Synspunkt

It-sikkerhed skal testes forsvarligt

Får Center for Cybersikkerhed beføjelser til at målrette simulerede it-angreb mod medarbejdere på landets virksomheder, er PROSAs medlemmer er oplagte mål for personrettede angreb, understreger PROSAs formand Niels Bertelsen i denne klumme.

Regeringen vil nu give Center for Cybersikkerhed beføjelser til at målrette simulerede it-angreb mod medarbejdere på landets virksomheder baseret på social engineering. Det betyder, at man bruger personlige informationer til at få den enkelte medarbejder til at ”gå i fælden” og kompromittere it-sikkerheden. Lovforslaget giver også Center for Cybersikkerhed ret til at bruge kollegers identiteter og instruere dem i at reagere hensigtsmæssigt på henvendelser fra den testede kollega. Hvis kollegaen ikke består testen, kan det koste jobbet.

DR har berettet om sager, hvor offentlige arbejdsgivere hyrede et it-sikkerhedsfirma til at teste på medarbejderniveau med skjult kamera. En af medarbejderne oplevede testen som et psykisk overgreb, og der var tale om at politianmelde it-sikkerhedsfirmaet.

På sin vis er det positivt, at it-sikkerhed prioriteres højt, og vi skal kunne teste målrettede angreb mod enkelte medarbejdere. Men det skal gøres forsvarligt, og debatten viser, at der er behov for bedre retningslinjer på området.

PROSAs medlemmer er oplagte mål for personrettede angreb, men de kan lige så vel være i den situation, at de skal udføre de simulerede angreb. Hvis medarbejdere i hver sin ende af indsatsen for it-sikkerhed trygt skal kunne udføre deres arbejde, bør der ikke herske tvivl om, hvordan det skal foregå. Derfor har PROSA foreslået, at arbejdet med at teste sikkerheden tager udgangspunkt i nogle konkrete retningslinjer.

Først og fremmest skal it-sikkerheden betragtes som et ledelsesansvar, der hænger sammen med valg af efteruddannelse til medarbejdere og valg af it-systemer. Resultatet af en test bør ikke kunne være fyringsgrund. Kolleger skal heller ikke tvinges til at lyve for hinanden – det er den direkte vej til et ubehageligt og utrygt arbejdsklima. Derudover simulerer det ikke en virkelig situation, hvis en kollega instrueres i at lyve om, hvorvidt vedkommende for eksempel har sendt en mail.

Først og fremmest skal it-sikkerheden betragtes som et ledelsesansvar, der hænger sammen med valg af efteruddannelse til medarbejdere og valg af it-systemer
- Niels Bertelsen, formand i PROSA

Der findes i dag en orienteringspligt om kontrolforanstaltninger på arbejdspladsen. Hvis en arbejdsgiver vil teste it-sikkerheden – og det ikke har været kutyme – bør ledelsen orientere medarbejderne om det. Efter en orientering bør arbejdsgiveren sørge for, at medarbejderne får mulighed for at øve sig på de situationer, de kan blive testet i. Det øger bevidstheden om fælderne og giver mulighed for at træne færdighederne i et sikkert miljø.

Endelig bør brug af skjult kamera ikke finde sted. At blive testet kan virke voldsomt, og der er ingen grund til at føje et skjult kamera til den oplevelse. Hvis medarbejderen reagerer hensigtsmæssigt – for eksempel ved at kontakte en kollega, hvis identitet er blevet brugt i en mail – så er den kontakt dokumentation for, at testen er bestået. Giver medarbejderen adgang til personfølsomme oplysninger, kan det også bekræftes af testeren.

Hvis offentlige arbejdsgivere og private virksomheder vil vise, at de tager både it-sikkerhed og medarbejderes tryghed i arbejdslivet alvorligt, så bør ovenstående retningslinjer være et minimum.

Du kan læse vores høringssvar til lovforslaget om Center for Cybersikkerhed på prosa.dk.