It-sikkerhed handler om mere end opdaterede firewalls og årlige awareness-kampagner
Hvis virksomheder skal have et stærkere forsvar mod it-kriminelle og hackere, skal der langt mere til end blot en opdateret firewall. Det kræver en adfærdsændring blandt medarbejderne. Og her er det ikke nok med en løftet pegefinger eller printede vejledninger i tekøkkenet, der undertiden udgør den årlige awareness-kampagne.
Menneskelige fejl er den mest almindelige årsag til it-sikkerhedsbrud i danske virksomheder. Og i mange tilfælde bunder det i en dårlig sikkerhedskultur. Ansvaret ligger ikke hos den enkelte medarbejder men hos ledelsen.
Målinger fra det seneste halve år foretaget med værktøjet HackerStop viser, at virksomheder oftest scorer lavest på spørgsmål angående dialog og åbenhed mellem ledelsen og medarbejderne. For eksempel viser målingerne, at de færreste medarbejdere ved, hvad de skal gøre, hvis de eller andre i virksomheden bliver udsat for hacker-angreb, eller hvordan de bedst beskytter deres enheder (så som arbejdscomputere) mod, at andre kan få adgang til dem. Dette er et tegn på, at der mangler fokus på det menneskelige aspekt af it-sikkerhed.
Skal virksomheder lykkes med en decideret adfærdsændring og dermed højne deres it-sikkerhedsniveau, kræver det en kulturændring. Og for at ændre kulturen er det vigtigt, at ledelsen hele tiden tilskynder medarbejderne til at tænke over it-sikkerheden og give dem nogle simple og konkrete værktøjer til at kunne handle rigtigt.
”Ledelsen har et ansvar for at udvikle en stærk kultur omkring it-sikkerhed. Det skal være en kultur, der er baseret på åbenhed og awareness. Jeg oplever dog lige nu, at mange virksomheder ikke tror, at de kan blive hacket, fordi it-kriminelle simpelthen ikke vil finde dem interessante. Det er en forkert antagelse. It-kriminelle bruger computerprogrammer, som på relativ kort tid kan screene en vilkårlig virksomhed for svagheder. De it-kriminelle vælger oftest at hacke de virksomheder, der har huller i deres it-systemer, da disse er de ”lette” ofre og kan f.eks. tage virksomhedernes data og systemer som gidsler. Således kan alle virksomheder stå for skud," fortæller Claudia Zöllner, som er en del af Dansk IT's HackerStop-team, og tilføjer:
"Jeg oplever også, at mange medarbejdere ikke har særlig stor fokus på og interesse i it-sikkerhed. De tror ikke, at det er vigtigt at melde fejl, der er forbundet med hackerangreb. Der er også medarbejdere, som ikke tør at melde fejl til it-afdelingen. Der er måske en kultur på deres arbejdsplads, der gør, at man ikke må begå eller tale om fejl. Det er et stort problem. Disse fejl kan nemlig have store konsekvenser for virksomheden.”
Åbenhed er altså alfa og omega, når der skal skabes en god sikkerhedskultur. Det er vigtigt, at alle i virksomheden føler, at de kan fortælle, hvis de har lavet en fejl i håndtering af it-sikkerheden, som muliggør et hackerangreb.
”Hvis der tales åbent og ærligt omkring fejl, har virksomheder et rigtig godt udgangspunkt for at forhindre eller mindske et hackerangreb. Det er vigtigt, at medarbejderne skal føle, at de kan sige det højt, hvis de har klikket på det forkerte link i en e-mail, eller hvis de har mistet en arbejdstelefon eller -computer. Hvis ledelsen hele tiden hjælper deres medarbejdere med at tænke over it-sikkerheden – gennem dialog og awareness - vil det udmønte sig i reelle adfærdsændringer,” udtaler Claudia Zöllner.
Hvis virksomheder skal have et stærkere forsvar mod it-kriminelle og hackere, skal alle i virksomheden tage ansvar. Det er vigtigt, at ledelsen går forrest og taler åbent om it-sikkerhed. Medarbejderne skal opfordres til at melde mistænkeligheder. Alle kan nemlig lære af hinanden, og virksomheden kan således forebygge cyberangreb.
Værktøj til at styrke it-sikkerheden
Medarbejderne er således et godt og nemt sted at starte, når virksomheder skal højne deres it-sikkerhedsniveau. Virksomhederne bør undersøge, hvor de er svagest og dermed beslutte, hvor de skal gøre en indsats. HackerStop er et digitalt værktøj, som virksomheder kan bruge til at få et hurtigt overblik over it-sikkerhedsadfærden i virksomheden.
HackerStop er fondet af Industriens Fond og udviklet af Dansk IT i samarbejde med NBI. Det giver et kontinuerligt og anonymiseret overblik over medarbejdernes modenhed og awareness inden for it-sikkerhed. Overblikket dannes ud fra en måling, hvor medarbejderne skal svare på spørgsmål inden for følgende faktorer:
- Beskeder
- Devices
- Regler
- Adgangskoder
- Oplysninger
- Hændelser
Hver medarbejder får sin egen rapport med anbefalinger til, hvor de skal styrke deres viden og hvordan. Ydermere får ledelsen en anonymiseret rapport, som de kan bruge til at indsætte indsatser, hvor behovene er størst og giver mest værdi for virksomheden. Målinger kan tages løbende, så ledelsen kan få et indblik i, om medarbejdernes digitale it-sikkerhedskompetencer styrkes.
HackerStop er altså et brugbart værktøj til at sænke virksomheders risiko for cyberangreb og understøtte virksomheders konkurrenceevne internationalt.
Læs mere om værktøjet på hackerstop.dk.