- Mange udetonerte sikkerhetsbomber
Virussaken i DnB Nor og ansattes brudd på IT-sikkerhetsregler er bare toppen av et isfjell, hevder Næringslivets Sikkerhetsråd.
Av Trond Heggelund Publisert: 28.03.2007 kl. 10:22
- Generelt sett har bruk av organisatoriske tiltak ikke utviklet seg i tråd med virksomhetenes trusseleksponering, sier daglig leder Kim Ellertsen i Næringslivets Sikkerhetsråd (NSR).
Ingen er trygge
- Blant store virksomheter har de fleste, rundt 95 prosent, retningslinjer for ansattes bruk av IT, men bare hver fjerde blant de minste virksomhetene har det. Jeg frykter at dette utgjør mange udetonerte sikkerhetsbomber i forbindelse med ansattes bruk av IT og internett, sier Ellertsen.
Tallene han viser til er fra den siste Mørketallsundersøkelsen om datakriminalitet og IT-sikkerhet. Kun 40 prosent av de spurte bedriftene i undersøkelsen har imidlertid gjennomført opplæring av ansatte i sikker bruk av IT.
- Virussaken i DnB Nor, og måten de angivelige sikkerhetsbruddene ble gjort på, viser at selv store bedrifter med sikkerhetsregler er veldig sårbare, sier Ellertsen.
Venter flere saker
Han tror at det i tiden fremover vil komme flere andre saker som avdekker at bedrifter har ansatte som ikke har fulgt sikkerhetsreglene eller at bedriften ikke har hatt noen sikkerhetsregler overhodet.
Sikkerhetseksperten Ellertsen advarer nå små- og mellomstore bedrifter mot å ta for lett på sikkerhetsregler for bruk av IT og internett. Han mener det raskt kan føre til mye problemer, samt at bedriftene står svakt rent juridisk ved eventuelle arbeidsrettssaker.
Få mister jobben
Som tidligere statsadvokat, er Ellertsen kjent med kun én sak der en ansatt i et større konsern med Norgeskontor har fått sparken direkte for å ha brutt sikkerhetsregler for IT-bruk.
- Vedkommende ble etter det jeg husker ikke politianmeldt, men ble oppsagt på dagen for å ha brutt IT-reglene. Vi anbefaler at alle slike saker anmeldes til politiet, sier NSR-lederen.
- Selv om mørketallsundersøkelsen viser at de største konsernene er gode på sikkerhetsregler, så har vi dessverre mange eksempler på at ikke alle ansatte har oppfattet eller fått presentert disse sikkerhetsreglene på en skikkelig måte. Det nytter ikke å ha gode regler som ligger i en skuff, dersom de det gjelder for ikke er kjent med dem, sier seniorrådgiver Arne Røed Simonsen i NSR.
Må følges opp
Allerede ved ansettelsen, må arbeidstagere gjøres kjent med virksomhetens policy og forventet holdning, mener Røed Simonsen. Han sier at arbeidstager må følges opp med opplæring og bevisstgjøring om sikkerhetsreglene.
- Bedriftene - enten de nå er små eller store - må også vise at den policy de har, følges opp. Hvis ikke svekkes den forventede holdning, sier Røed Simonsen.
Del på Facebook:
Manglende bevissthet hos IT-brukere
- Hendelsene domineres av virus/orm angrep (36 prosent), tyveri av utstyr (26 prosent) og misbruk av IT ressurser (9 prosent).
- I alle disse tilfellene er manglende bevissthet hos sluttbrukere avgjørende for at hendelsene skjer: Privat internettbruk, åpne vedlegg i e-post fra ukjent/tvilsomt opphav, manglende sikring/innlåsing av bærbart utstyr, etc.
- Kun 40 prosent av bedriftene har imidlertid gjennomført opplæring av ansatte i sikker bruk av IT.
Kilde : Næringslivets Sikkerhetsråd/Mørketallsundersøkelsen
Dette er saken
- DnB NOR ble 28.februar rammet av et datavirus som har spist stadig mer plass i datasystemene.
- Viruset herjet rundt på bankens 11.500 pc-er og over 1000 servere, og forårsaket store problemer og kostet mange millioner av kroner i feilretting
- Normans antivirusprogram klarte ikke å hindre viruset å skade banken.
- Nasjonal Sikkerhetsmyndighet, som skal forhindre sabotasje og terrorhandlinger mot Norge, er kjent med saken
- DnB NOR sier at de vil vurdere erstatningskrav mot både Norman og ansatte som kan ha brutt interne sikkerhetsregler for bruk av IT og internett
Ett års abonnement av Teknisk Ukeblad kun 1590 kr!
