Analyse: Hver anden offentligt ansat mangler undervisning i IT-sikkerhed

Mand åbner dør til lokale

Den offentlige sektor bliver i stort omfang udsat for en vifte af forskellige interne og eksterne sikkerhedsrisici. Det sker fx i form af deling af passwords eller forsøg udefra på at komme ind bag datamurene. Men det er kun knap halvdelen af de offentligt ansatte, der er blevet undervist i informationssikkerhed. Det viser en ny rundspørge fra KMD blandt offentligt ansatte.

Deling af brugernavn og passwords. Adgang til fortrolige oplysninger uden grund, og kendskab til kolleger, som har slået fortrolige forretningsdata op af nysgerrighed.

Det er nogle af de eksempler på uhensigtsmæssige interne sikkerhedshændelser, som knap halvdelen af de adspurgte ansatte fra stat, regioner og kommuner har oplevet på deres arbejdsplads.

Det viser en ny rundspørge blandt 1.002 offentligt ansatte foretaget af KMD, som har spurgt de offentligt ansatte om interne sikkerhedsforhold såvel som de trusler, de oplever udefra.

Knap hver tiende af de ansatte har også oplevet, at kolleger slår fortrolige oplysninger op af ren nysgerrighed.

- Selvom der er talt og skrevet meget om informationssikkerhed i det offentlige, kan vi konstatere, at vi stadig har et stykke igen. Når knap hver fjerde deler passwords med kolleger, og man kan opleve, at kolleger slår fortrolige oplysninger op af ren nysgerrighed, er vi altså ikke i mål endnu, siger Lars Neupart, der er sikkerhedsdirektør i KMD og medlem af regeringens virksomhedsråd for it-sikkerhed om den nye rundspørge.

Behov for undervisning i it-sikkerhed

Undersøgelsen viser også, at 42 procent af de offentligt ansatte har oplevet en eller flere eksterne sikkerhedshændelser på deres arbejdsplads inden for det seneste år. Det kan eksempelvis være phishing-mails og mails med links, der indeholder ransomware, som kan inficere organisationens computere og kryptere brugernes filer.

Ifølge Lars Neupart er truslerne indefra såvel som udefra i forhold til datasikkerhed i det offentlige fortsat betydelige. Han mener, at det er et emne, som er kommet for at blive, og der er behov for undervisning i den offentlige sektor i, hvordan man omgås personoplysninger, der ofte er følsomme.

Det skal ikke mindst ses lyset af, at knap halvdelen af de ansatte i undersøgelsen svarer, at de ikke er blevet undervist i informationssikkerhed på arbejdspladsen.

- Vi har de seneste få år set en række sager med blandt andet kryptering af data via ransomware-mails, og de kan jo forholdsvis simpelt undgås. Derfor er det bekymrende, at knap halvdelen af de offentligt ansatte ikke er blevet undervist i informationssikkerhed. Man kan ikke forvente, at systemer og filtre fanger alt, og medarbejderne er den vigtigste forsvarslinje, siger Lars Neupart.

It-sikkerhed er en løbende proces

Han peger på, at det især gælder om at få opjusteret på medarbejderområdet, når det handler om at beskytte de personfølsomme data, som eksempelvis ligger i kommunernes it-systemer. Tekniske løsninger er langt fra nok.

- Det er en løbende proces at skabe en sikkerhedskultur, som favner alle ansatte. Det kræver, at ledelsen har fokus på det og har en løbende dialog med medarbejderne, og så skal kommunerne indrette reglerne, så de ikke er for besværlige at følge for de ansatte. Sikkerhed må ikke være en klods om benet, ellers opfordrer man til, at reglerne bliver omgået, forklarer Lars Neupart og peger på awareness-programmer som et godt sted at starte, da programmerne træner de ansatte i it-sikkerhed.

- Arbejdet med informationssikkerhed er ikke et projekt, der starter på en dato og slutter på en anden dato. Organisationer skal hele tiden justere deres sikkerhedsindsats efter trusselsbilledet og efter behovet. Det slutter aldrig, siger Lars Neupart.

Hvis du vil læse hele rapporten, kan du downloade den på accesdenied.kmd.dk

Om analysen ”Informationssikkerhed i det offentlige – trusler, sikkerhedshændelser & forsvar”

Undersøgelsen er lavet af KMD Analyse i samarbejde med konsulentfirmaet CEDI samt CERTA Intelligence & Security, der er en privat efterretnings- og sikkerhedsvirksomhed.

Rapporten bygger på en survey, som er gennemført online af KMD Analyse med deltagelse af 1.002 offentligt ansatte fra stat, regioner og kommuner. Det gælder for alle deltagere i undersøgelsen, at de som en del af deres arbejde tilgår eller registrerer oplysninger om borgere i it-systemer.

Analysen er gennemført som online-survey gennem UserNeeds’ Danmarkspanel i perioden fra den 15. februar til den 23. februar 2016.

Kontakt os, hvis du gerne vil høre mere

Lars Neupart
Sikkerhedsdirektør, KMD Neupart

Mail: lnp@kmd.dk
Telefon: +45 4460 4913