Ny vejledning sætter fokus på at komme menneskelige fejl til livs i it-sikkerheden

Illustration: Rasmus Meisler
Adfærd er et nøgleområde for at styrke it-sikkerheden i offentlige og private organisationer, lyder det fra Digitaliseringsstyrelsen og Center for Cybersikkerhed, der i sidste uge sendte en ny vejledning på gaden.

Opslag på intranettet eller printede vejledninger i tekøkkenet eller kopirummet er ikke nok, hvis man skal komme en af it-sikkerhedens giftigste modstandere til livs – de menneskelige fejl.

Den slags er nemlig blandt de mest hyppige årsager til, at ubudne gæster kommer indenfor og i værste fald bringer organisationen eller hele virksomheden i fare.

Derfor sætter en ny strategi fra Digitaliseringsstyrelsen og Center for Cybersikkerhed fokus på det menneskelige aspekt af it-sikkerheden.

»Det er ikke nok at nedskrive informationssikkerhedsretningslinjer og gøre ansatte opmærksomme på, at de er ansvarlige for at efterleve dem, for det bliver ikke nødvendigvis vekslet til reel styrket sikkerhed. En reel styrkelse af informationssikkerheden må involvere at informationssikkerhedspolitikker og –retningslinjer reelt efterleves ved at designe indsatser, der styrer ansattes adfærd i en ønskelig sikker retning,« står der således i strategien, som er målrettet CISO’er og andre medarbejdere i organisationen, der arbejder med informationssikkerhed.

Læs også: Ny måling: Danmark er bagdelen af fjerde division i cybersikkerhed

Thomas Lund-Sørensen, chef for Center for Cybersikkerhed Illustration: Center for Cybersikkerhed

Truslen fortsat høj

Senest har vi herhjemme set, hvordan byggemarkedet Bauhaus er blevet lagt ned af russiske hackere, der har kompromitteret it-setup’et og tvunget virksomheden til at kæmpe for at holde gang liv i it-systemerne og ikke mindst omsætningen.

Læs også: Bauhaus slås for at slippe ud af russiske hackeres kløer: Overvejer nu at betale løsesummen

Og truslen mod danske virksomheder er da også fortsat høj, vurderer Center for Cybersikkerhed.

»Cybertruslen mod danske virksomheder og myndigheder er meget høj, og det er ikke et spørgsmål om hvorvidt, men om hvornår, man bliver ramt. Når hackerne finder en vej ind i organisationers netværk, sker det meget ofte gennem usikre passwords eller phishing. Derfor vil vi med vores nye vejledning give virksomheder og myndigheder endnu et værktøj i kassen til at forbedre arbejdet med sikkerhedsadfærd,« udtaler Thomas Lund-Sørensen, chef for Center for Cybersikkerhed i en pressemeddelelse.

Vejledningen fra Digitaliseringsstyrelsen og Center for Cybersikkerhed skal således hjælpe med at målrette indsatsen, så den løser det adfærdsproblem, som betyder, at medarbejdere fortsat falder i, når indbakken indeholder phishing-emails eller når man for lethedens skyld benytter usikre passwords.

Her er det vigtigt, ifølge vejledningen, af kende forskel på awareness og adfærd.

»Lidt forsimplet kan man sige, at det er et vidensproblem, hvis en medarbejder ikke ved, hvordan hun skal opdatere sin pc. Et problem, der handler om manglende awareness. Men hvis hun godt ved, hvordan hun opdaterer pc’en og kender deadline, men alligevel ikke får det gjort, er der tale om et adfærdsproblem. En medarbejder skal altså have erfaring med eller viden om et område for at kunne have en ønsket adfærd. Prioritering af uddannelse og træning af medarbejdere er derfor essentielt for, at viden bliver omdannet til kompetencer,« står der således i strategien.

Du kan læse hele vejledningen HER

Har du erfaringer med forskellene på awareness og adfærd? Og hvordan griber I problemstillingen an hos jer? Del gerne dine erfaringer i kommentarsporet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Klavs Klavsen

Jeg har haft stor success med at indføre yubikeys (istedet for kodeord) som adgangsgivende til udviklere og Google har jo bla. indført lign. keys (bare kun med HOTP -dvs. 2fa genereret af yubikeys) til login på alle websites..

Yubikeys til ssh/gpg adgang (dvs. git push, signing af git commits, login på servere osv.) er super nemt med yubikey - og er faktisk nemmere for de fleste - med "touch" slået til på yubikey, vil den bare blinke når de "vil noget" - og så rør de den og vupti de er inde uden at skulle skrive noget kodeord. Det er betydeligt sikrere (og samme model MitID vil anvende til høj-sikkerhedsmodellen som jeg forstår det de skriver) og faktisk mere brugervenligt.

Sikkerhedsprocedurer UDEN IT-understøttelse der gør det lettere, er risikofyldt - for folk finder altid en vej udenom hvis de føler det er unødigt besværligt.

Heldigvis fik de fikset nyere versioner af yubikeys, så de understøtter "masse-touch" scenarier (såsom brug til ansible eller passwordstore.org resigning) - hvor man kan touch godkende i X sekunder og undgå 100+ touches når man "lige skal udføre noget" - hvis man ikke kan undgå den slags operationer (den slags problemer har man ikke hvis man benytter Ansible-tower eller Puppet f.ex. - hvor alle changes går via GitOps princippet :)

  • 4
  • 0
#3 Mogens Bluhme

I et nyere studie af Hadlington, Binder og Stanulewicz med titlen” Fear of Missing Out Predicts Employee Information Security Awareness Above Personality Traits, Age, and Gender” fandt de ud fra fra 718 deltagere at Fear of Missing Out (FoMO) er langt den største synder i forbindelse med medarbejderes omgang med IT-sikkerhed. Høj FoMO er korreleret med ringe awareness, lavt vidensniveau, negativ attitude til IT-sikkerhed og mere risikabel adfærd - langt mere betydningsfuld end køn, alder og the Big Five (de fem personlighedstræk).

Man kommer ikke uden om sociale medier, når man taler om FoMO, men det er spørgsmålet om det er en ny socialkarakter eller blot en forstærkning af det, David Riesman beskrev i Lonely Crowd i 1950.

En modbevægelse til FoMO er Joy of Missing Out (JoMO) - det er netop den engelsksprogede titel på Svend Brinkmanns bog “Gå Glip”. Det kunne være interessant at se, hvordan en uddeling af den til samtlige medarbejdere vil få af reaktioner.

  • 1
  • 0
Log ind eller Opret konto for at kommentere