Hvorfor udgør hver enkelt medarbejder en sikkerhedstrussel?
En stor del af sikkerhedsbrud i virksomheder udføres af medarbejdere ifølge Mørketalsundersøgelsen 2020. Manglende sikkerhedsbevidsthed er en af grundene til dette. Jeg fik selv en kraftig opvågning, da mine kolleger tog fat – heldigvis!
Åse Helene Rogne-Hansen
07. februar 2019
Windows-tast + L
At gå ind på en kollegas pc uden tilladelse for at invitere alle i virksomheden på hjemmelavet kage er en relativt uskyldig måde at illustrere vigtigheden af at låse deres skærm. Det var mig, der skulle bage en kage til mine kolleger i Cloudworks for et stykke tid siden. Selvom jeg bare gik over til kaffemaskinen for at fylde op, tjekkede en kollega, om jeg havde låst skærmen. Dette gentog sig selv, indtil jeg blev en flittig bruger af Windows-tasten + L. Det er kommandoen til at låse skærmen. Hvis du ikke allerede vidste det.
Ansvar som arbejdstager
Der behandles mange oplysninger, der ikke må komme på afveje i en virksomhed. Det omfatter personlige oplysninger, sundhedsoplysninger, børsfølsomme oplysninger samt forretningshemmeligheder. I nogle virksomheder går de så langt, at medarbejderen mister sit job, hvis vedkommende er blevet advaret om at låse deres skærm mere end to gange. Det er en forholdsvis god indikation af alvoren i det.
I henhold til straffelovens § 145, stk. 2, er det forbudt at krænke en beskyttelse eller tilsvarende måde uberettiget skaffe sig adgang til lagrede data. Men for at det skal være en strafbar handling, skal oplysningerne være beskyttet med en adgangskode eller lignende.
Hver medarbejder har et ansvar for virksomhedens informationssikkerhed. Låsning af deres skærm er blot en af de sikkerhedsrutiner, der er vigtige for en virksomhed, og bevidstgørelse om sådanne rutiner reducerer den trussel, som hver medarbejder udgør.
Sikkerhedsbrud udføres af medarbejderne
Mørketalsundersøgelsen fra 2020, der er udarbejdet af det norske Erhvervssikkerhedsråd, viser, at en stor del af sikkerhedsbrud udføres af medarbejdere. Rapporten viser, at blandt de norske virksomheder, der var med i undersøgelsen, var årsagerne til sikkerhedsbrud i store dele:
- tilfældigheder eller uheld
- menneskelige fejl
- manglende sikkerhedsbevidsthed
- utilstrækkelige processer
- eksisterende processer, der ikke blev fulgt
Der blev også nævnt tilfælde, hvor systemer bevidst blev misbrugt, og hvor illoyale medarbejdere fik adgang til oplysningerne.
Enkelt mål for angreb
Ofte betragter medarbejderne sikkerhed som en hindring for at få deres arbejde udført tilfredsstillende, og mangler forståelse for baggrunden for sikkerhedsreglerne. De betragtes som det svageste led i en virksomhed og et let mål for angreb som social hacking, identitetstyveri, misbrug af adgang og lignende. Ikke desto mindre har medarbejderne traditionelt ikke været en del af prioriteringen i virksomhedens sikkerhedsstrategi. Derfor ved ledelsen ikke, hvordan medarbejderne vil håndtere et angreb, hvilket i sig selv udgør en betydelig trussel.
Kravene til kontrol er øget
Det er afgørende for en virksomhed at have god kommunikation omkring sikkerhedskrav til medarbejdere og ledelsen, og regelmæssigt at gennemføre og verificere træning og oplæring tilpasset de forskellige brugergrupper. Kontrol over informationssikkerheden er påkrævet. I værste fald kan det modsatte få store økonomiske og juridiske konsekvenser. Indførelsen af GDPR har også øget en virksomheds krav til kontrol, og myndighedernes hyppigere brug af sanktioner ved et brud forstærker behovet yderligere.
Vores sikkerhedseksperter kan hjælpe din virksomhed
Hos Cloudworks har vi sikkerhedseksperter, der kan hjælpe din virksomhed med at kortlægge den nuværende situation og komme med forslag til konkrete tiltag. Vi kan følge med i processen med sikkerhedstræning blandt medarbejderne, og præsentere bestyrelsen for deres ansvar omkring virksomhedens sikkerhedskontroller.
Måske er det på tide at få dette under kontrol?
