Af Niels Bertelsen, formand for PROSA. Kronikken er bragt i Information den 2. april 2019.
Medarbejdere er en trussel mod it-sikkerheden. Sådan må man forstå budskabet, når Center for Cybersikkerhed og PET i en ny trusselsvurdering retter fokus mod såkaldte »ubevidste insidere«, der vurderes at være involveret i op mod halvdelen af sikkerhedshændelserne i en organisation.»De ubevidste insidere er medarbejdere, der ikke er klar over, at deres adfærd kan skade organisationen,« lyder definitionen i trusselsvurderingen, der altså potentielt dækker over rigtig mange medarbejdere.
Trusselsvurderingen kommer efter debatten om et lovforslag, der vil give Center for Cybersikkerhed ret til at simulere it-angreb på enkelte medarbejdere med brug af social engineering og kollegers identiteter. Kollegerne skal instrueres i at spille med på testen, og hvis den testede går i fælden, kan det koste jobbet. Samtidig har sager, hvor kommunale arbejdsgivere har hyret et it-sikkerhedsfirma til at teste it-sikkerheden på medarbejderniveau med skjult kamera, fyldt i den offentlige debat. En af medarbejderne oplevede testen som et psykisk overgreb, og der var tale om at politianmelde it-sikkerhedsfirmaet.
Ukonkrete retningslinjer
Dette kan vi ikke være tjent med. It-sikkerhed bør prioriteres højt, og vi skal kunne teste personrettede it-angreb mod enkelte medarbejdere. Men det skal gøres forsvarligt, og det kræver bedre retningslinjer end de eksisterende. Kommunernes Landsforening og lønmodtagerorganisationerne i Forhandlingsfællesskabet har en kollektiv aftale, der beskriver, hvilke metoder kommunerne må bruge for at undersøge de ansattes håndtering af it-sikkerheden. Ifølge aftalen må kontrolforanstaltningerne ikke være krænkende, og der skal være et rimeligt forhold mellem mål og midler. Det er en fin ramme, men den seneste tids lovforslag og eksempler på kommunale it-sikkerhedstjek viser, at de retningslinjer er for ukonkrete på et område, der hele tiden er i udvikling og kræver en ny og øget sikkerhedsindsats.
PROSA’s it-professionelle medlemmer er oplagte mål for personrettede simulerede angreb, men de kan lige så oplagt udføre de simulerede angreb. Hvis medarbejdere i hver sin ende af indsatsen for it-sikkerhed trygt skal kunne udføre deres arbejde, skal der ikke herske tvivl om, hvordan det skal foregå. Men fokus på test af enkeltpersoners håndtering af it-sikkerhed kan ramme endnu bredere. Ifølge den seneste trusselsvurdering kan en ubevidst insider eksempelvis »(…) narres til at trykke på et link til en skadelig hjemmeside eller til at åbne et vedhæftet dokument, der indeholder malware «. Vi kan således alle være til fare for it-sikkerheden og potentielt i fremtiden møde en test, der er designet til at få os til at gå i fælden. Derfor foreslår PROSA disse konkrete retningslinjer ved simulerede it-angreb mod enkeltpersoner:
For det første: Betragt it-sikkerhed som et ledelsesansvar. Resultatet af en test bør ikke være en potentiel fyringsgrund. Ligesom med GDPR er it-sikkerhed et ledelsesansvar, der hænger sammen med valg af efteruddannelse af medarbejdere og valg af it-systemer. Det er for nemt at gøre den enkelte medarbejder til problemet, og det løser det helt sikkert ikke.
Spar kolleger for at lyve
For det andet skal man ikke tvinge kolleger til at lyve for hinanden. Konsekvensen bliver den direkte vej til et ubehageligt og utrygt arbejdsklima – både for den, som bliver løjet for, og for den kollega, som bliver bedt om at lyve. Og det simulerer ikke en virkelig situation, hvis en kollega instrueres i at lyve om, hvorvidt vedkommende for eksempel har sendt en mail. Hvis en medarbejder modtager en phishingmail, der tilsyneladende er fra en kollega, er det den helt korrekte tilgang at spørge pågældende kollega, om vedkommende er afsender på mailen. Var mailen blevet sendt af en potentiel hacker, var angrebet ikke kommet videre, fordi medarbejderen havde tjekket oprindelsen og opdaget, at mailen ikke var fra den afsender, den udgav sig for at være.
For det tredje skal man orientere om muligheden for at blive testet. Der er en orienteringspligt om kontrolforanstaltninger på arbejdspladsen, og den bør også gælde for personrettede tests. Den enkelte medarbejder skal ikke på forhånd have at vide, at der vil blive brugt personlige informationer i en test lige præcis rettet med ham eller hende, men der skal orienteres fra ledelsen, hvis en arbejdsplads it-sikkerhed bliver testet, og det ikke har været kutyme. Bevidstheden om, at man kan blive udsat for en test, der baserer sig på personlige oplysninger, vil sandsynligvis øge den kritiske opmærksomhed omkring henvendelser af den karakter. Det bliver ofte brugt som argument for, at det vil påvirke testens resultat, og at man derfor ikke bør orientere på forhånd. Men her har man mistet fokus på, hvad det overordnede formål med disse test er: De skal ikke fælde den enkelte, men de skal højne bevidstheden om social engineering og dermed it-sikkerheden. Derfor modarbejder en forudgående viden om potentielle tests ikke formålet med testen, men det kan afhjælpe forskrækkelsen og tage brodden af at være udvalgt til en sådan test.
For det fjerde bør arbejdsgivere, som en del af en generel orientering om potentielle tests, også sørge for, at medarbejdere får mulighed for at øve sig på de situationer, de kan blive testet i. Når en it-sikkerhedsvirksomhed tester en medarbejder, er det lidt som at være til eksamen – man skal helst bestå. Også i arbejdslivet kan det være en hjælp at have haft mulighed for at gennemgå en situation i trygge rammer først. Og man bliver helt bestemt ikke dårligere af at øve sig.
Intet skjult kamera
Sidst, for det femte, bør man ikke bruge skjult kamera. Alene det at være mål for en test kan være en voldsom oplevelse. Det gælder både, hvis testen baseres på personlige oplysninger og er udformet som en phishingmail, eller hvis der står en ukendt person med falsk id på din arbejdsplads og stiller dig spørgsmål. Under ingen omstændigheder er det nødvendigt at tilføje et skjult kamera til den oplevelse. Hvis medarbejdere reagerer hensigtsmæssigt, for eksempel ved at kontakte en kollega, hvis identitet er blevet brugt i en mail eller ved at ringe til kommunen for at få bekræftet en identitet, så er den kontakt bekræftelse nok på, at testen er bestået. Giver medarbejderen adgang til personfølsomme oplysninger, kan dette også bekræftes af testeren. Der er altså ingen grund til at inddrage et skjult kamera i en i forvejen sårbar situation.
Hvis offentlige arbejdsgivere og private virksomheder vil vise, at de tager både it-sikkerhed og medarbejderes tryghed i arbejdslivet alvorligt, så bør ovenstående retningslinjer være et minimum. Men arbejdet for it-sikkerheden vil aldrig være gjort blot med tests. Når vi som samfund prioriterer it-sikkerhed så højt, at det er nødvendigt med konkrete retningslinjer for at behandle hinanden ordentligt i processen, er det endnu et godt argument for at se på, hvilke systemer vi lader passe på vores data. Hvis vores systemer som udgangspunkt var designet til at passe på personfølsomme oplysninger, ville vi stå langt stærkere it-sikkerhedsmæssigt, end vi kommer til med diverse tests. Desværre viser de seneste politiske udmeldinger et stigende fokus på den enkelte ansattes ansvar og ikke på sikrere it-systemer.