Hver tredje offentligt ansatte har ikke styr på reglerne for it-sikkerhed
Der bliver gamblet med både det offentlige og borgernes sikkerhed, mener medforfatter til ny undersøgelse.
Reglerne, der skal holde it-kriminelle ude af det offentliges systemer, er fremmede for mere end hver tredje offentligt ansatte.
Det fremgår af en dugfrisk rapport fra Digitaliseringsstyrelsen, der kortlægger danskernes informationssikkerhed.
Her svarer mere end hver tredje offentligt ansatte, at de ikke kender arbejdspladsens regler for it-sikkerhed.
Og det er meget, meget uheldigt, konkluderer Henrik Larsen, som er medforfatter til rapporten og chef for DKCERT, universiteternes it-sikkerhedsinstitution.
- Den allerstørste risikofaktor er mennesket. Derfor er viden om reglerne altafgørende. Der kan godt være en masse sikkerhedssystemer og kontroller, men hvis de ansatte ikke kender reglerne, er det næsten lige meget, siger han.
Som sikkerhedsrådgiver ser han igen og igen eksempler på, at det er gået galt, hvor det "ligeså godt kunne være undgået, hvis folk havde tænkt sig om".
Men det kræver selvfølgelig, at alle kender reglerne, pointerer han.
Genbruger kodeord
Det manglende kendskab til retningslinjerne afspejler sig i de offentligt ansattes adfærd bag tasterne.
Særligt når der skal findes på nye kodeord. Her er det også mere end hver tredje i undersøgelsen, der svarer, at de genbruger de samme kodeord til flere systemer - også til de kritiske af slagsen med personfølsomme oplysninger.
Det er absolut ikke godt, mener Jesper Lund, som er formand i IT-Politisk Forening, der arbejder på at styrke borgernes rettigheder i informationssamfundet.
- Hvis de for eksempel bruger kodeord til offentlige systemer, som de også bruger til private hjemmesider eller måske endda onlineshopping, hvor sikkerheden ikke er i top, så er det meget problematisk.
Han står ikke alene med bekymringen. Ifølge rapporten risikerer den manglende opfindsomhed i kodeordene at gøre det nemmere for hackere at få adgang til det offentliges it-systemer.
Oplysninger er penge værd
Det er Digitaliseringsstyrelsen, som har fået udarbejdet rapporten. Her er Marie Wessel, der er kontorchef for cybersikkerhed, ikke imponeret over vidensniveauet.
- Det er ikke godt nok, siger hun og understreger, at det er et ledelsesansvar at sikre, at alle ansatte kender reglerne for it-sikkerhed.
Mens selvom størstedelen af de offentligt ansatte har styr på færdselsreglerne bag tasterne, er der ingen garanti for, at reglerne også bliver fulgt, når enderne skal mødes i en travl hverdag.
Næsten hver tiende undlader indimellem at følge sikkerhedsreglerne, "fordi de gør det besværligt at udføre arbejdet", lyder det i undersøgelsen.
Det kan måske syntes ligegyldigt, om hackere kan få adgang til oplysninger om, hvem der har lånt hvilke bøger eller booket hvilken tennisbane hvornår, når hverdagen er travl.
Men når hackerne først er inde, er det ofte et spørgsmål om tid, før de kommer videre i systemerne. Og de offentlige systemer bugner med oplysninger, som kan omsættes til penge, forklarer Henrik Larsen.
- Det er både med ens egen, det offentlige og borgernes sikkerhed som indsats, når ansatte bryder reglerne, slår han fast.
Resultaterne fra undersøgelsen vil nu blive indarbejdet i en række værktøjer, som styrelsen har udviklet til at undervise offentligt ansatte i it-sikkerhed.