Offentlige virksomheter må skjerpe sikkerhetskulturen

Kai Roer er daglig leder i CLTRe

Kai Roer er daglig leder i CLTRe Foto:

Av
DEL

LeserbrevDette er et debattinnlegg, skrevet av en ekstern bidragsyter. Innlegget gir uttrykk for skribentens holdninger.De siste ukene har både sykehuset og kommuner i Innlandet blitt utsatt for omfattende dataangrep. Sikkerhetskulturen i kommuner og resten av offentlig sektor er for dårlig. Dette er et globalt problem som det haster å gjøre noe med.

I løpet av kun en drøy uke ble det kjent at Sykehuset Innlandet, sju kommuner i Innlandet og Stortinget var blitt utsatt for dataangrep. Hvordan angrepene har skjedd og hvilke sårbarheter som ble utnyttet er foreløpig i mindre grad kjent. Angrepet mot innlandskommunene vet vi skjedde gjennom e-post.

Uavhengig av om dataangrep skjer som phishing, gjennom lenker eller vedlegg med skadevarer, eller ved utnyttelse av svakheter i IT-systemene, er fellesnevneren at virksomhetens sikkerhetskultur kunne vært bedre. For dårlig regelverk, lite opplæring eller svak etterlevelse av normer og regler, er alle eksempler på svikt i en sikkerhetskultur. Så selv om det investeres i verdens sikreste system, hjelper det lite hvis det ikke samtidig investeres i å utvikle forståelige rutiner og å lære opp medarbeiderne. Vi i CLTRe og KnowBe4 har analysert svar fra mer enn 120 000 medarbeidere i virksomheter over hele verden. Flere enn 9 av 10 virksomheter har det vi definerer som en moderat sikkerhetskultur. Dette er urovekkende, fordi nær alle kjente tilfeller av datakriminalitet har skjedd ved å utnytte sårbarheten enkeltmedarbeidere utgjør.

Særlig skremmende er det at offentlige virksomheter gjør det dårlig. I kommuner og andre offentlige virksomheter blir stadig flere tjenester og data tilgjengelig via nettet, for å øke brukervennligheten. Virksomhetene forvalter sensitiv data, både samfunnsrelatert informasjon, men også personopplysninger. For å sikre informasjonen best mulig, må også sikkerhetskultur-arbeidet intensiveres. Skalaen i vår analyse går fra 0 til 100. Med en score på 71 har offentlig sektor det vi definerer som en moderat sikkerhetskultur og de har en lang veg å gå for å komme opp til en god sikkerhetskultur, som krever en score på minst 80.

Vi vurderer virksomheters sikkerhetskultur på dimensjonene holdning, atferd, kognisjon, kommunikasjon, normer, ansvar og etterlevelse. Normer, ansvar og kognisjon peker seg ut som områdene offentlig sektor særlig må forbedre seg på. Offentlig sektor scorer 69 på normdimensjonen, som måler forståelsen av en organisasjons uskrevne regler og retningslinjer. På ansvarsdimensjonen scorer de også 69, noe som tyder på manglende eierskapsfølelse blant de ansatte når det gjelder å bidra til å sikre organisasjonen.

Likevel har offentlig sektor størst forbedringspotensial på kognisjon, det vil si bevissthet rundt sikkerheten i virksomheten. Med en score på 67 er dette sektorens laveste score. Dette er en klar indikator på at det er behov for mer opplæring i sikkerhetsbevissthet. Kognisjonsscoren vil sannsynligvis bedres når ansatte i kommuner og andre offentlige virksomheter blir mer bevisste på behovet for gode nettsikkerhetsvaner, og innvirkningen oppførselen til den enkelte medarbeider kan ha på lokal eller nasjonal sikkerhet. Dataangrepene vi nylig har sett bør være en vekker for kommuner og andre offentlige virksomheter, som bidrar til økt bevissthet og fokus på sikkerhetskultur!

Skriv ditt leserbrev her «

DELTA I DEBATTEN! Vi oppfordrer leserne til å bidra med sine meninger, både på nett og i papir

Artikkeltags