir Akademisk forlag

Her er tipsene som reduserer spam

Antispam-arbeid er langsiktig, og "gamle synder" har en tendens til å henge ved lenge. Her er noen nyttige forholdsregler:

- Hvem er egentlig skyld i spammingen? Dessverre, den beste måten å finne det ut på er å finne et speil. E-postadressen din sprer du i utgangspunktet hver gang du sender en e-post, men verre er det at du legger den igjen i ymse Web-steder for å få informasjon. Ulempen er at du ikke har noen garanti mot at Web-stedet ikke selger eller sprer e-postadressen din videre.

- Ikke legg igjen adressen din i Web-forum, blogger eller nyhetstjenester – news – eller ha den som fulltekst i en e-postbrødtekst.

- Skaff deg en e-postadresse til. Ikke bruk din private, eller enda verre, jobb-e-postadressen når du fyller ut skjemaer på nettet. Skaff deg en ekstra hos en gratistjeneste som Hotmail, Yahoo eller en av de titalls steder som tilbyr dette gratis, og bruk denne isteden. Da har du en postboks hvor mesteparten av søppelposten vil havne. Du har også fått en kjekk reserve for e-post i ferier eller på reise – eller om en av de ordinære e-postkontoene dine skulle være utilgjengelig og du bare må motta den e-posten fra en kontakt.

- Les den lille teksten. Når du fyller ut et skjema på nettet for å få informasjon, eller tilgang til drivere eller annet du etterspør, sjekk om du også godtar videreformidling. Typisk er at du har ett kryss for mer informasjon fra den leverandøren du vil ha informasjon, og ett kryss for å godta videreformidling til «partnere» av denne leverandøren. Fjern i alle fall et av disse kryssene.

- Ikke svar leverandøren av søppelpost. Den umiddelbare reaksjonen når du mottar e-post fra en spammer, er å svare og be vedkommende fjerne deg fra distribusjonslisten. Dette skal du aldri gjøre, for spammeren er dette å få bekreftet riktig adresse, og korrekte adresser er gull verdt for spammerne. Vær også forsiktig med å bruke "unsubscribe"-muligheten som enkelte spammere gir deg. Om du ikke aner hvem eller kjenner igjen leverandøren av spam, men bruker en rutine de oppgir om å gå til et Web-sted for å melde deg av lista deres, så ikke bruk denne muligheten. Flere spammere bruker dette som en annen mulighet for å verifisere e-postadressen. Når dette er sagt, om en seriøs leverandør gir deg muligheten til å avmelde deg med en "unsubscribe" eller "remove"-kommando via e-post eller Web, må du gjerne bruke denne.

- Bruk et Anti-Spam-filter. Flere moderne e-postprogrammer har innebygde filter for å fjerne søppelpost fra innkurven. I tillegg finnes det en haug med tredjepartsverktøy, og flere av de klassiske antivirusleverandørene inkluderer antispamverktøy i sine pakker. Les den store antispam-testen her.

- Et annet virkemiddel er å melde fra til administratoren av e-postdomenet det sendes fra. Dersom du får stadig e-post fra kjempetilbud-til-deg.no, bør du varsle den som administrerer dette domenet. I tillegg er reservasjonsregisteret mot reklame under Brønnøysund-registeret (www.brreg.no ) et sted å reservere seg mot e-postreklame. Opplysninger om hvem som eier eller administrerer domener finner du blant annet hos whois.net, eller  www.uninett.no i Norge.