Blandt dem, der arbejder i sociale institutioner i den offentlige sektor, er blot 47 procent bekendte med, om arbejdspladsen har en it-sikkerhedspolitik, og kun 32 procent oplever, at ledelsen prioriterer it-sikkerhed højt.
Det viser en undersøgelse, som Analyse Danmark har gennemført for Dansk IT blandt 1.037 beskæftigede.
I Rådet for Digital Sikkerhed får resultatet formand Rasmus Theede til at rynke brynene:
»Vi finder selvfølgelig dette meget bekymrende, men desværre ikke overraskende. Resultatet ligger meget tæt op ad KMD's analyse fra forrige år, hvor en stor del af offentlige medarbejdere ikke kender sikkerhedspolitikken for deres arbejdsplads, trods det at alle har med følsom persondata at gøre,« udtaler han til Version2.
Ifølge ham er det et område som man meget nemt, og billigt, kan gøre noget ved.
»Ledelsen bliver nød til at gå forrest, hvis der skal ske en kulturændring hos de ansatte. Det har været kendt og prædiket i mange år, og det er derfor meget bedrøveligt, at man trods en forkromet cyber-strategi for Danmark og mangeårige løfter om flere ressourcer stadig ikke har noget så basalt på plads,« uddyber han.
Rikke Hvilshøj, der er direktør i Dansk IT, peger ifølge en pressemeddelelse også på ledelsesansvaret.
»Stort set alle områder i den private og offentlige sektor gennemgår i disse år en omfattende digitalisering, og det kan blive et problem, hvis ikke flere medarbejdere oplever, at ledelsen har stort fokus på it-sikkerheden - har medarbejderne ikke denne oplevelse, er der altid risiko for, at de heller ikke vil gå særligt meget op i it-sikkerhed,« siger Rikke Hvilshøj, der er direktør i Dansk IT, ifølge en pressemeddelelse.
Omgår it-sikkerhedspolitik, hvis man kan
Billedet stemmer ret godt overens med en undersøgelse blandt 354 ansatte i Esbjerg Kommune, omtalt af Version2 i april, som viste, at knap 23 procent af de kommunalt ansatte ikke kunne svare ja til, at de altid overholder sikkerhedsregler om, at man som sagsbehandler kun må slå op i de kommunale fagsystemer, hvis man har en gyldig arbejdsrelateret grund til det.
Og det til trods for, at fagsystemerne indeholder meget store mængder følsomme persondata om f.eks. borgernes sygdom, skilsmisser og økonomi.
»Der er et overtal af ansatte, der er bekendt med it-sikkerhedspolitikken, men pointen er samtidig, at der er langt igen. For nogle ansatte har en tendens til et kunstnerisk islæt i forhold til reglerne: Man omgår dem, hvis man kan slippe af sted med det,« sagde digitaliseringskonsulent Marie Brodde, Esbjerg, dengang til Version2.
I Dansk IT mener man, at der bør strammes op:
»Både det offentlige og private er i disse år tvunget til at fokusere mere på, hvordan de beskytter de mange personoplysninger, de ligger inde med. Det er her vigtigt, at den enkelte arbejdsplads tager sig tid til at fortælle om sikkerhedspolitikken samt de ændringer, der eventuelt er nødvendige i medarbejdernes arbejdsdag, så de bliver i stand til at opnå en passende omgang med personoplysninger,« siger Rikke Hvilshøj.
Rådet for Digital Sikkerhed anbefaler, at en kommende cyberstrategi indeholder klare målbare punkter, og at der ikke blot måles på, om de forskellige elementer i strategien er blevet indført. Det kan ifølge Rasmus Theede f.eks. være kendskab til IT-sikkerhed i det offentlige, hvor mange anmeldelser politiet får, og hvor mange det lykkes dem at opklare, hvor mange skolebørn, der har været igennem undervisning i digital sikkerhed, m.m.
»Dette er for nuværende helt fraværende,« lyder det fra Rasmus Theede.