Offentlige it-ansvarlige: Vores kolleger er farlige for it-sikkerheden

17. november 2016 kl. 06:5911
Offentlige it-ansvarlige: Vores kolleger er farlige for it-sikkerheden
Illustration: Romario Ien/Bigstock Inc.
It-sikkerheden i offentlige organisationer er ikke på niveau med private virksomheder, viser undersøgelse.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Medarbejderne i det offentlige har mindre styr på organisationens it-sikkerhed end deres modparter i den private sektor - og er mere udsatte for angreb.

Det viser en undersøgelse som YouGov har foretaget blandt 400 it-ansvarlige i private og offentlige virksomheder.

Undersøgelsen viser bemærkelsesværdig forskel mellem de to grupper - både i opfattelse og håndtering af risikoen for cyberangreb.


Undersøgelsen er gennemført af analyseinstituttet YouGov. Der er i alt gennemført 407 CAWI-interview med danskere med beslutningsansvar inden for it på arbejdspladsen i perioden 13. - 21. september 2016.

Artiklen fortsætter efter annoncen

Blandt offentlige it-ansvarlige rapportere 23 procent, at de ikke ved om organisationen har en beredskabsplan for it-sikkerhed, mens yderligere 12 procent ikke ved, hvor ofte planen - hvis den findes - opdateres.

De offentlige institutioner går længere tid uden at få udført en ekstern sikkerhedsvurdering - 27 procent angiver at det sker minimum en gang om året, mens tallet for det private er 38 procent.

Småt med sikkerhedsinvesteringer

Også på den økonomiske front står de offentlige virksomheder tilbage for de private.

Hver fjerde respondent i det offentlige oplyser, at at organisationen har smidt flere penge efter it-sikkerheden i år end sidste år. Blandt de private virksomheder er tallet 38 procent.

»De private virksomheder arbejder meget mere proaktivt med at beskytte sig,« fortæller Martin Petersen, der er administrerende direktør i CGI Danmark, som har bedt YouGov om at lave undersøgelsen.

»Jeg tror, der er mange private virksomheder, der opfatter det som et konkurrence aspekt, de er nødt til at adressere. Hvis de oplever spionage nedbrud eller andet, så kan deres evne til at drive virksomheden afhænge af en stærk sikkerhed,« fortsætter han.

Den stærke driver er ikke på samme måde til stede i det offentlige, vurderer han.

Ifølge undersøgelsen oplever it-ansvarlige i det offentlige også mindre opbakning fra topledelsen, når det kommer til sikkerhed.

Her svarer halvdelen af de privatansatte, at topledelsen i høj eller meget høj grad forholde sig aktivt til it-sikkerhed - 35 procent af de offentligt ansatte har samme oplevelse.

Konkrete mål mangler

Fra Martin Petersens stol mangler ledelsesopbakningen også længere oppe i det offentlige system.

»For eksempel kunne man i forbindelse med den fællesoffentlige digitaliseringsstrategi og andre handleplaner, have defineret mere konkrete og mere håndfaste mål og midler noteret - og så følge op på dem. Det sker i dag, når Rigsrevisionen tager ud og undersøger sikkerheden i den enkelte institution, men det er ikke noget, der sker bredt i det offentlige. Det synes jeg også, undersøgelsen viser,« siger han til Version2.

Længere ned i kæden betyder ledelsens manglende sikkerheds-fokus, at medarbejdere ikke rustes til at håndtere den risiko, de selv udgør for virksomheden.

Hver fjerde it-ansvarlige i det offentlige angiver manglende undervisning i it-sikkerhed til medarbejderne som den største trussel mod virksomheden.

Samlet mener 60 procent af de offentligt ansatte, at den største sikkerhedstrussel udgøres af medarbejdernes adfærd. Det synspunkt har 48 procent af de privatansatte.

»Der bør være meget større fokus på at uddanne de offentligt ansatte i it-sikkerhed,« fastslår Martin Petersen og fortsætter:

»Vi er alle sammen potentielt en risiko for den organisation, vi arbejder i, og det skal medarbejderne rustes til. Hvis medarbejderen ikke er klædt godt nok på, så har ledelsen en opgave - og den er jeg usikker på, om de har varetaget,« bemærker direktøren, der dog også mener, at flere private virksomheder mangler at forstå, at medarbejderne er det største sikkerhedsproblem, de har.

Flere angreb rammer det offentlige

Antallet af egentlige sikkerhedshændelser ligger marginalt højere i det offentlige end i det private, viser YouGov-undersøgelsen.

Og det forhold spejles også i medarbejdernes opfattelse af risiko for cyberangreb, ransomware og datatab. Her vurderer de offentlige ansatte generelt truslen som højere end deres modpart i den private sektor.

Trods tallene er Martin Petersen fortrøstningsfuld:

»I takt med at vi fx ser flere kommuner få låst deres infrastruktur af ransomware, er jeg sikker på, at det offentlige vil skrue op for indsatsen og gøre sig til et mindre attraktivt mål for hackere,« siger han og tilføjer:

»Vi ville alle sammen være tjent med, hvis offentlige virksomheder arbejder langt mere aktivt med deres sikkerhedsplaner og dokumenterede, at de levede op til dem.«

11 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
11
18. november 2016 kl. 14:10

Det er rigtigt mange år siden, at man i det offentlige indførte hvad der dengang vist nok blev kaldt EDB.

Trusselsbilledet har ændret sig mange gange siden. Når det nu ændre sig afsætter politikkerne så yderligere penge til informationssikkerheden i det offentlige? Hvis ikke, hvor skal midlerne så komme fra? Har der indtil nu været stemmer i penge til informationssikkerhed frem for penge til børnehaver, ældrepleje eller for den sags skyld til behandling af kræftsyge og så videre...

Jeg har en idé om, at den kommende EU-persondataforordning der træder i kraft den 25. maj 2018 bliver noget af et wake-up-call for mange både private som offentlige virksomheder.

10
18. november 2016 kl. 00:18

Enig og vil yderlig sige at IT-sikkerhed kan ikke effektiviseres og skabe besparelser ;)

9
17. november 2016 kl. 13:58

sagde jeg til en medarbejder, at han skulle holde kæft i kantinen med, hvad hans kollegaer havde i skattepligtig indkomst - ellers ud af vagten !

Hans hustru var ansat i skattevæsenet i Gyldenløvesgade.

8
17. november 2016 kl. 13:32

Jeg har dog set offentlige systemer, hvor kravet til password var minimum 1 karakter, og når man skiftere passwork, kunne man bruge det samme igen. Det vil nok ikke kræve de store investeringer at lave dette om.

7
17. november 2016 kl. 12:10

Det offentlige mangler et incitament for at sikre god IT sikkerhed - ingen tvivl om det. Der er ikke mange konsekvenser af dårlig sikkerhed. Der er lige flere i det private. Dels med den nye GDPR og selvf. ens brand.

Men jeg vil nu alligevel stille mig meget skeptisk overfor, om der er den store forskel på det private og det offentlige når det kommer til implementering af sikkerhed.

Det skal blive bedre alle steder - Både i det offentlige og i det private. Vi er slet ikke rustet til de problemer den øgede digitalisering i alle lag af samfundet kan give og sikkerhed har meget sjældent de rette resourcer.

6
17. november 2016 kl. 11:38

Sikkerhed koster penge og giver ikke øget funktionalitet. Derfor bliver det nedprioriteret (er det nu også nødvendigt?).

5
17. november 2016 kl. 11:16

Jeg tror at en stor del skyldes den faktor man kan kalde ”den offentlige slaphed”.

Hvis man først er ansat i det offentlige, er det jo i praksis umuligt at blive fyret.

Flame mig nu ikke, men sandheden er, at møder du som offentligt ansat op på dit arbejde hver dag og leverer 50% af hvad du kan leverer, så bliver du ikke fyret for at ”under-performe”.

I det private bliver du i længden fyret for at ”under-performe”. Man bliver ikke smidt ud i morgen som mange offentlige ansatte tror, men på et tidspunkt får du besked på ”at tage dig sammen” og sker det ikke, så ved man godt hvor man er på vej hen.

Så i det private tager man tingene og herunder IT-sikkerhed mere seriøst fordi det i længden er billigere. Ved at lave løbende tilpasninger til virksomhedens processer og herunder løbende undervisning i IT sikkerhed, undgås de dyre nedbrud hvor virksomheden taber penge.

I det offentlige er der jo ikke tvivl om morgendagens økonomi - og den slaphed det giver - breder sig ud i organisationen.

Som borger bliver jeg stiktosset når jeg læser sådan noget som dette citat.

Blandt offentlige it-ansvarlige rapportere 23 procent, at de ikke ved om organisationen har en beredskabsplan for it-sikkerhed.

At udarbejde og løbende opdaterer den slags planer, er meget tungt og det glemmer man ikke lige hvis man har gjort det, så det 23 % procent siger er ”Fyr mig for jeg aner intet”.

2
17. november 2016 kl. 08:02

Blandt offentlige it-ansvarlige rapportere 23 procent, at de ikke ved om organisationen har en beredskabsplan for it-sikkerhed.

Hvis du er sikkerhedsansvarlig, så er det din opgave at udarbejde en beredskabsplan for it-sikkerhed!!!!!

1
17. november 2016 kl. 07:16

... og vigtig...... og skræmmende....

Mon ikke de fleste borgere tror, at det forholder sig lige omvendt? At det er det offentlige, der er "data-duksen"?

Artiklen er interessant i sammenhæng med gårsdagens artikel om den nye åbne adgang til aggregerede sundhedsdata. Mon det står lige så skidt til med sikkerheden i den forbindelse?