Offentligt ansatte snager i fortrolige oplysninger

It-sikkerheden er under pres i den offentlige sektor.

Men den største trussel kommer hverken fra kriminelle hackere eller afsendere af ’Nigeria-mails’ og andre tvivlsomme forsøg på at lokke følsomme oplysninger ud af ledere og ansatte.

Den største trussel kommer indefra. Fra de offentlige ansatte selv. Deres nysgerrighed, manglende omtanke og en ind imellem alt for travl hverdag.

Det er i hvert fald det billede, en ny undersøgelse fra KMD Analyse tegner på baggrund af en survey blandt offentlige ansatte i stat, regioner og kommuner.

Det er et holdnings- og adfærdsproblem, som ledelserne i de offentlige organisationer er nødt til at tage hånd om.

Lars Neupart
Sikkerhedsdirektør hos KMD

Et billede, som tidligere chef for Politiets Efterretningstjeneste Jakob Scharf genkender.

”Ofte gør man it-sikkerhed til et spørgsmål om ren teknisk sikring. Det er en fejl. Langt de største sikkerhedsmæssige risici kommer fra medarbejderne og dem, der har adgang til oplysningerne,” siger Jakob Scharf, der i dag er direktør i sikkerhedsvirksomheden Certa Intelligence & Security.

Mangel på undervisning
Alt i alt har knap halvdelen af de adspurgte medarbejdere oplevet ’uhensigtsmæssige’ handlinger i forhold til informationssikkerheden på deres arbejdsplads.

I mange tilfælde handler det om deling af brugernavn og password til systemerne eller om, at man som ansat har adgang til fortrolige oplysninger, man ikke har brug for som led i sit arbejde.

Knap hver tiende af de ansatte har sågar oplevet, at kolleger slår fortrolige data op af ren nysgerrighed.

”Det er et holdnings- og adfærdsproblem, som ledelserne i de offentlige organisationer er nødt til at tage hånd om,” siger Lars Neupart, der er sikkerhedsdirektør hos it-virksomheden KMD.

Ifølge ham viser undersøgelsens, at der er et behov i den offentlige sektor for at få forklaret og undervist de ansatte i, hvad der er acceptabel adfærd i omgangen med ofte følsomme oplysninger.

Tid til kulturrevolution
Det skal ikke mindst ses i lyset af, at knap halvdelen af de ansatte i undersøgelsens svarer, at de ikke er blevet undervist i informationssikkerhed.

”Der mangler en balance i tiltagene. Teknologien kan give en vis beskyttelse, men for at komme i mål er man i højere grad nødt til også at undervise og træne medarbejderne i de gældende it-sikkerhedsregler,” siger Lars Neupart.

Ifølge sikkerhedsrådgiver Jakob Scharf er det en kompleks opgave at skabe den rigtige ’sikkerhedskultur’ omkring håndteringen af følsomme oplysninger i såvel offentlige organisationer som private virksomheder.

Tekniske løsninger og informationskampagner over for medarbejderne er langt fra nok.

Det kræver ledelsesmæssig forankring, en løbende dialog og kommunikation med medarbejderne om trusler og risici og så handler det om at opbygge sine it-systemer, så de fungere i den praktiske hverdag.

”Det handler grundlæggende om mennesker. Mennesker der enten uretmæssigt forsøger at skaffe sig adgang til oplysninger eller mennesker, som beskytter oplysninger. Derfor er den menneskelige faktor så vigtig,” siger Jakob Scharf.

Særligt følsomme data
Hos Rådet for Digital Sikkerhed kalder næstformand Anette Høyrup det ”bekymrende,” at næsten halvdelen af de offentlige ansatte ifølge undersøgelsen har oplevet brud på informationssikkerheden.

Samtidig synes hun, at det er ganske alvorligt at hver femte angiver, at de har adgang til fortrolige data, de ikke har brug for. Ikke mindst fordi en tilsvarende survey fra 2014 nåede frem til samme resultat.

”Det er kun de rette personer, der skal have adgang til de rette data. Og det er der åbenbart ikke ryddet op i,” siger Anette Høyrup, der til dagligt er jurist ved Forbrugerrådet Tænk.

Når man ser bort fra episoder, hvor ansatte af ren nysgerrighed slår fortrolige data op, så mener hun ikke, at man kan klandre de offentligt ansatte for at være sløsede i deres omgang med følsomme informationer.

Problemerne handler i højere grad om, at de offentlige it-systemer ofte ikke er indrettet på en måde, som gør dem brugervenlige og sikrer de fornødne begrænsninger på adgangen til data.

”De offentlige myndigheder har særligt følsomme data. Så noget skal gøres for at sikre borgernes tryghed. Men jeg tror samtidig, at der i samfundet er et bredere behov for undervisning i it-sikkerhed og databeskyttelse,” siger Anette Høyrup.

Pressede ansatte
I undersøgelsen fra KMD Analyse angiver otte procent af de offentligt ansatte, at de ikke altid selv overholder reglerne for informationssikkerhed.

Når de bliver spurgt hvorfor, svarer hovedparten, at det går ud over deres produktivitet, eller at reglerne slet og ret er for besværlige.

Det er svar, der springer lige i øjnene på HK Kommunals næstformand, Mads Samsing.

At offentligt ansatte kan finde på at snage i fortrolige oplysninger blot for at få tilfredsstillet deres nysgerrighed er, som han ser det, et særskilt problem.

Det er uacceptabelt og skal stoppes, mener Mads Samsing.

Men han ser først og fremmest udfordringerne med informationssikkerheden, som et resultat af, at de offentligt ansatte sættes under pres af den dagsorden om digitale effektiviseringer.

”Typisk lægger man et sparekrav ind sammen med digitaliseringen. Samtidig øges produktivitetskravene markant. Det giver større risiko for uopmærksomhed, når færre ansatte skal løse opgaverne hurtigere,” siger Mads Samsing.