Hvordan takler offentligt og privatansatte informationssikkerheden?

Mathias DitlevViden

offentlig ansat

Digitaliseringsstyrelsen har bedt DKCERT om at udarbejde rapporten ”Danskernes Informationssikkerhed 2016”, hvor det blandt andet er blevet belyst, hvordan både offentligt og privatansatte håndterer informationssikkerheden på nettet.

669 offentligt ansatte og 630 privatansatte er blevet spurgt om deres vaner vedr. informationssikkerhed. Rapporten er lavet på baggrund af svar indsamlet af Danmarks Statistik i efteråret 2016. 2.284 personer i alderen 18-74 år er blevet spurgt.

Typer af trusler

I rapporten er der blevet spurgt om angreb af skadelige programmer, ransomware, beskeder med links, phishing mails, direktørsvindel og falsk teknisk support.

  • Skadelige programmer

    Skadelige programmer kan være virus eller malware, der angriber, sletter eller forhindre adgang til programmer og filer.

  • Ransomware

    Ransomware betyder at brugerens computer og filer bliver krypteret, så de er ubrugelige, hvorefter bagmændene afkræver brugeren en løsesum for at åbne for tilgangen igen.

  • Beskeder med links

    Beskeder med links er e-mails, sms eller chatbeskeder, der indeholder et link til en side der kan installere virus eller malware på brugerens computer.

  • Phishing mails

    Phishing mails er mails, der lokker brugeren til at klikke på et link til en hjemmeside, hvor de så udsættes for forsøg på at franarre dem personlige oplysninger så som kodeord, bankkonti, kreditkort numre osv.

  • Direktørsvindel

    Direktørsvindel er når en it-kriminel udgiver sig for at være en ledende medarbejder på brugerens arbejdsplads. Brugeren vil typisk være ansat i en position, der giver dem adgang til at overføre penge. Mailen vil som regel indeholde et krav om at overføre penge til f.eks. en kunde eller en ny samarbejdspartner så hurtigt som muligt.

  • Falsk Teknisk Support

    Falsk Teknisk Support er når de it-kriminelle ringer til brugeren og udgiver sig for at være fra f.eks. Microsoft. De påstår at de kan se at brugerens computer har sikkerhedsproblemer, og at de vil guide brugeren igennem en proces for at fjerne disse problemer.
    Reelt vil de have brugeren til at åben for fjernstyringen af pc’en, så de får adgang til at overtage maskinen eller for at installerer skadeligt software, der samler og sender følsomme data.

offentligt ansatte

Offentligt ansatte

Da det ikke er alle offentligt ansatte, der har deres egen computer, stødte rapporten på lidt problemer med vurderingen af disses evne til at afveje, hvorvidt den computer de benytter har været inficeret af virus.

Derfor blev nogle af spørgsmålene kun stillet til dem der har adgang til egen computer, tablet eller telefon. Resten af spørgsmålene blev stillet til alle.

Virus og skadelige programmer

11 procent har oplevet at deres computer har været inficeret af virus eller andre skadelige programmer, mens meget få har oplevet at miste data på grund af dette. Der er også meget få der har mistet data på grund af manglende backup, eller har oplevet at uvedkommende har fået adgang til deres data.

Lidt over halvdelen har meldt disse problemer til deres it-afdeling. Kun omkring 2 procent har været udsat for at få deres tablet eller smartphone inficeret med skadelige apps eller virus.

En stor del af de adspurgte ændrede adfærd efter problemerne. Omkring halvdelen af alle adspurgte har undladt at besøge bestemte hjemmesider, eller har undladt at dele oplysninger om dem selv på sociale netværk. Overvejende har de fleste undladt at åbne mail fra ukendte, og over halvdelen har involveret it-afdelingen for at få sikret deres computer bedre.

Ransomware angreb

hvad er ransomware

Der er ikke ret mange, der har været udsat for ransomware angreb, og ingen af dem har betalt for at få deres data tilbage. Ud af dem der sagde ja til at have været udsat for det, var der kun 7 procent, der ikke fik deres data tilbage.

Beskeder med links, phishing mails og direktørsvindel

De fleste undlader at klikke på links i mails fra ukendte, eller falder for phishing mails. Der er heller ikke ret mange, der har hverken modtaget eller er faldet for direktørsvindel, men har i stedet undersøgt om mailen rent faktisk kom fra den påståede kilde.

Sikkerhed generelt

Den offentlige sektor har som regel ret strenge regler vedrørende brugernes it-sikkerhed, og det kan være årsagen til, at de fleste er ret godt beskyttet og ikke oplever de store problemer. I mange tilfælde er der sat begrænsninger op for hvilke sider brugerne kan tilgå, og mail-systemerne er som regel ret aggressive overfor links og deslige i indkommende mails.

Selv om sikkerheden generelt er høj i den offentlige sektor, så benytter mange af brugerne alligevel de samme adgangskoder til de fleste systemer. Helt op til 29 procent har kun ét sæt brugernavn og password til hele systemet, og halvdelen af dem bruger dem også på systemer, der har med følsomme data at gøre.

Godt halvdelen har sat sig ind i sikkerhedspolitikken på deres arbejdsplads, men nogle få undlader at følge reglerne, da det gør det besværligt for dem at udføre deres arbejde.

Mobile løsninger

De mobile løsninger på arbejdspladsen skaber problemer, da en ud af fire, der bruger trådløst netværk når de er væk fra arbejdspladsen, bruger usikre netværk. Under halvdelen bruger VPN-forbindelser til at sikre deres tilgang til nettet.

Sikkerheden kunne godt være højere, men det er også et krav at medarbejderne kan udføre deres daglige arbejde uden alt for meget vrøvl, og derfor bliver der tit slækket på sikkerheden for at gøre deres arbejdsdag nemmere.

Privatansatte

Privatansatte overlader som regel installation af antivirusprogrammer, firewall og backup til firmaets it-afdeling. Derfor er spørgsmålene rettet mest mod den del af deres opførsel, der kunne udgøre en trussel for sikkerheden. De adspurgte blev instrueret i kun at fortælle om hvad de gør i deres arbejdstid.

Ligesom hos de offentligt ansatte, er det ikke mange der har været udsat for decideret at miste data på grund af virus, manglende backup eller ransomware.

Mobil sikkerhed

Privatansatte er mere påpasselige med at bruge it-sikkerhed når de ikke er på kontoret. Dvs. at der er en højere procentdel, der bruger VPN i forbindelse med deres arbejde, når de er på farten. Halvdelen anvender trådløse netværk når de er væk fra arbejdspladsen, og 33 procent af dem bruger ukrypterede og dermed usikre trådløse netværk.

Falske tekniske support-opkald

Når det gælder falske tekniske support-opkald, er begge grupper meget opmærksomme på ikke at falde for den slags opkald og langt de fleste smækker røret på med det samme.

Passwordsikkerhed

En tredjedel genbruger passwords og kun 8 procent bruger en password manager, hvilket er omkring det samme som for de offentligt ansatte.

IT-sikkerhedsregler

Over halvdelen har sat sig ind i arbejdspladsens it-sikkerhedsregler, og kun få dem undlader at følger reglerne.

Ransomware angreb

Ligesom hos de offentligt ansatte, har få været udsat for ransomware angreb, og ingen har betalt den krævede løsesum for at få deres data tilbage.

Konklusion

Alt i alt ser de to grupper meget ens ud, også når det gælder at undlade nogle af de tilrådede sikkerhedsforanstaltninger. Begrundelsen lader til at være ens for begge grupper. Det besværliggører deres arbejde, når de skal rette sig efter de sikkerhedstiltag, der er blevet stillet til rådighed fra arbejdspladsen.

Den almene forebyggelse anses for at være følgende:

  • Opdateret antivirus software
  • Brug af forskellige kodeord
  • Brug af VPN for at sikre forbindelsen
  • En god backup løsning
  • Sund fornuft vedrørende håndteringen af de trusler medarbejderne måtte rende ind i

Mange arbejdspladser burde gøre mere for at sikre virksomhedens data. Samtidig burde de ansatte burde også undervises i hvor galt det kan gå, hvis de sløser med sikkerheden. Derudover burde der også undervises i, hvad de selv kan gøre for at sikre de følsomme data bedre, som de arbejder med.