Få gode IT-sikkerhedsvaner – Også derhjemme!

SuperVane

I skrivende stund maj 2020, står vi overfor en gradvis genåbning af samfundet efter den lange nedlukning ifm. corona. Mange skal tilbage på job efter en periode med udelukkende hjemmearbejde, hvor de fleste af os har forsøgt at finde balancen mellem privatliv og et arbejdsliv med et hav af videomøder iført joggingbukser. 

Da statsministeren lukkede landet ned og sendte alle hjem, så var der mange, der fik travlt med at finde ud af, hvordan man sørger for god IT-sikkerhed og databeskyttelse, når man arbejder hjemme. Det er som sådan ikke fordi hjemmearbejde er en ny ting. Mange af os har hele tiden haft mulighed for at tage en dag eller to på hjemmekontoret om måneden. Det har bare ikke været i det omfang og i den skala, som vi nu har været vidne til. 

Alt fra sølvpapirshatte med konspirationsteorier til seriøse institutioner kom hurtigt på banen med deres input til, hvordan man skal bære sig ad, når man arbejder hjemme i længere tid. Førstnævnte kan man som altid se bort fra og sidstnævnte gav en god påmindelse om hvad grundlæggende god adfærd er ift. IT-sikkerhed og databeskyttelse. 

Det er i bund og grund de samme gode råd, som gælder under almindelige omstændigheder, men det lange fravær fra arbejdspladsens trygge IT-sikkerhedsrammer betyder, at selvsamme råd bliver endnu vigtigere at følge. På hjemmekontoret er man i højere grad på egen hånd og hjælpen fra den gode kollega og den IT-ansvarlige kan føles meget længere væk. Derfor er det endnu vigtigere at give opmærksom til sine gode og dårlige IT-sikkerhedsvaner. 

Hvad er en sølvpapirshat?

Når vi bruger ordet sølvpapirshat, så refererer vi til folk, som måske har en lidt større tilbøjelighed til at se konspirationsteorier i deres omverden end vi andre har.

Ordet kommer fra nogle af de første teknofober, som ville undgå at få elektroniske bølger ind i deres hjerne og derfor lavede hatte ud af sølvpapir for at holde de “farlige” bølger ude.

Vanen vs. forståelsen

Vaner er i bund og grund hverdagshandlinger, som vi ikke længere sætter spørgsmålstegn ved, fordi de sidder på rygraden. En handling, som vi ikke kan se formålet med, har vi meget svært ved at gøre til en vane. Tandbørstning er kedeligt, men vi gør det pligtskyldigt 1-2 gange om dagen, fordi vi ikke vil have dårlig ånde og gebis som 50-årig. Vi tror på det virker og er nødvendigt. 

Men når jeg ser skiltet i svømmehallen med instrukser om at vaske hele min krop fra top til tå inden jeg går i vandet OG gentage hele processen, hvis blot jeg skal slå en streg i kummen, så må jeg indrømme, at jeg bliver vanskelig. Jeg tager gerne første tur under bruseren, men efter toiletbesøg klarer jeg den ekstra rengøring med en håndvask og forsøger ellers at lade som ingenting, når jeg sniger mig langs væggene og tilbage i vandet. Jeg ved godt der står noget med 1.000.000.000 bakterier, men jeg synes tallet virker astronomisk overdrevet og jeg laver min egen lille plan for at undgå at følge reglerne. I bund og grund, fordi jeg ikke er overbevist om vigtigheden af at følge dem og min vilje til at gøre den ekstra indsats ikke forekommer at være umagen værd. Den vurdering står selvfølgelig for min egen regning, men tænk over, hvornår du sidst fulgte anvisningen til punkt og prikke, da du stod i dine speedos eller badedragt i svømmehallen. 

Sådan er det også med vaner, når det kommer til IT-sikkerhed og databeskyttelse. Hvis vi ikke forstår vigtigheden af en retningslinje eller et tiltag, så finder vi på vores egne strategier for at undgå at følge anvisningen. Derfor synes jeg det er værd at tage et nærmere kig på tre af de råd, som center for cybersikkerhed offentliggjorde ifm. med nedlukningen af samfundet og se på hvilke misforståelser eller fejlopfattelser, som kan ligge til grund for at man ”undgår” at følge de gode anvisninger. Rådene kan også findes her.

 

GodeRåd

RÅD: Husk at beskytte den fysiske adgang til din arbejdscomputer, når du arbejder hjemme.

I store træk kan beskyttelse af den fysiske adgang til computeren koges ned til at man husker at låse sin maskine, når man forlader den. På en windowsmaskine gøres dette let ved at bruge windowstast+L, når man skal ud efter en kop kaffe. Det er min opfattelse at rigtig mange mennesker ikke helt kan se meningen med dette, fordi man tænker at det virker helt overdrevet at låse sin computer, når man fx går til pause.

Det er jo kun ens gode kollegaer, som er i rummet, og i forbindelse med hjemmearbejde de elskede børn eller ens partner, som er tilstede. Her er det vigtigt at gøre sig klart, at det ikke drejer sig om, at man skal gå og mistænke de velkendte ansigter fra hverdagen for at have ondt i sinde eller være udspekulerede dataspioner. Det drejer sig grundlæggende set om at arbejdscomputeren giver adgang til en masse data og rettigheder, som man har pligt til at beskytte. Særligt persondata, har man pligt til at sikre, at andre ikke får adgang til. Lader man bare computeren stå åben og frit tilgængeligt, så har man i princippet givet alle mennesker i nærheden adgang til al den persondata, også selvom de ikke har tænkt sig at udnytte det. Det er et ikke uvæsentligt brud med reglerne i persondataforordningen, hvor databeskyttelse og adgangsbegrænsning spiller en afgørende rolle. Så det drejer sig altså ikke om overdreven mistanke til sine omgivelser – det drejer sig om principiel beskyttelse af andre menneskers personoplysninger.

RÅD: Hvis din arbejdscomputer ikke holdes opdateret automatisk, så skal du holde den opdateret selv.

Mange tænker på opdateringer, som noget der har til hensigt at forbedre deres oplevelse af at bruge computeren. Måske den bliver hurtigere, programmerne smartere og mere stabile. Det er også en del af sandheden. Ikke alle er fuldt bevidste om, hvor vigtigt et opdateret styresystem og browser er for den grundlæggende sikkerhed på arbejdscomputeren. Selv hvis IT-afdelingen sørger for at computeren automatisk bliver opdateret, så er det ikke sjældent at medarbejderen selv skal tillade, godkende eller gøre noget aktivt for at gennemføre installationen. Muligheden for at udskyde kan være fristende. Hvorfor skal jeg så ulejlige mig med at vente på en tidskrævende genstart og installationsproces, hvis jeg ikke synes computeren ”fejler” noget?

Denne logik kan stå i vejen for den mere principielle årsag. Hvis du ikke gennemfører en opdatering, så risikerer du, at du arbejder videre med åbne sikkerhedshuller i din arbejdscomputer. Denne begrundelse er lidt sværere at feje bort og man vil måske være tilbøjelig til ikke at udsætte opdateringer helt så ubekymret.

RÅD: Brug de værktøjer og kommunikationskanaler, din arbejdsplads stiller til rådighed.

Dette råd er særligt vigtigt, når man arbejder hjemme. Hjemmearbejde udfordrer den måde vi arbejder på normalt, fordi behovet for digitale møder og samarbejdsformer bliver større. Det kan være man i en snæver vending fristes til at bruge Zoom i stedet for det godkendte program til videomøder, fx Teams eller Skype. 

Som privatpersoner er vi vant til at tage nye tjenester og programmer i brug uden bekymring, men når det komme til arbejdscomputeren, så kan samme ubekymrede tilgang få negative konsekvenser. Har man ikke selv sidder med den opgave at skulle godkende et program og vurdere om det kan leve op til de mange strenge krav om persondatabehandling og IT-sikkerhed, så kan det være svært at forstå, hvorfor man ikke bare kan downloade, installere og tage nye programmer i brug. Hvorfor kan man fx ikke bruge sin private dropbox til at dele nogle filer med en kollega? Dropbox er jo ikke nogen useriøs virksomhed. De to grundlæggende årsager til dette er, at arbejdspladsen skal kunne stå 100% inde for sikkerheden af en service, og skal samtidig helst have et 100% overblik over, hvor alle data som organisationen behandler bliver opbevaret. Hvis halvdelen af filerne ligger og roder i medarbejdernes private dropboxes eller private e-mailindbakker, så bliver det en umulig opgave.

Det var et udpluk at de gode råd, som Center for Cybersikkerhed har udgivet. Vi kender de gode råd fra tidligere, men det er en rigtig god ide at gentage dem, når hjemmearbejde spiller så stor en rolle, som det gør i disse tider. Den centrale pointe i denne artikel er, at selvom medarbejderen får besked på at følge de gode råd, så mangler den anden del af ligningen. Forståelsen for HVORFOR det er så vigtigt. Der eksisterer mange fejlkonklusioner, misforståelser og forkerte opfattelser af, hvorfor man bør følge ovenstående anvisninger. Tror man det drejer sig om overdreven mistænkelighed, uvæsentlige opdateringer og bureaukratiske regler for programmer, så er man tilbøjelig til at ignorere de gode råd, og følge sin egen overbevisning. Har man derimod forstået de helt grundlæggende årsager til at følge rådene, er der større chance for, at den enkelte medarbejder tager sit ansvar alvorligt og gør sig ekstra umage.

Mvh. Fredrik Nielsen

CyberPilot – Product Owner

Vil du holdes opdateret på IT-sikkerhed?

Comments are closed.