– Brudd på it-­sikkerhets­reglene skjer i alle bedrifter. Som oftest aner ikke de ansatte at de bryter reglene, sier Sofie Nystrøm, direktør for norske CCIS – Center for Cyber and Information Security.

Uklare sikkerhetsregler og regler basert på forbud får mange ansatte til å se etter egne, enklere løsninger – uten at de skjønner konsekvensene.

– Frustrasjon er en viktig driver for å bryte reglene, sier CCIS-direktør Sofie Nystrøm.
– Frustrasjon er en viktig driver for å bryte reglene, sier CCIS-direktør Sofie Nystrøm. (Foto: Gunnar Kopperud)
– Det er lett å kjenne seg igjen. Man sender noen dokumenter man vil lese gjennom på kvelden til en privat epostadresse, eller lagrer dem på en ukryptert minne­pinne eller i en gratis nettlagrings­tjeneste. Alle disse metodene betyr at man gjør dokumentene synlig for industrispionasje eller overvåkning, sier Nystrøm.

Minnepinner er enkle å miste og ukryptert e-post er som å sende postkort i vår fysiske verden.

En undersøkelse analyseselskapet VansonBourne har utført for it-selskapet Aruba Networks viser at 56 prosent av arbeids­tagere har omgått eller kan tenke seg å omgå bedriftens sikkerhetsregler for å få noe gjort. Undersøkelsen er besvart av 12.000 arbeidstagere i 23 land. Kun 250 nordmenn er med i undersøkelsen, men svarene deres vitner om at problemet også er høyst reelt i Norge. Hver fjerde av disse er tilbøyelige til å bryte sikkerhets­reglementet hos arbeidsgiveren.

– Det er nok en del mørketall her. Fire av ti høres på ingen måte mye ut for meg. Mange er nok frustrerte over dårlige eller gamle it-løsninger på jobb som bidrar til strengere regler, og frustrasjon er en viktig driver for å bryte reglene, sier Nystrøm.

Farlig misnøye

Den samme undersøkelsen viser også at seks av ti personer jevnlig låner bort sine mobile dingser.

– Dette er skremmende tendenser. Erfaringsmessig er tallene enda dystrere ettersom mange ikke svarer helt ærlig når spørsmålene går i retning av «har du noen gang gjort noe dumt?», sier Per Torsheim.

Han er en internasjonalt anerkjent ekspert på passord og sikkerhetskultur.

Torsheim mener ansatte sikkerhetsmessig ofte kan deles inn i tre kategorier:

  • De som følger og forstår rutinene.
  • De som ikke kjenner til rutinene.
  • De som aktivt motarbeider dem.

– Det er stadig flere i den nifseste gruppen, nemlig de som hele tiden prøver å gjøre it-avdelingen til skam ved ikke å følge reglene. Skal man redusere størrelsen på denne gruppen, må man legge til rette, ikke forby, sier Torsheim.

For operativ leder for informasjonssikkerhet i Sparebank 1-gruppen, Vidar Eide, er en viktig del av jobben å gjøre brukerne fornøyd.

– En misfornøyd bruker blir fort en trussel fordi de søker etter snarveier utenom reglene, såkalte skyggeregimer. Aller helst skulle vi hatt et system uten tradisjonelt brukernavn og passord, siden brukernavn og passord i seg selv er en risiko, sier Eide.

Sparebank 1-gruppen informerer sine ansatte om konkrete hendelser og nesten-hendelser bedriften har hatt nylig.

– Vi i sikkerhetsavdelingen får ofte innpass for å snakke om sikkerhet på interne arrangementer. Det å belyse konkrete hendelser er veldig bevisstgjørende, sier Eide.

Fra epost til Facebook

Tradisjonelt har epost vært det mediet hvor datakriminelle har spredt sine ondsinnede småprogrammer, men i 2014 ble sosiale medier en langt større distribusjonskanal. Man stoler instinktivt på vennene, og det er derfor stor sjanse for at man trykker på en lenke en venn tilsynelatende har lagt ut på Facebook.

Falske nakenbilder av Justin Bieber, løfter om gratis flybilletter eller melding om at en venn har tagget deg i en video på Facebook. Denne fremgangsmåten, for å få deg til å klikke på lenker som leder til virus, er firedoblet i Norge det siste året. Det viser en rapport fra sikkerhetsselskapet Symantec. Vanligvis er det bedriften du jobber i, som er målet.

– Nettkriminelle er i utgangspunktet late, de foretrekker automatiserte verktøy og uvitende forbrukere til å gjøre det skitne arbeidet, sier Kevin Haley, direktør for Symantec Security Response.

90 prosent av all nettkriminalitet i sosiale medier blir spredt av intetanende brukere, ifølge Symantec.

Ansatte som bruker jobbmobilen til å surfe på sosiale medier, utgjør den største trusselen.

Ifølge Symantec er antall målrettede dataangrep mot norske bedrifter firedoblet det siste året. Fra 2013 til 2014 steg Norges andel av alle målrettede angrep i verden fra 0,15 prosent til 0,59 prosent. Målrettede angrep betyr angrep med formål om å trenge inn i en bedrifts datanettverk.

– Det er viktig for alle bedrifter å ha sikkerhetsregler og rutiner på plass, men det er like viktig å lære opp de ansatte i hvorfor man har dem og hvordan man tenker sikkerhet, sier Torsheim.

 (Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.