It-ekspert: Nyborg- og Varde-sagerne bunder i forkert syn på it-sikkerhed

DEBAT: Kommunerne i Nyborg og Varde hyrede eksterne konsulenter, som skulle teste medarbejderne ved aggressivt at få dem til at bryde it-sikkerhedspolitikken. Det er en forkert tilgang, mener sikkerhedsekspert Mads Schaarup Andersen.

Af Mads Schaarup Andersen
It-sikkerhedsekspert, Alexandra Instituttet

Det kom frem i februar, at kommunerne i Nyborg og Varde havde hyret eksterne konsulenter til at teste medarbejderne ved aggressivt at få dem til at bryde it-sikkerhedspolitikken og tilmed filme det ved hjælp af skjult kamera.

Tilgangen har været kritiseret fra flere sider, og det er kommet frem, at det kan være i strid med arbejdsretten.

Uanset om det er lovligt eller ej, så er det i vores optik en forkert tilgang til it-sikkerhed at kontrollere sine medarbejdere på den måde.

Specielt når man ser på den nuværende it-sikkerhedssituation i Danmark – både i kommuner, andre steder i den offentlige sektor og i mange danske virksomheder.

Der er der mange tiltag, som man kan og bør gøre for at forbedre it-sikkerheden, som ikke er lige så ekstreme som metoderne, der blev brugt i Nyborg og Varde.

Kan bunde i forkert opfattelse
Det bunder sandsynligvis i en forkert opfattelse af årsagen til problemerne med it-sikkerhed.

Det er et symptom, der stemmer meget godt overens med en undersøgelse, som Voxmeter lavede i 2017 for Atea og IBM.

Her svarede de adspurgte danske it-chefer, at de ser medarbejderne som den største trussel mod it-sikkerheden.

Ved at anskue problemet på den måde flytter man ansvaret over på medarbejderen som noget, der skal fikses, og dermed individualiseres og forenkles problemet.

Opfatter man medarbejderen som det primære problem for sikkerheden, så kan tiltag som dem i kommunerne i Nyborg og Varde komme til at virke som den rette løsning.

Det er dog et ekstremt sted at starte med at prøve at forbedre it-sikkerheden, og som vi har set, har det en række meget uheldige menneskelige konsekvenser. 

Problemet er ofte ledelsen
Samtidig er spørgsmålet, om man overhovedet får ret meget ud af sådan en metode.

Faktisk er det ofte hos ledelsen, at problemet ligger, fordi der simpelthen ikke prioriteres og sættes ressourcer nok af til seriøst at arbejde med it-sikkerhed, herunder hvordan it-sikkerheden passer ind i medarbejdernes hverdag.

Der bliver ofte stillet urimelige krav, der besværliggør arbejdet. Konsekvensen er, at medarbejderne sommetider vælger at omgå sikkerhedspolitikken for at kunne udføre deres arbejde tilfredsstillende, og dermed lever de ikke op til it-sikkerheden.

Man glemmer at tage den menneskelige faktor seriøst.

Medarbejdere gør det, der virker for dem. De fleste bryder ikke sikkerhedsprocedurerne, fordi de er ligeglade. De gør det, fordi sikkerhedspolitikken står i vejen for, at de kan udføre deres arbejde tilfredsstillende.

Besværliggør ansattes arbejde
Et af problemerne er, at man ikke tager højde for, at sikkerhed tager tid og går fra medarbejdernes primære arbejdsopgaver.

Gør man ikke det, vil man som medarbejder typisk fokusere på det, som man bliver målt på, og dermed ikke it-sikkerhed.

Det kan se rigtigt godt ud på papiret at have en meget striks sikkerhedspolitik, men det kan, som beskrevet, også have uheldige konsekvenser.

Det kan blandt andet føre til skygge-it, altså anvendelse af it-systemer og værktøjer, der ikke er sanktioneret af virksomheden. Det giver i sidste ende dårligere sikkerhed, da man ikke er opmærksomme på disse.

Der findes nemlig andre og bedre måder at undersøge og forbedre it-sikkerheden i danske kommuner og virksomheder.

Tag udgangspunkt i medarbejdernes arbejde
Man skal i langt højere grad se på, hvad det er for en virkelighed, medarbejderne står i.

Man skal inddrage dem og forstå, hvad det er for nogle udfordringer, de står med i forhold til gældende sikkerhedsprocedure, når de udfører deres arbejde.

Hvis man stiller mere lempelige og realistiske krav, så er der større chance for, at medarbejderne overholder dem.

Dermed får man en bedre sikkerhed i den sidste ende til trods for på papiret en mindre striks sikkerhedspolitik.

Hvis der skal laves tests, skal det ske på en fornuftig, ikkekonfronterende måde, som ikke hænger enkeltpersoner ud, men i stedet peger på et generelt problem.

Det handler om at tænke det menneskelige aspekt ind og tage det seriøst. Det er først, når man gør det, at man får en god it-sikkerhed.

Forrige artikel Byggebranchen: Digitalt byggeri skal gå fra tegnebræt til virkelighed Byggebranchen: Digitalt byggeri skal gå fra tegnebræt til virkelighed Næste artikel Dansk Sygepleje Selskab: Deling af data udfordrer patienternes rettigheder Dansk Sygepleje Selskab: Deling af data udfordrer patienternes rettigheder
S overvejer at genåbne udbuddet for Digital Post

S overvejer at genåbne udbuddet for Digital Post

POSTKASSE: Benny Engelbrecht (S) vil have en garanti for, at danske borgere kun skal tilgå digital post ét sted. En sådan findes end ikke i dag, lyder det fra Sophie Løhde (V), der forsvarer udbuddet.