Viden
Hvordan takler offentligt og privatansatte informationssikkerheden?
Digitaliseringsstyrelsen har bedt DKCERT om at udarbejde rapporten ”Danskernes Informationssikkerhed 2016”, hvor det blandt andet er blevet belyst, hvordan både offentligt og privatansatte håndterer informationssikkerheden på nettet.
669 offentligt ansatte og 630 privatansatte er blevet spurgt om deres vaner vedr. informationssikkerhed. Rapporten er lavet på baggrund af svar indsamlet af Danmarks Statistik i efteråret 2016. 2.284 personer i alderen 18-74 år er blevet spurgt.
Typer af trusler
I rapporten er der blevet spurgt om angreb af skadelige programmer, ransomware, beskeder med links, phishing mails, direktørsvindel og falsk teknisk support.
Skadelige programmer
Skadelige programmer kan være virus eller malware, der angriber, sletter eller forhindre adgang til programmer og filer.
Ransomware
Ransomware betyder at brugerens computer og filer bliver krypteret, så de er ubrugelige, hvorefter bagmændene afkræver brugeren en løsesum for at åbne for tilgangen igen.
Beskeder med links
Phishing mails
Phishing mails er mails, der lokker brugeren til at klikke på et link til en hjemmeside, hvor de så udsættes for forsøg på at franarre dem personlige oplysninger så som kodeord, bankkonti, kreditkort numre osv.
Direktørsvindel
Direktørsvindel er når en it-kriminel udgiver sig for at være en ledende medarbejder på brugerens arbejdsplads. Brugeren vil typisk være ansat i en position, der giver dem adgang til at overføre penge. Mailen vil som regel indeholde et krav om at overføre penge til f.eks. en kunde eller en ny samarbejdspartner så hurtigt som muligt.
Falsk Teknisk Support
Falsk Teknisk Support er når de it-kriminelle ringer til brugeren og udgiver sig for at være fra f.eks. Microsoft. De påstår at de kan se at brugerens computer har sikkerhedsproblemer, og at de vil guide brugeren igennem en proces for at fjerne disse problemer. <br>Reelt vil de have brugeren til at åben for fjernstyringen af pc’en, så de får adgang til at overtage maskinen eller for at installerer skadeligt software, der samler og sender følsomme data.
Offentligt ansatte
Da det ikke er alle offentligt ansatte, der har deres egen computer, stødte rapporten på lidt problemer med vurderingen af disses evne til at afveje, hvorvidt den computer de benytter har været inficeret af virus.
Derfor blev nogle af spørgsmålene kun stillet til dem der har adgang til egen computer, tablet eller telefon. Resten af spørgsmålene blev stillet til alle.
Virus og skadelige programmer
11 procent har oplevet at deres computer har været inficeret af virus eller andre skadelige programmer, mens meget få har oplevet at miste data på grund af dette. Der er også meget få der har mistet data på grund af manglende backup, eller har oplevet at uvedkommende har fået adgang til deres data.
Lidt over halvdelen har meldt disse problemer til deres it-afdeling. Kun omkring 2 procent har været udsat for at få deres tablet eller smartphone inficeret med skadelige apps eller virus.
En stor del af de adspurgte ændrede adfærd efter problemerne. Omkring halvdelen af alle adspurgte har undladt at besøge bestemte hjemmesider, eller har undladt at dele oplysninger om dem selv på sociale netværk. Overvejende har de fleste undladt at åbne mail fra ukendte, og over halvdelen har involveret it-afdelingen for at få sikret deres computer bedre.
Ransomware angreb
Der er ikke ret mange, der har været udsat for ransomware angreb, og ingen af dem har betalt for at få deres data tilbage. Ud af dem der sagde ja til at have været udsat for det, var der kun 7 procent, der ikke fik deres data tilbage.
Beskeder med links, phishing mails og direktørsvindel
De fleste undlader at klikke på links i mails fra ukendte, eller falder for phishing mails. Der er heller ikke ret mange, der har hverken modtaget eller er faldet for direktørsvindel, men har i stedet undersøgt om mailen rent faktisk kom fra den påståede kilde.
Sikkerhed generelt
Den offentlige sektor har som regel ret strenge regler vedrørende brugernes it-sikkerhed, og det kan være årsagen til, at de fleste er ret godt beskyttet og ikke oplever de store problemer. I mange tilfælde er der sat begrænsninger op for hvilke sider brugerne kan tilgå, og mail-systemerne er som regel ret aggressive overfor links og deslige i indkommende mails.
Mobile løsninger
De mobile løsninger på arbejdspladsen skaber problemer, da en ud af fire, der bruger trådløst netværk når de er væk fra arbejdspladsen, bruger usikre netværk. Under halvdelen bruger VPN-forbindelser til at sikre deres tilgang til nettet.
Sikkerheden kunne godt være højere, men det er også et krav at medarbejderne kan udføre deres daglige arbejde uden alt for meget vrøvl, og derfor bliver der tit slækket på sikkerheden for at gøre deres arbejdsdag nemmere.
Privatansatte
Privatansatte overlader som regel installation af antivirusprogrammer, firewall og backup til firmaets it-afdeling. Derfor er spørgsmålene rettet mest mod den del af deres opførsel, der kunne udgøre en trussel for sikkerheden. De adspurgte blev instrueret i kun at fortælle om hvad de gør i deres arbejdstid.
Ligesom hos de offentligt ansatte, er det ikke mange der har været udsat for decideret at miste data på grund af virus, manglende backup eller ransomware.
Mobil sikkerhed
Privatansatte er mere påpasselige med at bruge it-sikkerhed når de ikke er på kontoret. Dvs. at der er en højere procentdel, der bruger VPN i forbindelse med deres arbejde, når de er på farten. Halvdelen anvender trådløse netværk når de er væk fra arbejdspladsen, og 33 procent af dem bruger ukrypterede og dermed usikre trådløse netværk.
Falske tekniske support-opkald
Når det gælder falske tekniske support-opkald, er begge grupper meget opmærksomme på ikke at falde for den slags opkald og langt de fleste smækker røret på med det samme.
Passwordsikkerhed
IT-sikkerhedsregler
Ransomware angreb
Konklusion
Alt i alt ser de to grupper meget ens ud, også når det gælder at undlade nogle af de tilrådede sikkerhedsforanstaltninger. Begrundelsen lader til at være ens for begge grupper. Det besværliggører deres arbejde, når de skal rette sig efter de sikkerhedstiltag, der er blevet stillet til rådighed fra arbejdspladsen.
Den almene forebyggelse anses for at være følgende:
- Opdateret antivirus software
- Brug af forskellige kodeord
- Brug af VPN for at sikre forbindelsen
- En god backup løsning
- Sund fornuft vedrørende håndteringen af de trusler medarbejderne måtte rende ind i
Mange arbejdspladser burde gøre mere for at sikre virksomhedens data. Samtidig burde de ansatte burde også undervises i hvor galt det kan gå, hvis de sløser med sikkerheden. Derudover burde der også undervises i, hvad de selv kan gøre for at sikre de følsomme data bedre, som de arbejder med.
Når det gælder falske tekniske support-opkald, er begge grupper meget opmærksomme på ikke at falde for den slags opkald og langt de fleste smækker røret på med det samme.