Slut med at skyde skylden på medarbejderne

Slut med at skyde skylden på medarbejderne

Share

Med den nye persondataforordning som pejlemærke er virksomhederne nødt til at tage ansvar og implementere transparente sikkerhedsløsninger, der er nemme at anvende. Det er slut med blot at læne sig tilbage og skyde skylden på medarbejderne, når hackerne trænger gennem firewallen. Det mener en kendt sikkerhedsguru

Alle taler om sikkerhed. Desværre er det ikke alle, der gør noget ved det. I hvert fald ikke i tide. På et seminar for forhandlere og partnere i foråret satte it-distributøren ALSO derfor fokus på emnet, og budskabet var klart. Der ligger en stor opgave i at gøre virksomhederne opmærksomme på, at man ikke kommer sovende til god sikkerhed.

Men frem for alt var budskabet i lige så høj grad at gøre de virksomheder, som måske tror advarslerne er en gentagelse af fabelen om ”Ulven og Peter”, opmærksomme på, at det ingenlunde er tilfældet. Det er ikke falsk alarm, når der råbes ”Ulven kommer”. Den står lige uden for firewallen og pruster og puster til der viser sig bare den mindste sprække.

I dagens anledning havde man allieret sig med sikkerhedsguruen Amar Singh, der har stiftet organisationen Cyber Management Alliance og underviser virksomhedsledere uden teknisk baggrund om sikkerhed. Han hyres ofte ind som sikkerhedsekspert af medier som BBC, Financial Times samt The Economist, og fra sit domicil i London udbreder han velvilligt sine meninger om it-sikkerhed.

Et af Singhs hovedargumenter er, at ”Protection is not enough”, og med det mener han, at vi kan investere tusindvis af kroner i sikkerhedsløsninger, men vi kan ikke fjerne det svageste led i kæden nemlig mennesket. Bevares, sikkerhedsløsninger hjælper os et stykke ad vejen, men det er stadig mennesket, der trykker på det link, der ikke skulle være trykket på.

Gulerod i stedet for pisk

På sikkerhedskonferencen InfoSecurity i foråret 2017 var en af keynote speakerne Erik Ahrenkiel Frederiksen, der har ansvaret for it-sikkerheden i DR. Her har man ved flere lejligheder kørt et testscenarie, hvor målet var at se, hvor mange medarbejder, der faldt i vandet og klikkede på dubiøse links – og ikke mindst, hvor mange, der gjorde det flere gange.

Se også:  Guide: Gør din pc super-sikker

Dengang sagde Erik Ahrenkiel, at gentagne klik kunne udløse en kammeratlig samtale i personaleafdelingen. For et par måneder siden ringede jeg for at spørge, om det så rent faktisk var sket, men fik at vide, at man havde taget skeen i den anden hånd og fremover ville satse endnu mere på at gøre medarbejderne opmærksomme på risikoen.

Virksomhederne skal tage ansvar

”Se det i øjnene – alle mennesker laver fejl. Derfor skal teknologien være til for at hjælpe os. Det kan ikke nytte noget, at vi bare skælder ud på medarbejderne eller straffer dem, hvis de klikker på det famøse link eller åbner den åbenlyst mistænksomme fil. Derfor skal virksomhederne hjælpe sine medarbejdere og uddanne dem.

Især fordi de med den nye persondataforordning ikke længere kan gemme sig bag dårlige undskyldninger eller forsøge at placere ansvaret på den medarbejder, der blev fyret og i arrigskab kastede personfølsomme data ud i cyberspace, inden skrivebordet blev ryddet. Den går ganske enkelt ikke længere”, siger Amar Singh.

Det er for ham at se en af tidens mest seriøse game changere, som det hedder i moderne teknologi. Vi kan også kalde det for et paradigmeskift, der handler om det, som Amar Singh kalder for ”corporate responsibility” og betyder, at virksomhederne har en forpligtelse til at hjælpe medarbejderne gennem implementering af transparent teknologi. Og når han siger transparent teknologi, så mener han det, for verden i dag er hele tiden en balancegang mellem bedst mulig sikkerhed og bedst mulig brugervenlighed.

Se også:  Nye datakrav kan lukke virksomheder

Især i forhold til de yngre generationer mener Amar Singh således, at hvis det bliver for besværligt at arbejde, ja så smutter man ganske enkelt for at finde en anden virksomhed at arbejde i.

Dømt for medarbejders handling

Som eksempel på den nye virkelighed for virksomhederne nævner Amar Singh en sag, som blev afgjort i december 2017 i den engelske højesteret. Dommen gør det tydeligt, at virksomheder også kan risikere at blive gjort ansvarlige for sikkerhedsbrister, der bevidst er forårsaget af medarbejderne. I det konkrete eksempel offentliggjorde en it-medarbejder i supermarkedskæden Morrisons data på næsten 100.000 ansatte efter en disciplinær uoverensstemmelse med ledelsen.

Det var data, der både omfattede navne, adresser, CPR-nummer samt bank- og lønoplysninger. Medarbejderen blev idømt 8 års fængsel, men dermed var sagen ikke slut. 5000 af de ansatte, der havde fået deres personlige oplysninger lækket, lagde sag an mod Morrisons, der godt nok ikke kunne gøres direkte ansvarlig for lækken, men blev dømt fordi, man ikke havde procedurer, der kunne forhindre den. Man mente således, den ansatte juridisk handlede på Morrisons vegne, og kæden blev dømt til at betale erstatning til de ansatte.

Dommen er anket til højere instans. Sagen er interessant, blandt andet fordi en undersøgelse foretaget af Kaspersky Lab i samarbejde med analysevirksomheden B2B International blandt 5000 virksomheder fordelt på 30 lande viser, at 30 procent af virksomhederne har oplevet, at deres egne medarbejdere bevidst har skadet virksomheden, og at 40 procent har oplevet, at medarbejdere bevidst ikke rapporterer om sikkerhedsbrud. Problemet er mest udbredt i store virksomheder, men rammer i virksomheder af alle størrelser.

Del denne