Offentlige it-ansvarlige: Vores kolleger er farlige for it-sikkerheden

It-sikkerheden i offentlige organisationer er ikke på niveau med private virksomheder, viser undersøgelse.

Medarbejderne i det offentlige har mindre styr på organisationens it-sikkerhed end deres modparter i den private sektor - og er mere udsatte for angreb.

Det viser en undersøgelse som YouGov har foretaget blandt 400 it-ansvarlige i private og offentlige virksomheder.

Undersøgelsen viser bemærkelsesværdig forskel mellem de to grupper - både i opfattelse og håndtering af risikoen for cyberangreb.

Læs også: Malware huserede uset i fire år på servere hos forskningscenter for velfærd

Blandt offentlige it-ansvarlige rapportere 23 procent, at de ikke ved om organisationen har en beredskabsplan for it-sikkerhed, mens yderligere 12 procent ikke ved, hvor ofte planen - hvis den findes - opdateres.

De offentlige institutioner går længere tid uden at få udført en ekstern sikkerhedsvurdering - 27 procent angiver at det sker minimum en gang om året, mens tallet for det private er 38 procent.

Småt med sikkerhedsinvesteringer

Også på den økonomiske front står de offentlige virksomheder tilbage for de private.

Hver fjerde respondent i det offentlige oplyser, at at organisationen har smidt flere penge efter it-sikkerheden i år end sidste år. Blandt de private virksomheder er tallet 38 procent.

»De private virksomheder arbejder meget mere proaktivt med at beskytte sig,« fortæller Martin Petersen, der er administrerende direktør i CGI Danmark, som har bedt YouGov om at lave undersøgelsen.

»Jeg tror, der er mange private virksomheder, der opfatter det som et konkurrence aspekt, de er nødt til at adressere. Hvis de oplever spionage nedbrud eller andet, så kan deres evne til at drive virksomheden afhænge af en stærk sikkerhed,« fortsætter han.

Læs også: Rigsrevisionen: Utilstrækkelig kontrol med sikkerhed på sundhedsdata-nettet truer patienterne

Den stærke driver er ikke på samme måde til stede i det offentlige, vurderer han.

Ifølge undersøgelsen oplever it-ansvarlige i det offentlige også mindre opbakning fra topledelsen, når det kommer til sikkerhed.

Her svarer halvdelen af de privatansatte, at topledelsen i høj eller meget høj grad forholde sig aktivt til it-sikkerhed - 35 procent af de offentligt ansatte har samme oplevelse.

Konkrete mål mangler

Fra Martin Petersens stol mangler ledelsesopbakningen også længere oppe i det offentlige system.

»For eksempel kunne man i forbindelse med den fællesoffentlige digitaliseringsstrategi og andre handleplaner, have defineret mere konkrete og mere håndfaste mål og midler noteret - og så følge op på dem. Det sker i dag, når Rigsrevisionen tager ud og undersøger sikkerheden i den enkelte institution, men det er ikke noget, der sker bredt i det offentlige. Det synes jeg også, undersøgelsen viser,« siger han til Version2.

Læs også: Kommunale it-chefer efter boom i cybercrime: Brugerne må opdrages til bedre it-sikkerhed

Længere ned i kæden betyder ledelsens manglende sikkerheds-fokus, at medarbejdere ikke rustes til at håndtere den risiko, de selv udgør for virksomheden.

Hver fjerde it-ansvarlige i det offentlige angiver manglende undervisning i it-sikkerhed til medarbejderne som den største trussel mod virksomheden.

Samlet mener 60 procent af de offentligt ansatte, at den største sikkerhedstrussel udgøres af medarbejdernes adfærd. Det synspunkt har 48 procent af de privatansatte.

Læs også: Lyngby-Taarbæk inficeret med ransomware tre gange i 2016

»Der bør være meget større fokus på at uddanne de offentligt ansatte i it-sikkerhed,« fastslår Martin Petersen og fortsætter:

»Vi er alle sammen potentielt en risiko for den organisation, vi arbejder i, og det skal medarbejderne rustes til. Hvis medarbejderen ikke er klædt godt nok på, så har ledelsen en opgave - og den er jeg usikker på, om de har varetaget,« bemærker direktøren, der dog også mener, at flere private virksomheder mangler at forstå, at medarbejderne er det største sikkerhedsproblem, de har.

Flere angreb rammer det offentlige

Antallet af egentlige sikkerhedshændelser ligger marginalt højere i det offentlige end i det private, viser YouGov-undersøgelsen.

Og det forhold spejles også i medarbejdernes opfattelse af risiko for cyberangreb, ransomware og datatab. Her vurderer de offentlige ansatte generelt truslen som højere end deres modpart i den private sektor.

Læs også: Danske kommuner bombarderet med cyberangreb i 2016

Trods tallene er Martin Petersen fortrøstningsfuld:

»I takt med at vi fx ser flere kommuner få låst deres infrastruktur af ransomware, er jeg sikker på, at det offentlige vil skrue op for indsatsen og gøre sig til et mindre attraktivt mål for hackere,« siger han og tilføjer:

»Vi ville alle sammen være tjent med, hvis offentlige virksomheder arbejder langt mere aktivt med deres sikkerhedsplaner og dokumenterede, at de levede op til dem.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

... og vigtig...... og skræmmende....

Mon ikke de fleste borgere tror, at det forholder sig lige omvendt? At det er det offentlige, der er "data-duksen"?

Artiklen er interessant i sammenhæng med gårsdagens artikel om den nye åbne adgang til aggregerede sundhedsdata. Mon det står lige så skidt til med sikkerheden i den forbindelse?

Maciej Szeliga
René Nielsen

Jeg tror at en stor del skyldes den faktor man kan kalde ”den offentlige slaphed”.

Hvis man først er ansat i det offentlige, er det jo i praksis umuligt at blive fyret.

Flame mig nu ikke, men sandheden er, at møder du som offentligt ansat op på dit arbejde hver dag og leverer 50% af hvad du kan leverer, så bliver du ikke fyret for at ”under-performe”.

I det private bliver du i længden fyret for at ”under-performe”. Man bliver ikke smidt ud i morgen som mange offentlige ansatte tror, men på et tidspunkt får du besked på ”at tage dig sammen” og sker det ikke, så ved man godt hvor man er på vej hen.

Så i det private tager man tingene og herunder IT-sikkerhed mere seriøst fordi det i længden er billigere. Ved at lave løbende tilpasninger til virksomhedens processer og herunder løbende undervisning i IT sikkerhed, undgås de dyre nedbrud hvor virksomheden taber penge.

I det offentlige er der jo ikke tvivl om morgendagens økonomi - og den slaphed det giver - breder sig ud i organisationen.

Som borger bliver jeg stiktosset når jeg læser sådan noget som dette citat.

Blandt offentlige it-ansvarlige rapportere 23 procent, at de ikke ved om organisationen har en beredskabsplan for it-sikkerhed.

At udarbejde og løbende opdaterer den slags planer, er meget tungt og det glemmer man ikke lige hvis man har gjort det, så det 23 % procent siger er ”Fyr mig for jeg aner intet”.

Thomas Hedberg

Det offentlige mangler et incitament for at sikre god IT sikkerhed - ingen tvivl om det. Der er ikke mange konsekvenser af dårlig sikkerhed. Der er lige flere i det private. Dels med den nye GDPR og selvf. ens brand.

Men jeg vil nu alligevel stille mig meget skeptisk overfor, om der er den store forskel på det private og det offentlige når det kommer til implementering af sikkerhed.

Det skal blive bedre alle steder - Både i det offentlige og i det private. Vi er slet ikke rustet til de problemer den øgede digitalisering i alle lag af samfundet kan give og sikkerhed har meget sjældent de rette resourcer.

Jan Juul Mortensen

Det er rigtigt mange år siden, at man i det offentlige indførte hvad der dengang vist nok blev kaldt EDB.

Trusselsbilledet har ændret sig mange gange siden. Når det nu ændre sig afsætter politikkerne så yderligere penge til informationssikkerheden i det offentlige?
Hvis ikke, hvor skal midlerne så komme fra?
Har der indtil nu været stemmer i penge til informationssikkerhed frem for penge til børnehaver, ældrepleje eller for den sags skyld til behandling af kræftsyge og så videre...

Jeg har en idé om, at den kommende EU-persondataforordning der træder i kraft den 25. maj 2018 bliver noget af et wake-up-call for mange både private som offentlige virksomheder.

Log ind eller Opret konto for at kommentere