Synspunkt

It-sikkerhed skal testes forsvarligt

Får Center for Cybersikkerhed beføjelser til at målrette simulerede it-angreb mod medarbejdere på landets virksomheder, er PROSAs medlemmer er oplagte mål for personrettede angreb, understreger PROSAs formand Niels Bertelsen i denne klumme.

Regeringen vil nu give Center for Cybersikkerhed beføjelser til at målrette simulerede it-angreb mod medarbejdere på landets virksomheder baseret på social engineering. Det betyder, at man bruger personlige informationer til at få den enkelte medarbejder til at ”gå i fælden” og kompromittere it-sikkerheden. Lovforslaget giver også Center for Cybersikkerhed ret til at bruge kollegers identiteter og instruere dem i at reagere hensigtsmæssigt på henvendelser fra den testede kollega. Hvis kollegaen ikke består testen, kan det koste jobbet.

DR har berettet om sager, hvor offentlige arbejdsgivere hyrede et it-sikkerhedsfirma til at teste på medarbejderniveau med skjult kamera. En af medarbejderne oplevede testen som et psykisk overgreb, og der var tale om at politianmelde it-sikkerhedsfirmaet.

På sin vis er det positivt, at it-sikkerhed prioriteres højt, og vi skal kunne teste målrettede angreb mod enkelte medarbejdere. Men det skal gøres forsvarligt, og debatten viser, at der er behov for bedre retningslinjer på området.

PROSAs medlemmer er oplagte mål for personrettede angreb, men de kan lige så vel være i den situation, at de skal udføre de simulerede angreb. Hvis medarbejdere i hver sin ende af indsatsen for it-sikkerhed trygt skal kunne udføre deres arbejde, bør der ikke herske tvivl om, hvordan det skal foregå. Derfor har PROSA foreslået, at arbejdet med at teste sikkerheden tager udgangspunkt i nogle konkrete retningslinjer.

Først og fremmest skal it-sikkerheden betragtes som et ledelsesansvar, der hænger sammen med valg af efteruddannelse til medarbejdere og valg af it-systemer. Resultatet af en test bør ikke kunne være fyringsgrund. Kolleger skal heller ikke tvinges til at lyve for hinanden – det er den direkte vej til et ubehageligt og utrygt arbejdsklima. Derudover simulerer det ikke en virkelig situation, hvis en kollega instrueres i at lyve om, hvorvidt vedkommende for eksempel har sendt en mail.

Først og fremmest skal it-sikkerheden betragtes som et ledelsesansvar, der hænger sammen med valg af efteruddannelse til medarbejdere og valg af it-systemer
- Niels Bertelsen, formand i PROSA

Der findes i dag en orienteringspligt om kontrolforanstaltninger på arbejdspladsen. Hvis en arbejdsgiver vil teste it-sikkerheden – og det ikke har været kutyme – bør ledelsen orientere medarbejderne om det. Efter en orientering bør arbejdsgiveren sørge for, at medarbejderne får mulighed for at øve sig på de situationer, de kan blive testet i. Det øger bevidstheden om fælderne og giver mulighed for at træne færdighederne i et sikkert miljø.

Endelig bør brug af skjult kamera ikke finde sted. At blive testet kan virke voldsomt, og der er ingen grund til at føje et skjult kamera til den oplevelse. Hvis medarbejderen reagerer hensigtsmæssigt – for eksempel ved at kontakte en kollega, hvis identitet er blevet brugt i en mail – så er den kontakt dokumentation for, at testen er bestået. Giver medarbejderen adgang til personfølsomme oplysninger, kan det også bekræftes af testeren.

Hvis offentlige arbejdsgivere og private virksomheder vil vise, at de tager både it-sikkerhed og medarbejderes tryghed i arbejdslivet alvorligt, så bør ovenstående retningslinjer være et minimum.

Du kan læse vores høringssvar til lovforslaget om Center for Cybersikkerhed på prosa.dk.


Læs også...

Det var en helt ny fornemmelse, da Søren tidligere på året blev ramt af stress, for han havde aldrig oplevet stresssymptomer før. Søren har arbejdet i…

I 1999 havnede Berit Søgaard mere eller mindre tilfældigt i IT-branchen, og hun har arbejdet her lige siden. I dag er hun compliancedirektør i Visma,…

Nettet er proppet til randen med websider, som kan hjælpe dig med det ene eller andet eller har så nørdet viden, at de med fordel kan besøges.

Unge tech-folk fortæller om deres håb og drømme for fremtiden. Danske virksomheder kigger mod et tysk eksporteventyr. Forfatter sætter spot på Kina og…

26-årige Francesca Tremulo rejste til Danmark fra Italien for tre år siden for at realisere drømmen om en fremtid i spilbranchen. Hun er uddannet…

Kinas tech fungerer og er udviklet i benhård konkurrence til at være bedst og billigst. Talentmassen er enorm, og der er prestige og attraktive…

Alberte Viendahl er 25 år og har læst multimediedesign på KEA. Hun er blevet vild med at kode og nørde, og nu vil hun gerne tage en top up-uddannelse…

Benjamin Elias Harris er 27 år, og han har gået på datamatikerlinjen på KEA. Han startede egentlig med at læse engelsk på Københavns Universitet, men…

28-årige Yousra Diab arbejdede i flere år som socialrådgiver, inden hun tog springet og startede på datamatikeruddannelsen. Det har været svært at…

26-årige Sophie Ankjær Andersen har læst multimediedesign på KEA. Hun drømmer om, at hun i fremtiden skal tage sit arbejde med til Bali og arbejde…