Af Aksel Brinck, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Når virksomheder rammes af hackerangreb, involverer det ofte medarbejdere på arbejdspladsen. En eller flere ansatte kan for eksempel have klikket på et "inficeret" link eller have overset en svaghed i it-infrastukturen.
Nu går flere organisationer og myndigheder ud med et fælles etisk kodeks for, hvordan man bør teste it-sikkerheden, uden det krænker eller udstiller den enkelte medarbejder. Det oplyser brancheorganisationen IT-Branchen.
Kodekset skal ses som en række minimumsforpligtelser til leverandører af sikkerhedstest og deres kunder. Der er ikke tale om en certificerings- eller en mærkningsordning, understreges det i en meddelelse fra IT-Brancheforeningen, men det er tanken, at leverandører af sikkerhedstest og deres kunder skal kunne anvende kodekset til en dialog om fælles forståelse af, hvad der er god praksis i forbindelse med sikkerhedstest.
Et fælles ansvar
"Det er et fælles ansvar at fremme en god kultur for it-sikkerhed i hele organisationen. Sikkerhedstests skal derfor understøtte en fælles forståelse og den gode kultur på arbejdspladsen, hvor man sammen tager ansvaret på sig, og jeg håber, at det nye kodeks kan være med til at styrke det fokus fremadrettet," udtaler Thomas Kastrup-Larsen, Borgmester, Aalborg Kommune, som er medlem KL's bestyrelse - KL indgår i aftalen.
En af udfordringerne kan være, at en sikkerhedstest langt hen ad vejen handler om at agere som en fjendtlig aktør for at finde svaghederne i organisationen. Det kan nemt føre til konflikter og situationer, hvor den enkelte medarbejder føler sig krænket eller udstillet. Det kan endvidere føre til en dårlig kultur, hvor man ikke tør rapportere fejl, lyder begrundelsen for initiativet.
"Det er vigtigt, at en sikkerhedstest ikke tester den enkelte medarbejder. Den skal teste kulturen, organisationen og effekten af de sikkerhedstiltag og kurser, som man har iværksat. Sikkerhedstesten må heller aldrig blive en vurdering eller analyse af den enkelte medarbejder. Det skal dette kodeks sikre fremadrettet. Og så skal overenskomster og aftaler som for eksempel aftalen om kontrolforanstaltninger selvfølgelig overholdes," udtaler Mads Samsing, næstformand i HK Kommunal, som også er med i aftalen.
Spilleregler for alle parter
"Med dette fælles kodeks opstiller vi en række spilleregler, som både de leverandører, der gennemfører testen, de, der bestiller testen, og de, der bliver berørt af testen, med fordel kan anvende. Vi ønsker med kodekset at gøre det klart, at en sikkerhedstest er et vigtigt værktøj til at sikre god sikkerhed, og at man med brug af kodekset også kan være tryg ved at gennemføre disse test," udtaler Bjarke Alling, formand for IT-Branchens it-sikkerhedsudvalg.
Bag kodekset står organisationerne Akademikerne, Center for Cybersikkerhed, Dansk Erhverv, Dansk Industri, Danske Regioner, Digitaliseringsstyrelsen, Erhvervsstyrelsen, HK, IT-Branchen, KL og SMVdanmark.
6 principper
Kodekset for sikkerhedstest består i hovedtræk af disse seks principper:
1 Vær enige om mål og midler
2 Test organisationen, ikke medarbejderen
3 Indhold og brug af case-materiale
4 Giv dig til kende i tilfælde af konflikter
5 Videregiv viden om kriminelle handlinger
6 Sørg for ansvarlig datahåndtering