Windows-tast + L
Å gå inn på en kollega sin PC uten tillatelse for å invitere alle i bedriften på hjemmebakt kake, er en relativt uskyldig måte å illustrere viktigheten av å låse skjermen sin. Jeg var den som måtte bake kake til mine kolleger i Cloudworks for en liten stund siden. Selv om jeg bare skulle bort til kaffemaskinen for påfyll, sjekket en kollega om jeg hadde låst skjermen. Dette gjentok seg helt til jeg ble en flittig bruker av Windows-tast + L. Det er kommandoen for å låse skjermen. Om du ikke allerede visste det.
Ansvar som arbeidstager
Det prosesseres mye informasjon som ikke må komme på avveie i en bedrift. Dette inkluderer både personinformasjon, helseopplysninger, børssensitivinformasjon, samt forretningshemmeligheter. I enkelte bedrifter går man til det skrittet, at den ansatte mister jobben sin dersom vedkommende har fått advarsel om å låse skjermen sin mer enn to ganger. Det er en relativt god indikasjon på alvoret i det.
Etter straffeloven § 145 annet ledd er det forbudt å bryte en beskyttelse eller på lignende måte uberettiget skaffe seg adgang til data som er lagret. For at det skal være straffbart, må imidlertid informasjonen være beskyttet med passord eller lignende.
Hver ansatt har et ansvar for bedriftens informasjonssikkerhet. Det å låse skjermen sin er bare en av sikkerhetsrutinene som er viktig for en bedrift, og gjentakende bevisstgjøring rundt slike rutiner, reduserer trusselen hver enkelt ansatt utgjør.
Sikkerhetsbrudd utføres av de ansatte
Mørketallsundersøkelsen 2020 som er utviklet av Næringslivets Sikkerhetsråd, viser til at en stor del av sikkerhetsbrudd utføres av de ansatte. Rapporten viser at blant norske bedrifter som var med i undersøkelsen, var årsakene til sikkerhetsbrudd i store deler:
- tilfeldigheter eller uflaks
- menneskefeil
- manglende sikkerhetsbevissthet
- utilstrekkelige prosesser
- eksisterende prosesser som ikke ble fulgt
Det ble også nevnt tilfeller der systemer var misbrukt bevisst, og der illojale medarbeidere fikk tilgang til informasjonen.
Enkelt mål for angrep
Ofte anser de ansatte sikkerhet som en hindring for å få utført arbeidet sitt tilfredsstillende, og mangler forståelse for bakgrunnen for sikkerhetsreglene. De blir vurdert som det svakeste leddet i en bedrift og et enkelt mål for angrep som social hacking, identitetstyveri, misbruk av tilganger og tilsvarende. Likevel har de ansatte tradisjonelt sett ikke vært en del av prioriteringen i bedriftens sikkerhetsstrategi. Dermed vet ikke ledelsen hvordan de ansatte vil forholde seg til eventuelle angrep, hvilket i seg selv utgjør en betydelig trussel.
Kravene for kontroll har økt
Det er avgjørende for en bedrift å ha god kommunikasjon rundt sikkerhetskrav til ansatte og ledelsen, samt å gjennomføre og verifisere trening og opplæring tilpasset de ulike brukergruppene med jevne mellomrom. Kontroll over informasjonssikkerheten er nødvendig. Det motsatte kan i verste fall få store økonomiske og rettslige konsekvenser. Innføring av GDPR har også økt kravene en bedrift har for kontroll, og myndighetenes hyppigere bruk av sanksjoner ved brudd, forsterker behovet ytterligere.
Våre sikkerhetseksperter kan hjelpe din bedrift
I Cloudworks har vi sikkerhetseksperter som kan hjelpe din bedrift med å kartlegge nåværende situasjon, samt komme med forslag til konkrete tiltak. Vi kan holde i prosessen med sikkerhetsopplæringen blant de ansatte, samt presentere for styret deres ansvar rundt bedriftens sikkerhetskontroller.
Kanskje på tide å få dette under kontroll?
