Hur utgör varje anställd ett säkerhetshot?
En stor del av säkerhetsbrotten i företag utförs av anställda, enligt Mørketallsundersøkelsen 2020. Bristande säkerhetsmedvetenhet är en av orsakerna till detta. Själv fick jag en riktig knuff när mina kollegor vidtog åtgärder – tack och lov!
Åse Helene Rogne-Hansen
07. februari 2019
Windows-tangenten + L
Att gå in på en kollegas dator utan tillstånd för att bjuda alla i företaget på en hembakad tårta är ett relativt oskyldigt sätt att illustrera vikten av att låsa skärmen. Det var jag som var tvungen att baka en tårta åt mina kollegor på Cloudworks för ett tag sedan. Trots att jag bara skulle gå till kaffeautomaten för att fylla på kontrollerade en kollega om jag hade låst min skärm. Detta upprepade sig tills jag blev en ivrig användare av Windows-tangenten + L. Det är kommandot för att låsa skärmen om du inte redan visste det.
Ansvar som anställd
I ett företag behandlas mycket information som inte får gå förlorad. Det handlar bland annat om personlig information, hälsoinformation, känslig information från börsen och affärshemligheter. Vissa företag går så långt att en anställd blir av med jobbet om han eller hon har blivit påmind om att låsa sin skärm mer än två gånger. Detta är en relativt god indikation på hur allvarligt det är.
Enligt 145 § 2 i strafflagen är det förbjudet att bryta mot ett skydd eller på liknande sätt skaffa sig obehörig tillgång till lagrade uppgifter. För att det ska vara straffbart måste dock informationen vara skyddad med ett lösenord eller liknande.
Varje anställd har ett ansvar för företagets informationssäkerhet. Att låsa sin skärm är bara en av de säkerhetsrutiner som är viktiga för ett företag, och genom att upprepade gånger öka medvetenheten om dessa rutiner minskar det hot som varje anställd utgör.
Säkerhetsöverträdelser utförs av anställda
Mørketallsundersøkelsen 2020, som tagits fram av Norwegian Business Safety Council, visar att en stor del av säkerhetsbrotten utförs av anställda. Rapporten visar att bland de norska företag som ingick i undersökningen var orsakerna till säkerhetsöverträdelser till stor del följande::
- tillfälligheter eller otur
- mänskliga fel
- bristande säkerhetsmedvetenhet
- otillräckliga processer
- befintliga processer som inte följs
Det nämndes också fall där systemen medvetet missbrukades och där illojala anställda fick tillgång till informationen.
Lätt måltavla för attacker
Anställda ser ofta säkerheten som ett hinder för att utföra sitt arbete på ett tillfredsställande sätt och saknar förståelse för logiken bakom säkerhetsreglerna. De ses som den svagaste länken i ett företag och är lätta måltavlor för attacker som social hackning, identitetsstöld, missbruk av åtkomst och liknande. Ändå har de anställda traditionellt sett inte varit en del av prioriteringen i ett företags säkerhetsstrategi. Därför vet ledningen inte hur de anställda kommer att reagera på eventuella attacker, vilket i sig utgör ett stort hot.
Kontrollkraven har ökat
Det är viktigt för ett företag att på ett bra sätt kommunicerar säkerhetskraven till anställda och ledning, och att regelbundet genomföra och kontrollera utbildning som är anpassad till de olika användargrupperna. Kontroller av informationssäkerheten är nödvändiga. Utan detta kan man få allvarliga ekonomiska och rättsliga konsekvenser. Införandet av GDPR har också ökat de krav som ett företag har på kontroll, och myndigheternas mer frekventa användning av sanktioner vid överträdelser förstärker behovet ytterligare.
Våra säkerhetsexperter kan hjälpa ditt företag
På Cloudworks har vi säkerhetsexperter som kan hjälpa ditt företag att kartlägga den nuvarande situationen samt ge förslag på konkreta åtgärder. Vi kan hantera processen med säkerhetsutbildning bland de anställda, samt presentera deras ansvar för ledningen när det gäller företagets säkerhetskontroller.
Kanske är det dags att få detta under kontroll?
