Det glemte element i it-sikkerheden: Mennesket

Mens vi ser øgede budgetter til sikkerhedssoftware og -hardware i både det offentlige og private, oplever vi stadig et manglende fokus på den måske største it-sikkerhedsrisiko: Medarbejderen og borgeren.

Af Birgitte Hass, adm. direktør i IT-Branchen

Man kan bygge nok så mange sikkerhedsmure op, men hvis den enkelte medarbejder efterfølgende bare lader døren stå åben, har de store investeringer og gode intentioner været spildte.

For it-sikkerheden er aldrig stærkere en det svageste led. Et led der alt for ofte viser sig at være den enkelte borger eller medarbejder, der kommer til at trykke på et forkert link, downloade et program med virus i eller gå ind på en inficeret hjemmeside.

It-kriminelle ved da også godt, hvor det svageste link er, og 43% af alle cyberangreb sidste år var da også rettet mod det enkelte menneske, hvoraf phishing stod for 93% af disse angreb.

Desværre skal vi på netop sikkerhedsområdet, hvor det handler om at få den enkelte medarbejder og borger til selv at tage ansvar for it-sikkerheden, se langt efter konkrete offentlige initiativer.

Manglende fokus på sikkerheden er et stort problem i en verden og i en hverdag, der bliver mere og mere digitaliseret, og hvor de it-kriminelle hastigt bliver dygtigere.

Så hvad gør vi ved det? Hvordan tager vi det lange seje træk, det er at få uddannet danskerne i bedre og mere sikre it-vaner?

Vi skal igen lære om basal hygiejne

Inspirationen kan måske komme fra noget så banalt som det at vaske sine hænder.

Siden 60’erne har der eksisteret en Komite for Sundhedsoplysning, der har til formål at oplyse borgene om god sygdomsforebyggelse og sundhedsfremme. Vi kender dem bl.a. fra de små plakater på toiletterne der viser, hvordan man bør vaske sine hænder på den helt rigtige måde.

Alle danskere har vel på et eller andet tidspunkt stødt på et lignende billede, mens de stod bøjet over en håndvask, og de har helt sikkert også fra barns ben lært, at god håndhygiejne er vigtig for deres sundhed.

Den samme praktiske tilgang bør vi have til gode råd og vaner for it-sikkerhed. For det handler i den grad om at lære danskerne om den gode it-hygiejne – fortalt og vist på en let forståelig form, så det kan bruges direkte i hverdagen, mens man sidder bøjet over tastaturet.

Awareness-kampagner til hele Danmark

Danmarks Radio lavede på et tidspunkt en awareness-kampagne for deres omkring 3.000 ansatte, hvor de med en e-mail med overskriften ”Organisationsændringer” lokkede medarbejderne til at trykke på et link og efterfølgende afgive deres login og password.

1.406 af medarbejderne klikkede på det ”inficerede” link og hele 787 afgav deres login og password.

En effektiv måde at vise, at selvom man har nok så mange sikkerhedssystemer på plads, så skal der ikke mere end en velplaceret phisingmail til at åbne op for ens systemer – uanset om man er offentlig myndighed, privat virksomheder eller blot er online fra husets computer.

Netop derfor er der i den grad også brug for en fælles kontinuerlig uddannelse i it-sikkerhed til alle danskere. Og ligesom med sundhedsoplysning, bør den starte så tidligt som muligt.

Oplysningsansvaret skal placeres

I dag står den enkelte offentlige instans, virksomhed og private hjem for sin egen uddannelse og sikkerhedssetup, hvilket i bedste fald gør indsatsen fragmenteret. Ofte, må vi nok indse, mangler fokus og basal sikkerhedsviden desværre helt.

Ligesom med Komiteen for Sundhedsoplysning, der har omkring 40 personer ansat, er det vigtigt, at der også på sikkerhedsområdet etableres en dedikeret enhed, der skal sørge for, at danskerne uddannes i den gode sikkerhedshygiejne.

Om det ender med at være gennem en styrelse, et ministeriet eller et offentligt/privat samarbejde, er ikke det afgørende.

Det vigtigste er, at der er nogen, der får ansvaret for folkeoplysning og uddannelse på det her område, og at der år efter år afsættes ressourcer til at løse opgaven. Ellers kommer vi ikke sikkerhedstruslerne til livs.