Både virksomheder og offentlige instanser kan opleve sikkerhedshuller i deres systemer, men ikke alle har i dag en nedskrevet proces for, hvordan man håndterer dette.
Især ikke hvis det er en udefra, der gør en opmærksom på sikkerhedsbristen.
Derfor udgav IT-Branchen i sommers et kodeks for, hvordan man bør håndtere viden om et sikkerhedshul.
Kodekset opfordrer alle til at dele viden om sikkerhedshuller med alle relevante parter samt til, at vi opfører os ordentligt overfor de personer. der deler deres viden om sikkerhedsbristerne.
Sikkerhedskodekset indeholder blandt andet vejledninger, der skal sikre, at du får styr på dine processer og aftaler, så de er på plads, når uheldet er ude.
”Det er afgørende for sikkerheden, at vi tør dele viden om sikkerhedsbrister med hinanden, så hullerne kan lukkes, før de bliver misbrugt. Jeg håber derfor også, at flere danske virksomheder og offentlige myndigheder vil tage kodekset til sig,” siger Bjarke Alling, formand for IT-Branchens sikkerhedsudvalg og koncerndirektør i Liga ApS.
En lang række virksomheder har allerede tilsluttet sig IT-Branchens sikkerhedskodeks, og der kommer løbende flere til.
Mange måder at tilslutte sig på
Der er mange måder at håndtere kodekset på, og det er afgørende, at man som virksomhed overvejer, hvordan kodekset kan give mest værdi for ens egen it-sikkerhed.
Hvor lægger man f.eks. vejledning til anmeldelse af sikkerhedsbrister, hvor lange svarfrister skal man operere med og skal man acceptere anonyme henvendelser eller give belønninger for henvendelser?
Vi har udvalgt tre konkrete implementeringer af kodekset, som du kan læse om herunder og som forhåbentlig kan give god inspiration til, hvordan I kan implementere kodekset i jeres virksomhed.
KMD har valgt at lægge henvisning til kodekset sammen med deres whistleblower ordning. Herfra kan man hente deres vejledning til anmeldelse af sikkerhedsbrister.
Tilslut dig kodekset
Alle virksomheder, myndigheder og organisationer kan tilslutte sig kodekset.
Det kræver blot, at I følger kodeksets vejledninger i forbindelse med henvendelser om fejl og sikkerhedsbrister.
For at kunne anvende og tilslutte sig kodekset, kræver det følgende af jer som virksomhed:
- At I håndterer henvendelser om sikkerhedsbrud efter god skik – som det er beskrevet i vejledningen til kodekset.
- At I følger musketereden om, at I uden ugrundet ophold skal meddele rette systemejer eller it-leverandør, når I er blevet gjort opmærksom på fejl og sikkerhedsbrister.
- At I på jeres hjemmeside beskriver, hvordan I håndterer henvendelser om sikkerhedsbrister, jf. kodeksets vejledninger.
- At I meddeler IT-Branchen, at I tilslutter jer kodekset.
Læs kodekset
Tilmeld dig kodekset
Se hvem der støtter op om kodekset