Offentlig virksomhet må skjerpe sikkerhet

ANGREP: – Dataangrepet vi nylig har sett ved UiT (bildet) og Riksrevisjonens rapport bør være en vekker for universiteter, helseforetak og andre offentlige virksomheter, skriver Kim Roer.   Foto: Ronald Johansen

debatt

Den siste tida er Universitetet i Tromsø blitt utsatt for datainnbrudd, og Helse Nord kritiseres av Riksrevisjonen for dårlig IKT-sikkerhet. Sikkerhetskulturen i offentlig sektor er for dårlig. Dette er et globalt problem som det haster å gjøre noe med.

Nylig ble det kjent at UiT Norges arktiske universitet er blitt utsatt for datainnbrudd. Det ble kjent dagen etter at Riksrevisjonen omtalte mangler i IKT-sikkerheten til Helse Nord og de andre helseforetakene som svært alvorlige, og bare et par måneder etter dataangrepet mot Stortinget. Hvordan angrepet mot UiT har skjedd og hvilke sårbarheter som ble utnyttet, er foreløpig i mindre grad kjent.

Uavhengig av om dataangrep skjer som phishing, gjennom lenker eller vedlegg med skadevarer, eller ved utnyttelse av svakheter i IKT-systemene, er fellesnevneren at virksomhetens sikkerhetskultur kunne vært bedre. For dårlig regelverk, lite opplæring eller svak etterlevelse av normer og regler, er alle eksempler på svikt i en sikkerhetskultur. Så selv om det investeres i verdens sikreste system, hjelper det lite hvis det ikke samtidig investeres i å utvikle forståelige rutiner og å lære opp medarbeiderne. Riksrevisjonen mener de ansattes sikkerhetsatferd er en viktig årsak til at det har vært mulig å bryte seg inn i IKT-infrastrukturen til helseforetakene, og at opplæring i liten grad er tilpasset den enkeltes arbeidshverdag og utfordringer.

Vi i CLTRe og KnowBe4 Research har analysert svar fra over 200.000 medarbeidere i virksomheter over hele verden. Flere enn ni av ti virksomheter har det vi definerer som en moderat sikkerhetskultur. Dette er urovekkende, fordi nær alle kjente tilfeller av datakriminalitet har skjedd ved å utnytte sårbarheten enkeltmedarbeidere utgjør. Særlig skremmende er det at offentlige virksomheter gjør det dårlig.

Vi vurderer virksomheters sikkerhetskultur på dimensjonene holdning, atferd, kognisjon, kommunikasjon, normer, ansvar og etterlevelse. Normer, ansvar og kognisjon peker seg ut som områdene offentlig sektor særlig må forbedre seg på, og sektoren har størst forbedringspotensial på kognisjon. Det vil si bevissthet rundt sikkerheten i virksomheten, og med en score på 67 er dette sektorens laveste score. Dette er en klar indikator på at det er behov for mer opplæring i sikkerhetsbevissthet.

Vi undersøker om ansatte mener de får opplæring i sikkerhet. 23 prosent i helsesektoren og hele 35 prosent i utdanningssektoren mener at de ikke får god nok opplæring. Dette er åpenbart alt for dårlig, når vi vet hvor viktig det er med god, tydelig og relevant opplæring. Vi undersøker også om ansatte skriver ned eller lagrer passordene sine. 73 prosent i helsesektoren og 65 prosent i utdanningssektoren lagrer ikke passordene sine.

Dette tyder på at mange bruker samme passord på flere tjenester, noe som gjør det enklere for hackere å få tilgang. Dette inntrykket forsterkes når vi ser at 27 prosent i utdanningssektoren og 26 prosent i helsesektoren ikke forstår hvorfor korte og enkle passord gjør det enklere for hackere å bryte seg inn. Når vi vet hvor viktig passordhygiene er for å hindre sosial manipulering, må disse sektorene ta seg sammen.

På universiteter, i helseforetak og i andre offentlige virksomheter blir stadig flere tjenester og data tilgjengelig via nettet, for å øke brukervennligheten. Virksomhetene forvalter sensitiv data, både samfunnsrelatert informasjon, men også personopplysninger. For å sikre informasjonen best mulig, må også sikkerhetskulturarbeidet i offentlig sektor intensiveres.

Ansatte må bli mer bevisste på behovet for gode nettsikkerhetsvaner, og innvirkningen oppførselen til den enkelte medarbeider kan ha på lokal eller nasjonal sikkerhet. Dataangrepet vi nylig har sett ved UiT og Riksrevisjonens rapport bør være en vekker for universiteter, helseforetak og andre offentlige virksomheter, som bidrar til økt bevissthet og fokus på sikkerhetskultur!