Hveranden har intet it-sikkerheds­kursus - en del ved ikke om de har

Den offentlige sektor udsættes i stort omfang af en vifte af forskellige sikkerhedshændelser – både interne, hvor medarbejdere eksempelvis deler passwords eller slår fortrolige oplysninger op af nysgerrighed, såvel som eksterne, hvor ubudne gæster forsøger at komme ind bag data-murene. Men kun knap halvdelen af de offentligt ansatte er blevet undervist i it-sikkerhed, og de offentlige myndigheder forsømmer at afprøve procedurer og beredskab. Det viser en rundspørge fra KMD Analyse blandt offentligt ansatte.

47 pct. af de offentligt ansatte har efter eget udsagn oplevet en eller flere interne hændelser, der kompromitterer informationssikkerheden på deres arbejdsplads inden for de seneste 12 måneder, eksempelvis deling af passwords blandt medarbejdere. 

42 pct. af de offentligt ansatte har oplevet en eller flere eksterne sikkerhedshændelser på deres arbejdsplads inden for de seneste 12 måneder, eksempelvis ransomware eller phishing-forsøg. 

Det viser en rundspørge blandt 1.002 ansatte fra stat, regioner og kommuner foretaget af KMD Analyse.

Deling af passwords og phishing topper
KMD Analyse har både spurgt de offentligt ansatte om interne sikkerhedsforhold såvel som de trusler, de oplever udefra. 

De hyppigste eksempler på interne hændelser er deling af brugernavn og password mellem medarbejdere, hvilket 24 pct. af de adspurgte angiver at have oplevet. Tilsvarende oplyser 21 pct. de adspurgte, at de har adgang til fortrolige oplysninger, som de ikke har brug for i deres arbejde. 

Det er endvidere værd at bemærke, at 8 pct. oplyser, at de kender til en kollega, som har slået fortrolige forretningsdata op af nysgerrighed.

- Selv om der er talt og skrevet meget om it-sikkerhed i det offentlige, kan vi konstatere, at vi stadig har et stykke igen. Når knap hver fjerde deler passwords med kollegaer, og man kan opleve, at kollegaer slår fortrolige oplysninger op af ren nysgerrighed, er vi altså ikke i mål endnu, siger Lars Neupart, sikkerhedsdirektør i KMD og medlem af regeringens virksomhedsråd for it-sikkerhed.

Samtidig oplever mange ansatte også, at der forsøges udefra på at få adgang til fortrolige data. Hver fjerde offentligt ansatte har oplevet phishing via e-mail, og 14 pct. har oplevet at få ransomware via mail.

11 pct. af de ansatte angiver, at de har kendskab til succesfulde angreb af forskellig karakter på deres arbejdsplads, såsom blokering af data via ransomware, blokering af hjemmesider via DDOS-angreb eller lækket data via hacking.

De ansatte mangler undervisning
Spørger man de ansatte i det offentlige er flere ting på plads, når det gælder sikkerhedstiltag. Et stort flertal ved, hvem de skal kontakte ved sikkerhedsbrud (76 pct.), og deres arbejdsplads har en skriftlig politik på området (70 pct.) Samtidig viser undersøgelsen, at de fleste arbejdspladser benytter brugerrettighedsstyring (82 pct.) og logning (78 pct.).

Men kigger på de mindre positive sider, så kan man udlede, at 41 pct. ikke er blevet undervist i informationssikkerhed og yderligere 6 pct. ikke ved, om de er blevet undervist. Altså knap halvdelen af de adspurgte.

Når det gælder øvelser i forbindelse med it-sikkerhed viser tallene, at kun meget få medarbejdere kender til sådanne og endnu færre har deltaget aktivt.

- Det er bekymrende, at knap halvdelen af de offentligt ansatte ikke er blevet undervist i it-sikkerhed. Vi har de seneste på år set en række sager med blandt andet kryptering af data via ransomware-mails, og de kan jo forholdsvis simpelt undgås. Man kan ikke forvente, at systemer og filtre fanger alt, og medarbejderne er den vigtigste forsvarslinje. Derfor gælder det i høj grad om at få opjusteret på den front, når det handler om at beskytte de offentlige data, forklarer Lars Neupart.

ka