Analyse: Offentligt ansatte slår fortrolige oplysninger op af nysgerrighed

kvinde på rulletrappe

Den offentlige sektor udsættes i stort omfang af en vifte af forskellige sikkerhedshændelser – både interne, hvor medarbejdere eksempelvis deler passwords eller slår fortrolige oplysninger op af nysgerrighed, såvel som eksterne, hvor ubudne gæster forsøger at komme ind bag data-murene. Men kun knap halvdelen af de offentligt ansatte er blevet undervist i it-sikkerhed, og de offentlige myndigheder forsømmer at afprøve procedurer og beredskab. Det viser en rundspørge fra KMD Analyse blandt offentligt ansatte.

47 pct. af de offentligt ansatte har efter eget udsagn oplevet en eller flere interne hændelser, der kompromitterer informationssikkerheden på deres arbejdsplads inden for de seneste 12 måneder, eksempelvis deling af passwords blandt medarbejdere.

42 pct. af de offentligt ansatte har oplevet en eller flere eksterne sikkerhedshændelser på deres arbejdsplads inden for de seneste 12 måneder, eksempelvis ransomware eller phising-forsøg.

Det viser en rundspørge blandt 1.002 ansatte fra stat, regioner og kommuner foretaget af KMD Analyse.

- Der er ingen tvivl om, at truslerne både indefra såvel som udefra i forhold til datasikkerhed i det offentlige fortsat er betydelige. Vi må konstatere, at det er et emne, som er kommet for at blive, siger Lars Neupart, sikkerhedsdirektør i KMD og medlem af regeringens virksomhedsråd for it-sikkerhed.

Deling af passwords og phising topper

KMD Analyse har både spurgt de offentligt ansatte om interne sikkerhedsforhold såvel som de trusler, de oplever udefra.

De hyppigste eksempler på interne hændelser er deling af brugernavn og password mellem medarbejdere, hvilket 24 pct. af de adspurgte angiver at have oplevet. Tilsvarende oplyser 21 pct. de adspurgte, at de har adgang til fortrolige oplysninger, som de ikke har brug for i deres arbejde.

Det er endvidere værd at bemærke, at 8 pct. oplyser, at de kender til en kollega, som har slået fortrolige forretningsdata op af nysgerrighed.

- Selv om der er talt og skrevet meget om it-sikkerhed i det offentlige, kan vi konstatere, at vi stadig har et stykke igen. Når knap hver fjerde deler passwords med kollegaer, og man kan opleve, at kollegaer slår fortrolige oplysninger op af ren nysgerrighed, er vi altså ikke i mål endnu, siger Lars Neupart.

Samtidig oplever mange ansatte også, at der forsøges udefra på at få adgang til fortrolige data. Hver fjerde offentligt ansatte har oplevet phishing via e-mail, og 14 pct. har oplevet at få ransomware via mail.

11 pct. af de ansatte angiver, at de har kendskab til succesfulde angreb af forskellig karakter på deres arbejdsplads, såsom blokering af data via ransomware, blokering af hjemmesider via DDOS-angreb eller lækket data via hacking.

De ansatte mangler undervisning

Spørger man de ansatte i det offentlige er flere ting på plads, når det gælder sikkerhedstiltag.

Et stort flertal af de offentligt ansatte ved, hvem de skal kontakte ved sikkerhedsbrud (76 pct.), og deres arbejdsplads har en skriftlig politik på området (70 pct.) Samtidig viser undersøgelsen, at de fleste arbejdspladser benytter brugerrettighedsstyring (82 pct.) og logning (78 pct.).

Men kigger på de mindre positive sider, så kan man udlede, at 41 pct. ikke er blevet undervist i informationssikkerhed og yderligere 6 pct. ikke ved, om de er blevet undervist. Altså knap halvdelen af de adspurgte.

Når det gælder øvelser i forbindelse med it-sikkerhed viser tallene, at kun meget få medarbejdere kender til sådanne og endnu færre har deltaget aktivt.

- Det er bekymrende, at knap halvdelen af de offentligt ansatte ikke er blevet undervist i it-sikkerhed. Vi har de seneste på år set en række sager med blandt andet kryptering af data via ransomware-mails, og de kan jo forholdsvis simpelt undgås. Man kan ikke forvente, at systemer og filtre fanger alt, og medarbejderne er den vigtigste forsvarslinje. Derfor gælder det i høj grad om at få opjusteret på den front, når det handler om at beskytte de offentlige data, forklarer Lars Neupart.

Om Analysen

KMD Analyse har samarbejdet med konsulentfirmaet CEDI samt CERTA Intelligence & Security, der er en privat efterretnings- og sikkerhedsvirksomhed, om udarbejdelsen af analysen.

Rapporten bygger på en survey, som er gennemført online af KMD Analyse med deltagelse af 1.002 offentligt ansatte fra stat, regioner og kommuner. Det gælder for alle deltagere i undersøgelsen, at de som en del af deres arbejde tilgår eller registrerer oplysninger om borgere i it-systemer.

Analysen er gennemført som online-survey gennem UserNeeds’ Danmarkspanel i perioden fra den 15. februar til den 23. februar 2016.

Om KMD Analyse

KMD Analyse udarbejder analyser om de digitale muligheder i det offentlige og private Danmark. KMD Analyse har blandt andet tidligere udgivet rapporterne ”Den digitale folkeskole – vurderinger og holdninger fra elever og forældre”, ”Socialt bedrageri i Danmark” og ”Telemedicinsk behandling af KOL-patienter – potentialer og barrierer”.

Om KMD A/S

KMD er den største danskbaserede it-virksomhed, og hovedparten af KMD’s forretning udspringer af egen softwareudvikling. I mere end 40 år har KMD arbejdet med udvikling, drift og vedligeholdelse af Danmarks største kommunale it-systemer. KMD udvikler og leverer i dag software- og serviceløsninger til kommune-, stats- og erhvervsmarkedet i Danmark. KMD har en årlig omsætning på godt fem milliarder danske kroner og har omkring 3.200 ansatte. KMD er ejet af Advent International og Sampension.

Kontaktinformation

KMD, kommunikationschef Christoffer Hellmann, telefon +45 4460 1809, mobil +45 2529 1784, che@kmd.dk, Twitter: @Chris_Hellmann