Fire av ti nordmenn synes det er ubehagelig å si ifra om egne eller arbeidskollegaers brudd på virksomhetens IT-regler. Et flertall av de spurte ønsker nå at det skal være mulig å varsle anonymt om slike hendelser.
Det viser en undersøkelse som NorSIS har fått utført blant drøyt 800 ledere og ansatte i norske virksomheter.
– Dette er et uttrykk for at mange opplever at det er vanskelig å si ifra om brudd på IT-sikkerhetsreglene på en arbeidsplass. Det bør virksomhetene ta på alvor. Åpenhet og god dialog innad i bedriften kan i ytterste konsekvens avgjøre om et cyberangrep blir ødeleggende eller håndtert på en trygg måte som minimerer skadene, sier prosjektleder for Nasjonal Sikkerhetsmåned og seniorrådgiver i NorSIS, Trude Talberg-Furulund.
Lær deg hvordan du kan avsløre svindel, som falske e-poster og hacking: Ta Nasjonal Sikkerhetsmåneds opplæringskurs, som er gratis for alle småbedrifter
Usikkerheten vitner om manglende kompetanse
I oktober arrangerer NorSIS Nasjonal Sikkerhetsmåned i samarbeid med Nasjonal sikkerhetsmyndighet (NSM) og en rekke andre private og offentlige aktører. Dette er en koordinert kampanje i regi av EU som gjennomføres i en rekke europeiske land.
Som en del av kampanjen tilbys virksomheter med under 20 ansatte et opplæringskurs som vil gjøre bedriftene mindre utsatt for ødeleggende dataangrep og stadig vanligere tilfeller av svindel. Dette er gratis for alle bedrifter med færre enn 20 ansatte, og har en gradert prismodell opp til 21 500 kroner for virksomheter med over 500 ansatte.
Ifølge undersøkelsen mener hver fjerde ansatt og hver tredje leder at mange sikkerhetshendelser i virksomheten deres ikke blir rapportert inn. Hele fire av ti ansatte og halvparten av lederne synes det er ubehagelig å si ifra om sikkerhetsbrudd foretatt av navngitte kollegaer eller dem selv.
– Det er interessant at mange ansatte er usikre på hva de ville gjort dersom en kollega ble angrepet via e-post eller på annen måte. Det vitner om både usikkerhet og mangel på kunnskap om grunnleggende datasikkerhet. Vi opplever derfor at en rekke virksomheter har et stort behov for opplæring på dette feltet, sier Talberg-Furulund.
Unngå jakt på syndebukker – sats på opplæring
Den erfarne sikkerhetsanalytikeren Håkon Lønmo i revisjons- og rådgivningsselskapet BDO jobber daglig med å forbedre datasikkerheten i en rekke norske virksomheter. Han kjenner igjen flere av funnene fra NorSIS-undersøkelsen.
– Vi ser rett som det er at ledelseskulturen i en virksomhet gjør at ansatte ikke tør si ifra om denne typen sikkerhetsbrudd. For at en IT-avdeling skal kunne gjøre jobben sin, er de helt avhengige av at det ikke blir en jakt på syndebukker dersom noe skulle skje. Jeg har sett flere eksempler på at høyt kompetente IT-folk selv har gått på forskjellige typer svindel. Det kan skje alle. Samtidig er det helt avgjørende å minimere denne risikoen ved å sørge for opplæring og få opp kompetansen i hele organisasjonen, sier BDO-rådgiveren.