Kun i omkring 7% af tilfældene er det virksomhedens egne medarbejdere, der opdager en it-sikkerhedsbrist.
I over 50% af tilfældene er det eksterne sikkerhedsfolk og it-leverandører, mens det i 15% af tilfældene er kunder, der opdager, at der har været brud på it-sikkerheden. Det viser seneste Data Breach Report fra Verizon.
Dermed ligger en stor del af virksomhedernes cyberberedskab i hænderne hos folk, der ikke arbejder i virksomheden, og det bekymrer IT-Branchen.
”Virksomhederne er ikke gode nok til selv at finde sikkerhedsbristerne, og er derfor delvist blinde overfor den stigende cybertrussel. Det er et kæmpe problem, da det gør det nemt for de it-kriminelle at udnytte sikkerhedshullerne,” udtaler Bjarke Alling, formand for IT-Branchens it-sikkerhedsudvalg og koncerndirektør i Liga Aps.
It-sikkerhedskulturen skal ned i øjenhøjde
Virksomhederne har internt ofte en række formelle procedurer omkring it-sikkerheden, og laver måske også awareness-kampagner et par gange om året, for at højne medarbejdernes fokus på it-sikkerhed.
For at skabe en reel sikkerhedskultur er det dog ikke altid vigtigt, hvad der står nedskrevet i formelle dokumenter og procedurer. Det handler i langt højere grad om at få skabt en grundlæggende bevidsthed om it-sikkerhedskulturen hos alle i virksomheden.
”Nogle gange fungerer det bedst, hvis man på en relevant og nærværende måde forklarer, hvad det er medarbejderne helt præcist skal gøre. Så det handler ofte om at give medarbejderne en konkret grund og et enkelt værktøj, så det bliver nemt for den enkelte at lave en adfærdsændring.”
For selv den mest effektive firewall er magtesløs, hvis en medarbejder klikker på et link, der lukker skadelig kode ind i systemet. Og står der kun et password mellem hackeren og virksomhedens kritiske data, så hjælper al den øvrige it-sikkerhed altså ikke.
Hverdagens sikkerhedshelte skal hyldes
Mange synes nok, det er pinligt at fortælle, hvis de er kommet til at trykke på et link, åbne et dokument eller reagere på en mail, som viser sig i virkeligheden at være et skjult cyberangreb.
Men det er helt forkert, mener IT-Branchen. Det er netop de mennesker der skal hyldes, hvis de altså deler deres uheld med resten af organisationen.
”Vi skal gøre op med en udbredt kultur, hvor man synes det er flovt, at man er kommet til at klikke på et forkert link. Skal vi have en bedre it-sikkerhed, skal ledelsen også aktiv rose og fremhæve dem, der tør at gå forrest. For det er dem, der er hverdagens helte og bør stå indrammet på direktørens bord,” fortæller Bjarke Alling.
Samtidig skal det være nemt for medarbejderne at indberette ting som it-sikkerhedshuller, ransomware forsøg eller CEO-fraud, så informationen hurtigt bliver spredt til resten af organisationen.
Vær klar, når folk udefra gør opmærksom på sikkerhedshuller
Når en så stor del af sikkerhedsbristerne bliver opdaget af eksterne, er det også vigtigt, at man har sine processer klar, når en udefra gør opmærksom på et sikkerhedsbrist.
”Vi hører desværre om velmenende borgere eller freelance sikkerhedskonsulenter, der gør virksomheder opmærksom på en it-sikkerhedsbrist, men som så efterfølgende bliver truet med bål og brand. Det skal vi have ændret, så man bliver mødt med tak og en flaske vin i stedet for trusler om sagsanlæg,” siger Bjarke Alling.
IT-Branchen har derfor udviklet et kodeks for god adfærd ved it-sikkerhedsbrister, som kan hjælpe både anmelder og modtager med at håndtere eksterne henvendelser om it-sikkerhedsbrister på den rigtige måde.
Du kan læse mere om Kodeks for indberetning af sikkerhedsbrister her.
Hvis du vil vide mere
Har du spørgsmål eller input til, hvordan vi arbejder på at skabe en bedre og mere sikkert samfund, kan du kontakte Martin Jensen Buch, som bestyrer vores it-sikkerhedsudvalg.