Mange arbeidstakere varsler ikke når de gjør feil på nett
Mer enn hver tredje nordmann vil ikke eller er usikre på om de vil si fra til IT-avdeling eller lederen sin dersom de går på et svindelforsøk, et løsepengevirus eller et phishingangrep på jobben.
— Det viser at både vi og andre IT-sikkerhetseksperter må tenke oss nøye om før vi retter pekefingeren mot de som gjør feil. I stedet må vi fokusere på at alle kan gjøre feil og fjerne skamfølelsen, og kanskje bruke muligheten til å rose når noen gjør noe riktig. I slike saker blir det dessverre ofte fokus på hva som har gått galt og hvordan det har skjedd, istedenfor hva vi alle kan og bør gjøre for å løse situasjonen, sier seniorrådgiver i Norsk Senter for Informasjonssikring (NorSIS), Hans Marius Tessem.
Ifølge en representativ undersøkelse YouGov har utført for NorSIS, oppgir 37 prosent av de spurte at de ikke ville eller er usikre på om de ville informert ledelse eller IT-avdeling dersom de oppdaget at de hadde gått på et svindelforsøk, et løsepengevirus eller phishingangrep på jobben.
– Selv om det er bra at flertallet sier fra, er det fremdeles altfor mange som ikke gjør det. Det kan skyldes noe så enkelt som at mange håper feilen de har gjort skal forsvinne uten at noen får greie på det, at de føler det er flaut eller at de er redde for å få irettesettelser om de sier fra. Dersom det er hva de opplever gjør vi som jobber med IT-sikkerhet noe feil. Vårt mål må være å bli flinkere til å fortelle alle hvordan slike angrep skjer og at de kan være så utspekulerte at selv de mest erfarne eksperter kan la seg lure, sier Tessem.
Det er signifikant færre unge respondenter under 34 år (58 %) som oppgir at de ville sagt fra til IT-avdelingen eller ledelsen om denne typen feil enn i de eldre aldersgruppene.
- For en virksomhet er det helt sentralt å lære sine ansatte å være best mulig i stand til å gjennomskue de vanligste formene for datakriminalitet. Opplæringen bør også inkludere hendelseshåndtering. Den enkelte ansatte må som et minimum vite hvem de skal si fra til og at hun eller han skal si fra raskt når noe skjer. I tillegg må virksomhetene legge til rette for at de ansatte skal kunne gjøre dette. Det betyr at de må ha regler for digital sikkerhet og en plan for hvordan det skal varsles og videre oppfølging av slike varsler. At slike hendelser blir jakt etter syndebukker er ingen tjent med, sier den erfarne cybersikkerhetseksperten.
Ifølge den nye rapporten «Nordmenn og digital sikkerhetskultur 2020» oppgir hele en av tre nordmenn i arbeid at deres arbeidsplass ikke har eller de vet ikke om virksomheten har regler for digital sikkerhet. Det tyder på at mange har en jobb å gjøre. Enten med å få på plass slike regler eller å kommunisere sine regler til sine ansatte.
Når feilen allerede er begått er det viktig med riktig hendelseshåndtering.
– Dersom du merker at noe er galt, at du ikke kommer inn i filer, filer endrer navn eller det skjer merkelige ting på maskinen din, så må du varsle om det. Deretter bør du kutte tilkoblingen til internett. Det betyr at du må trekke ut nettverkskabler og skru av WiFi, råder Tessem.
Ifølge «Mørketallsundersøkelsen 2020» fra Næringslivets sikkerhetsråd tok det en dag eller mer før tre av ti sikkerhetsbruddtilfeller ble oppdaget. På den tiden kan det skje svært mye skade, ifølge Tessem.
– Gode rutiner og en god kultur for varsling er helt avgjørende for å redusere skadene etter et angrep. Det er et ledelsesansvar å få på plass dette. Vi må for all del unngå å gi dem som har foretatt feilen en følelse av skam eller at de føler seg dumme. De som sier fra om egne feil raskt er de ekte heltene, understreker seniorrådgiver i NorSIS, Hans Marius Tessem.
(NorSIS/NTB Kommunikasjon)