Det burde efterhånden være trængt ind hos de fleste, at sikkerhed på nettet i meget høj graf hænger sammen med kompleksiteten af de kodeord, du benytter på forskellige hjemmesider.Alligevel er det kun 16 procent af borgerne, der i en ny undersøgelse om danskernes informationssikkerhed svarer, at de i høj eller meget høj grad efterlever myndighedernes anbefaling om, at kodeord skal have mere end 12 tegn for at gøre dem sværere at knække for it-kriminelle.
Og når det gælder særligt vigtige eller følsomme tjenester som for eksempel webbank, NemID og mail, så er det kun 42 procent, der siger, at de benytter forskellige kodeord til de enkelte sider. En tredjedel oplyser, at de ikke gør det.
– De gode råd om kodeord kan desværre ikke gentages ofte nok. Ved genbrug af kodeord udsætter man sig selv og sin organisation for en kæmpe risiko for kompromittering af informationer. Lækkede kodeord omsættes i stor stil blandt cyberkriminelle, og der er næsten garanti for, at de bliver forsøgt misbrugt, siger Henrik Larsen, der er chef for DKCERT.
DKCERT er Danmarks akademiske CSIRT (Computer Security Incident Response Team) og understøtter blandt andet informationssikkerheden i uddannelses- og forskningssektoren.
Den nye undersøgelse, der er lavet af Megafon i samarbejde med DKCERT, Digitaliseringsstyrelsen, Kommunernes Landsforening og Danske Regioner, er todelt og kigger nærmere på it-sikkerheden både blandt borgerne og blandt offentligt ansatte.
Ikke for besværligt
Generelt tegner undersøgelsen et billede af, at it-sikkerhed for de fleste danskere skal være let at gå til. Så snart det bliver en anelse kompliceret, står mange borgere simpelthen af.
Trusler, der er så abstrakte som virusangreb, er svære at forholde sig til i modsætning til mere konkrete trusler som for eksempel en modkørende lastbil
Det gælder ikke mindst den yngre del af befolkningen. I aldersgruppen 18-29 år er manglende tid eller overskud hovedårsag til, at de ikke lige får efterlevet anbefalingerne til it-sikkerhed, mens de ældste borgere peger på manglende viden. Kun 37 procent af de unge opretter som udgangspunkt forskellige kodeord til forskellige tjenester, mens det for folk over 40 år er 46 procent.
”Overordnet set tegner der sig et billede af, at de anbefalinger, hvor man blot skal slå en funktion til som for eksempel automatisk opdatering eller beskyttelse af netværk med kode, i højest grad bliver efterlevet. De anbefalinger, der kræver aktive handlinger – for eksempel sikkerhedskopi, lange og unikke kodeord eller VPN og passwordmanager – efterleves sjældnere”, fastslår rapporten.
Udfordringen med genbrug af kodeord er, at det ikke kræver særlig stor indsats fra ondsindede personer at teste, om et kodeord ét sted i kombination med brugernavn eller e-mail kan bruges andre steder. Det kan for eksempel ske, hvis der er sket et datalæk af brugernavne og kodeord fra en tjeneste, som det er set adskillige gange i de senere år.
En ubeskyttet privat computer er ofte set som trædesten for en hacker ind i organisationssystemer
Analysen viser også, at mange danskere ikke er bange for at benytte de trådløse netværk, som blandt andet caféer og trafikselskaber stiller til rådighed, og hvor alle typisk bruger den samme adgangskode. Hver femte dansker er ubekymret over risikoen for, at andre brugere på netværket potentielt kan se de data, der bliver sendt via netværket.
Også her skiller den yngre del af befolkningen sig uheldigt ud: Kun 39 procent af de 18-29-årige følger rådet om at undgå åbne, trådløse netværk, mens 63 procent af de ældre borgere vægter sikkerhed over bekvemmelighed.
Sikkerhed ved spisebordet
Den anden halvdel af rapporten handler om de mange offentligt ansatte, der i vid udstrækning har arbejdet hjemmefra mere eller mindre permanent under nedlukningen af samfundet. Det har sat pres på it-afdelingerne for at skabe den nødvendige digitale sikkerhed på alle de nye hjemmekontorer, der er skudt op i spisestuer og ved køkkenborde.
54%
Andel, der i høj eller meget høj grad undgår trådløse netværk uden kode, eller hvor alle benytter samme kode.
”Private enheder, åbne netværk og brug af nye kommunikationstjenester og digitale værktøjer er pludselig gængse forhold, som sikkerhedsafdelinger skal sørge for at håndtere. En ubeskyttet privat computer er ofte set som trædesten for en hacker ind i organisationssystemer”, står der i rapporten.
Også her er der plads til forbedringer, konstaterer undersøgelsen. Næsten hver fjerde oplyser, at de benytter en privat computer til hjemmearbejde, og en tredjedel oplyser, at de ikke benytter de fildelingstjenester, der stilles til rådighed af arbejdspladsen, men at de selv finder tjenester på nettet til deling af arbejdsrelateret information.
”Brug af privat computer i arbejdsmæssig sammenhæng er problematisk, hvis den ikke er godkendt af arbejdspladsen. Specielt adgange til systemer, automatiske sikkerheds- og antivirusopdateringer, automatisk back up og håndtering af informationer kan være vanskeligt på en privat computer, der er uden for arbejdspladsens miljø”, fastslår rapporten.
Send penge til chefen
Mange offentligt ansatte arbejder med it-systemer, der rummer fortrolige data – hvad enten det er personfølsomme oplysninger eller kritiske data i centraladministrationen.
”Det gør dem til en udsat gruppe i forhold til truslen fra såvel cyberkriminalitet som spionage”, står der i rapporten om danskernes informationssikkerhed.
24%
Andel, der benytter VPN-forbindelse, når de bruger trådløse netværk
Faktisk viser analysen, at fire procent af de offentligt ansatte har været udsat for såkaldt CEO-fraud eller direktørsvindel en eller flere gange i løbet af det seneste år. De har altså modtaget sms-, mail- eller chatbeskeder fra personer, der udgav sig for at være en chef eller kollega, og som bad om at få overført penge til en ekstern konto.
46%
Andel af offentligt ansatte, der har modtaget mail, sms eller chat-besked fra ukendt person med et link, som afsenderen opfordrede til at klikke på.
Når det gælder kodeord, er der også plads til forbedring blandt de offentligt ansatte. Hver femte svarer i undersøgelsen, at de i et vist omfang bruger samme kodeord på jobbet, som de gør privat.
”Det er et væsentligt problem for sikkerheden på arbejdspladsen, fordi kompromitterede kodeord nærmest med garanti forsøges brugt i andre sammenhænge. Dermed kan en dårlig sikkerhedskultur hjemme gå ud over sikkerheden på jobbet”, konstaterer rapporten.
Ikke nok med det. 11 procent af de offentligt ansatte fortæller, at de deler kodeord med kollegerne. Én naturlig forklaring kan være, at der kun findes én nøgle til et fælles it-system, men det falder i givet fald tilbage på opsætningen af systemet, som ifølge rapporten bør være håndteret i sikkerhedspolitikken og de mere tekniske retningslinjer:
”Men hvis det er en generel tendens, at man deler kodeord med hinanden, så går det ud over ledelsens overblik over, hvem der logger på et system og hvornår, ligesom det er et udtryk for en problematisk sikkerhedskultur, hvis systemer eller processer ’tvinger’ ansatte til at dele kodeord, eller hvis det bliver anset som acceptabelt at dele kodeord de ansatte i mellem”.
Dårlig kommunikation
Men måske halter det med kommunikationen fra ledelsen til medarbejderne om it-sikkerhed, når man er hjemsendt. I hvert fald konstaterer rapporten, at netop arbejdspladsernes løbende kommunikation om ændrede trusselsbilleder og retningslinjer kan forbedres.
85%
Andel af offentligt ansatte, som husker at låse computeren, når de forlader den.
14 procent af de ansatte oplyser således, at arbejdspladsen ikke har specifikke retningslinjer for hjemmearbejde, og hver fjerde ved ikke, om deres arbejdsplads har sådanne retningslinjer.
– Hjemmearbejde er for mange offentligt ansatte blevet normalen, og offentlige myndigheder har et vigtigt arbejde med at ruste offentligt ansatte til at navigere i den nye arbejdsform, så vi fortsat passer godt på borgeres og virksomheders data, siger Signe Caspersen, der er vicedirektør i Digitaliseringsstyrelsen.
En modkørende lastbil
Men hvad er årsagen til, at vi endnu ikke er en nation af it-sikkerhedsentusiaster, og at så forholdsvist mange borgere stadig anvender åbne netværk og undlader at bygge stærke kodeord og to-faktorlogin? Ifølge analysen skal en del af svaret findes i, at den daglige it-sikkerhed opleves som kompliceret, men mange svarer desuden, at de ikke har noget at skjule og ikke mener, at de har data, som er interessante for andre:
”En mulig forklaring kan være, at trusler, der er så abstrakte som virusangreb, er svære at forholde sig til at imødegå i modsætning til mere konkrete trusler som for eksempel en modkørende lastbil”.
De offentlige myndigheder peger dog på én ting, der kunne give hele befolkningen et skub i den rigtige retning:
”Man skal overveje, hvordan man rent systemisk kan gøre det gode sikkerhedsvalg attraktivt eller tvungent. Hvis det for eksempel kun er muligt at lave et kodeord til en tjeneste, hvis det er langt og ikke er brugt andre steder, vil det være en del lettere at efterleve denne sikkerhedsadfærd”.
Tilsvarende peger myndighederne på et meget håndgribeligt indsatsområde for offentlige arbejdspladser:
”Det ville være positivt, hvis endnu flere arbejdspladser sørgede for, at oprettelse af en VPN-forbindelse var obligatorisk for overhovedet at kunne komme på nettet på arbejdscomputeren. Dermed ville ansvaret for en sikker forbindelse ikke afhænge af, at den ansatte selv havde sørget for at sikre sin forbindelse”.