CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

(Foto: Computerworld)

Slut med at skyde skylden på medarbejderne

Med den nye persondataforordning som pejlemærke er virksomhederne nødt til at tage ansvar og implementere transparente sikkerhedsløsninger, der er nemme at anvende. Det er slut med blot at læne sig tilbage og skyde skylden på medarbejderne, når hackerne trænger gennem firewallen. Det mener en kendt sikkerhedsguru.

14. juni 2018 kl. 12.28

Af Henrik Malmgreen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Alle taler om sikkerhed. Desværre er det ikke alle, der gør noget ved det. I hvert fald ikke i tide. På et seminar for forhandlere og partnere i foråret satte it-distributøren ALSO derfor fokus på emnet, og budskabet var klart. Der ligger en stor opgave i at gøre virksomhederne opmærksomme på, at man ikke kommer sovende til god sikkerhed.

Men frem for alt var budskabet i lige så høj grad at gøre de virksomheder, som måske tror advarslerne er en gentagelse af fabelen om ”Ulven og Peter”, opmærksomme på, at det ingenlunde er tilfældet. Det er ikke falsk alarm, når der råbes ”Ulven kommer”. Den står lige uden for firewallen og pruster og puster til der viser sig bare den mindste sprække.

I dagens anledning havde man allieret sig med sikkerhedsguruen Amar Singh, der har stiftet organisationen Cyber Management Alliance og underviser virksomhedsledere uden teknisk baggrund om sikkerhed. Han hyres ofte ind som sikkerhedsekspert af medier som BBC, Financial Times samt The Economist, og fra sit domicil i London udbreder han velvilligt sine meninger om it-sikkerhed.

Et af Singhs hovedargumenter er, at ”Protection is not enough”, og med det mener han, at vi kan investere tusindvis af kroner i sikkerhedsløsninger, men vi kan ikke fjerne det svageste led i kæden nemlig mennesket. Bevares, sikkerhedsløsninger hjælper os et stykke ad vejen, men det er stadig mennesket, der trykker på det link, der ikke skulle være trykket på.

Gulerod i stedet for pisk

På sikkerhedskonferencen InfoSecurity i foråret 2017 var en af keynote speakerne Erik Ahrenkiel Frederiksen, der har ansvaret for it-sikkerheden i DR. Her har man ved flere lejligheder kørt et testscenarie, hvor målet var at se, hvor mange medarbejder, der faldt i vandet og klikkede på dubiøse links – og ikke mindst, hvor mange, der gjorde det flere gange.

Dengang sagde Erik Ahrenkiel, at gentagne klik kunne udløse en kammeratlig samtale i personaleafdelingen. For et par måneder siden ringede jeg for at spørge, om det så rent faktisk var sket, men fik at vide, at man havde taget skeen i den anden hånd og fremover ville satse endnu mere på at gøre medarbejderne opmærksomme på risikoen.

Virksomhederne skal tage ansvar

”Se det i øjnene – alle mennesker laver fejl. Derfor skal teknologien være til for at hjælpe os. Det kan ikke nytte noget, at vi bare skælder ud på medarbejderne eller straffer dem, hvis de klikker på det famøse link eller åbner den åbenlyst mistænksomme fil. Derfor skal virksomhederne hjælpe sine medarbejdere og uddanne dem.

Især fordi de med den nye persondataforordning ikke længere kan gemme sig bag dårlige undskyldninger eller forsøge at placere ansvaret på den medarbejder, der blev fyret og i arrigskab kastede personfølsomme data ud i cyberspace, inden skrivebordet blev ryddet. Den går ganske enkelt ikke længere”, siger Amar Singh.

Det er for ham at se en af tidens mest seriøse game changere, som det hedder i moderne teknologi. Vi kan også kalde det for et paradigmeskift, der handler om det, som Amar Singh kalder for ”corporate responsibility” og betyder, at virksomhederne har en forpligtelse til at hjælpe medarbejderne gennem implementering af transparent teknologi. Og når han siger transparent teknologi, så mener han det, for verden i dag er hele tiden en balancegang mellem bedst mulig sikkerhed og bedst mulig brugervenlighed.

Især i forhold til de yngre generationer mener Amar Singh således, at hvis det bliver for besværligt at arbejde, ja så smutter man ganske enkelt for at finde en anden virksomhed at arbejde i.

Dømt for medarbejders handling

Som eksempel på den nye virkelighed for virksomhederne nævner Amar Singh en sag, som blev afgjort i december 2017 i den engelske højesteret. Dommen gør det tydeligt, at virksomheder også kan risikere at blive gjort ansvarlige for sikkerhedsbrister, der bevidst er forårsaget af medarbejderne. I det konkrete eksempel offentliggjorde en it-medarbejder i supermarkedskæden Morrisons data på næsten 100.000 ansatte efter en disciplinær uoverensstemmelse med ledelsen.

Det var data, der både omfattede navne, adresser, CPR-nummer samt bank- og lønoplysninger. Medarbejderen blev idømt 8 års fængsel, men dermed var sagen ikke slut. 5000 af de ansatte, der havde fået deres personlige oplysninger lækket, lagde sag an mod Morrisons, der godt nok ikke kunne gøres direkte ansvarlig for lækken, men blev dømt fordi, man ikke havde procedurer, der kunne forhindre den. Man mente således, den ansatte juridisk handlede på Morrisons vegne, og kæden blev dømt til at betale erstatning til de ansatte.

Dommen er anket til højere instans. Sagen er interessant, blandt andet fordi en undersøgelse foretaget af Kaspersky Lab i samarbejde med analysevirksomheden B2B International blandt 5000 virksomheder fordelt på 30 lande viser, at 30 procent af virksomhederne har oplevet, at deres egne medarbejdere bevidst har skadet virksomheden, og at 40 procent har oplevet, at medarbejdere bevidst ikke rapporterer om sikkerhedsbrud. Problemet er mest udbredt i store virksomheder, men rammer i virksomheder af alle størrelser.

It-kriminalitet som nem levevej

”Sikkerhedsværktøjerne skal naturligvis være der, men de skal ligge i baggrunden. Det er imidlertid vigtigt at forstå, at virksomhederne ikke kan nøjes med at koncentrere sig om fysisk sikkerhed. Den menneskelige faktor er mindst lige så vigtig at tage i betragtning. Ikke kun, når det gælder de medarbejdere, der sidder inde bag virksomhedens firewall, men også, når det gælder de hackere, der står ude på den anden side og forsøger at komme ind”, siger Amar Singh.

Med det mener han, at it-kriminalitet er blevet en industri, som blandt andet viser den dårlige side af deleøkonomi. Samtidig står vi over for en generation af entreprenante unge mennesker, der til stadighed afsøger nye veje til at tjene penge til dagen og vejen.

Amar Singh ”Grundlæggende køber virksomhederne masser af god sikkerhedsteknologi. De bruger den bare ikke ordentligt”, sagde sikkerhedsguruen Amar Singh blandt andet på ALSO’s sikkerhedsseminar. Han føjede dog til, at på sigt vil machine learning og kunstig intelligens gøre det meget nemmere at finde den delikate balancegang mellem høj grad af sikkerhed og høj grad af
brugervenlighed.

”Jeg er ked af at måtte sige det, men it-kriminalitet er for mange vejen til et bedre liv. Den tid er slut, hvor en hacker var velfunderet teknologisk og sad gemt nede i en mørk kælder med sin computer. I dag er der tale om en blankpoleret forretningsmodel, hvor du kan købe et angreb som ”Ransomware as a Service” på nettet.

Prøv bare at forestille dig, hvor mange unge mennesker, der i dag har mulighed for at slå sig på it-kriminalitet som levevej. Det er ganske enkelt skræmmende”, siger Amar Singh, der dog i samme åndedrag konstaterer, at det ikke er verdens ende. I hvert fald ikke endnu. Men som han også siger: ”If you can’t detect the risc and repair it in time, then it’s too late”. Hastighed er altafgørende, når hackeren først har fundet sprækken i sikkerhedsmuren.



Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Mogens Nørgaard
Mogens Nørgaard
Jonathan Løw
Jonathan Løw
Jeanette Carlsson
Jeanette Carlsson
David Guldager
David Guldager
Jacqueline Johnson
Jacqueline Johnson
Andreas Holbak Espersen
Andreas Holbak Espersen
Erik David Johnson
Erik David Johnson
Mogens Nørgaard
Mogens Nørgaard
opinion
Mogens Nørgaard
Mogens Nørgaard
Nørgaard: Som jeg altid har sagt: Man ansætter altid nye folk på udseendet, for det er det eneste, som en kandidat ikke kan fuske med
Læs indlæg
Artikel teaser billede

Jonathan Løw

Når virksomheder bytter ledere – en fremtidig it-ledelsestrend?

Artikel teaser billede

Jeanette Carlsson

Vores perspektiv i debatten om diversitet er alt for binær - for det handler om meget mere end køn

Artikel teaser billede

David Guldager

Guldager: Jeg har bare tre enkle ønsker til min næste bil

Artikel teaser billede

Jacqueline Johnson

Dansk IT: Hvad du som CIO bør vide om AI Act

Mest læste klummer og blogs
Nørgaard: Bedst som man troede, at det ikke kunne blive værre end Ejendomsvurderingen dukkede AI op
Klumme: ChatGPT opfører sig som en høflig og tålmodig, amerikansk DJØF'er, og den vil SÅ gerne please os. Der er stadig brug for os.
Af: Mogens Nørgaard
Generativ AI i praksis: To vigtige begreber bag nutidens AI-modeller - og hvorfor de ikke kan blive til AGI'er lige nu
Klumme: Nutidens AI-modeller aner ikke, hvad det vil sige at være et menneske eller en menneskelig samtalepartner, men udnytter blot de dybe mønstre, som de har fundet i sproget. Faktisk vil jeg argumentere for, at man skal til at designe fremtidens AI helt anderledes, end man gør i dag
Af: Erik David Johnson
Nørgaard: Som jeg altid har sagt: Man ansætter altid nye folk på udseendet, for det er det eneste, som en kandidat ikke kan fuske med
Klumme: Hvis der er en kollektiv løgn, som nordsjællænderne og djøferne har påduttet os alle sammen, så er det dén med, at løn og dygtighed hører sammen. Selvfølgelig er det komplet nonsens, og vi ved det alle sammen.
Af: Mogens Nørgaard
David Guldager
opinion
David Guldager
Guldager: Jeg har bare tre enkle ønsker til min næste bil
opinion Andreas Holbak Espersen
Derfor er den nye digitale taskforce det helt rigtige initiativ
Læs indlæg

Premium
Teaser billede
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Læs mere »
Cyber-gidselforhandler løfter sløret: Sådan undgår du at blive ramt af den frygtede 'double whammy'
Her er de 10 bedste arbejdspladser i den danske it-branche
Sådan har Novo sat AI i arbejde: Læs Computerworlds store temanummer om AI i forretningen
Se alle »
Computerworld
Teaser billede
Du bør vente med at købe ny bærbar: En pc-revolution vil ramme allerede til sommer
Læs mere »
Test af ny generation af video-overvågning: Her tilbydes de bedste features – nu til en skarpere pris
Guldager: Jeg har bare tre enkle ønsker til min næste bil
Taler til sanserne: Den sjoveste elbil, som du overhovedet kan få, ser ud til at blive kinesisk
Se alle »
CIO
Teaser billede
Aldrende SAP-konsulenter er et kæmpe problem i markedet: Virksomheder tør ikke uddanne nye
Læs mere »
Kæmpe prisstigninger på vej fra Microsoft: Dynamics 365 bliver op til 16 procent dyrere
Danske CloudNordic går konkurs efter stort ransomware-angreb
Stort angreb skyller ind over en lang række VPN-tjenester: Løsninger fra Cisco, Fortinet og andre ramt
Se alle »
Job & Karriere
Teaser billede
NNIT flytter til det centrale København: Her er selskabets nye hovedkvarter
Læs mere »
Får havudsigt: IBM Danmarks 700 medarbejdere flytter til nyt hovedkvarter om få dage
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Fujitsu Danmark fyrer medarbejdere og udfaser al nysalg af cloud
Se alle »
White paper
Teaser billede
Cybersikkerhed: Skær antallet af alarmer ned fra tusindvis til blot en håndfuld
Læs mere »
Sådan høster du forretningsfordelene ved Internet of Things
Guide: Sådan udvikler du en moderne netværksstrategi
Det behøver ikke at gøre ondt: Sådan gør du livet lettere for kunder med multicloud
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »