Synspunkt

It-sikkerhed skal testes forsvarligt

Får Center for Cybersikkerhed beføjelser til at målrette simulerede it-angreb mod medarbejdere på landets virksomheder, er PROSAs medlemmer er oplagte mål for personrettede angreb, understreger PROSAs formand Niels Bertelsen i denne klumme.

Regeringen vil nu give Center for Cybersikkerhed beføjelser til at målrette simulerede it-angreb mod medarbejdere på landets virksomheder baseret på social engineering. Det betyder, at man bruger personlige informationer til at få den enkelte medarbejder til at ”gå i fælden” og kompromittere it-sikkerheden. Lovforslaget giver også Center for Cybersikkerhed ret til at bruge kollegers identiteter og instruere dem i at reagere hensigtsmæssigt på henvendelser fra den testede kollega. Hvis kollegaen ikke består testen, kan det koste jobbet.

DR har berettet om sager, hvor offentlige arbejdsgivere hyrede et it-sikkerhedsfirma til at teste på medarbejderniveau med skjult kamera. En af medarbejderne oplevede testen som et psykisk overgreb, og der var tale om at politianmelde it-sikkerhedsfirmaet.

På sin vis er det positivt, at it-sikkerhed prioriteres højt, og vi skal kunne teste målrettede angreb mod enkelte medarbejdere. Men det skal gøres forsvarligt, og debatten viser, at der er behov for bedre retningslinjer på området.

PROSAs medlemmer er oplagte mål for personrettede angreb, men de kan lige så vel være i den situation, at de skal udføre de simulerede angreb. Hvis medarbejdere i hver sin ende af indsatsen for it-sikkerhed trygt skal kunne udføre deres arbejde, bør der ikke herske tvivl om, hvordan det skal foregå. Derfor har PROSA foreslået, at arbejdet med at teste sikkerheden tager udgangspunkt i nogle konkrete retningslinjer.

Først og fremmest skal it-sikkerheden betragtes som et ledelsesansvar, der hænger sammen med valg af efteruddannelse til medarbejdere og valg af it-systemer. Resultatet af en test bør ikke kunne være fyringsgrund. Kolleger skal heller ikke tvinges til at lyve for hinanden – det er den direkte vej til et ubehageligt og utrygt arbejdsklima. Derudover simulerer det ikke en virkelig situation, hvis en kollega instrueres i at lyve om, hvorvidt vedkommende for eksempel har sendt en mail.

Først og fremmest skal it-sikkerheden betragtes som et ledelsesansvar, der hænger sammen med valg af efteruddannelse til medarbejdere og valg af it-systemer
- Niels Bertelsen, formand i PROSA

Der findes i dag en orienteringspligt om kontrolforanstaltninger på arbejdspladsen. Hvis en arbejdsgiver vil teste it-sikkerheden – og det ikke har været kutyme – bør ledelsen orientere medarbejderne om det. Efter en orientering bør arbejdsgiveren sørge for, at medarbejderne får mulighed for at øve sig på de situationer, de kan blive testet i. Det øger bevidstheden om fælderne og giver mulighed for at træne færdighederne i et sikkert miljø.

Endelig bør brug af skjult kamera ikke finde sted. At blive testet kan virke voldsomt, og der er ingen grund til at føje et skjult kamera til den oplevelse. Hvis medarbejderen reagerer hensigtsmæssigt – for eksempel ved at kontakte en kollega, hvis identitet er blevet brugt i en mail – så er den kontakt dokumentation for, at testen er bestået. Giver medarbejderen adgang til personfølsomme oplysninger, kan det også bekræftes af testeren.

Hvis offentlige arbejdsgivere og private virksomheder vil vise, at de tager både it-sikkerhed og medarbejderes tryghed i arbejdslivet alvorligt, så bør ovenstående retningslinjer være et minimum.

Du kan læse vores høringssvar til lovforslaget om Center for Cybersikkerhed på prosa.dk.


Læs også...

Det seneste halve år har PROSA oplevet, at antallet af henvendelser om opsigelser overstiger antallet af ansættelseskontrakter. ”Det er nyt og uvant,…

Kommissionens udspil omkring at gøre EU førende inden for AI-udvikling blev offentliggjort 9. april. Der skal blandt andet oprettes AI-gigafabrikker…

I 2026 åbner SDU et nyt campus i Vejle, som skal have fokus på IT- og STEM-uddannelser. Nu har uddannelses- og forskningsministeren godkendt de første…

Meta vil udvide begrænsningerne i de ungdomskonti til Instagram, som virksomheden indførte i blandt andre USA, Canada og England i efteråret. Samtidig…

Surrogatmødre, medforældre og stedbørnsadoptanter får nu udvidede muligheder for at holde barsel. Læs om de nye regler her.

PROSA oplever en stigning blandt især mandlige medlemmer, der opsiges enten i forbindelse med, at de fremsætter ønske om afholdelse af forældreorlov,…

Netcompany har alle de rette kontakter og kontrakter med det offentlige Danmark, men det sker desværre ofte på bekostning af de ansatte. ”Der er for…

Peter var glad og spændt, da han landede sit første job i IT-branchen – en ansættelse i Netcompany. Men nu, et halvt år senere, er han ved at brænde…

Fredag den 4. april er det 50 år siden, at Bill Gates og Paul Allan stiftede virksomheden Microsoft. De gjorde hjemmecomputeren (desktop) til…

Der mangler et opgør og nye alternativer til techgiganternes forretningsmodel, som fremmer hadtale. Tag jer sammen og kom i gang, lyder det fra Maia…