AVDEKKER UKJENT KRIMINALITET: Arne Rød Simonsen og Kim Ellertsen i Næringslivets Sikkerhetsråd vil på Sikkerhetskonferansen 28. september presentere Mørketalsundersøkelsen for datakriminalitet og IT-sikkerhet. (Bilde: Trond Heggelund)

- Mange udetonerte sikkerhetsbomber

  • datatele

- Generelt sett har bruk av organisatoriske tiltak ikke utviklet seg i tråd med virksomhetenes trusseleksponering, sier daglig leder Kim Ellertsen i Næringslivets Sikkerhetsråd (NSR).

Ingen er trygge

- Blant store virksomheter har de fleste, rundt 95 prosent, retningslinjer for ansattes bruk av IT, men bare hver fjerde blant de minste virksomhetene har det. Jeg frykter at dette utgjør mange udetonerte sikkerhetsbomber i forbindelse med ansattes bruk av IT og internett, sier Ellertsen.

Tallene han viser til er fra den siste Mørketallsundersøkelsen om datakriminalitet og IT-sikkerhet. Kun 40 prosent av de spurte bedriftene i undersøkelsen har imidlertid gjennomført opplæring av ansatte i sikker bruk av IT.

- Virussaken i DnB Nor, og måten de angivelige sikkerhetsbruddene ble gjort på, viser at selv store bedrifter med sikkerhetsregler er veldig sårbare, sier Ellertsen.

Venter flere saker

Han tror at det i tiden fremover vil komme flere andre saker som avdekker at bedrifter har ansatte som ikke har fulgt sikkerhetsreglene eller at bedriften ikke har hatt noen sikkerhetsregler overhodet.

Sikkerhetseksperten Ellertsen advarer nå små- og mellomstore bedrifter mot å ta for lett på sikkerhetsregler for bruk av IT og internett. Han mener det raskt kan føre til mye problemer, samt at bedriftene står svakt rent juridisk ved eventuelle arbeidsrettssaker.

Få mister jobben

Som tidligere statsadvokat, er Ellertsen kjent med kun én sak der en ansatt i et større konsern med Norgeskontor har fått sparken direkte for å ha brutt sikkerhetsregler for IT-bruk.

- Vedkommende ble etter det jeg husker ikke politianmeldt, men ble oppsagt på dagen for å ha brutt IT-reglene. Vi anbefaler at alle slike saker anmeldes til politiet, sier NSR-lederen.

- Selv om mørketallsundersøkelsen viser at de største konsernene er gode på sikkerhetsregler, så har vi dessverre mange eksempler på at ikke alle ansatte har oppfattet eller fått presentert disse sikkerhetsreglene på en skikkelig måte. Det nytter ikke å ha gode regler som ligger i en skuff, dersom de det gjelder for ikke er kjent med dem, sier seniorrådgiver Arne Røed Simonsen i NSR.

Må følges opp

Allerede ved ansettelsen, må arbeidstagere gjøres kjent med virksomhetens policy og forventet holdning, mener Røed Simonsen. Han sier at arbeidstager må følges opp med opplæring og bevisstgjøring om sikkerhetsreglene.

- Bedriftene - enten de nå er små eller store - må også vise at den policy de har, følges opp. Hvis ikke svekkes den forventede holdning, sier Røed Simonsen.