Henrik Larsen, der er chef for DKCERT, skriver hver måned på Computerworld Online om aktuelle spørgsmål om informationssikkerhed.
Taler danskerne meget om digital sikkerhed? Nej, det kan man ikke sige.
Kun 13 procent af danskerne oplyser ifølge DKCERTs analyse Danskernes Informationssikkerhed 2020, at digital sikkerhed i høj eller meget høj grad er et samtaleemne blandt familie og venner.
Der er ikke de store forskelle i samtaleintensiteten mellem mand og kvinde eller i aldersgrupperne: Uanset om du er mand eller kvinde, gammel eller ung, så taler du stort set lige lidt om digital sikkerhed med din familie og dine venner. Ser man i stedet for på den geografiske fordeling, topper borgere i Region Hovedstaden. Her oplyser 18 pct., at digital sikkerhed i høj eller meget høj grad er et samtaleemne blandt familie og venner. I den modsatte ende finder vi syv pct. af borgerne i Region Nordjylland, for hvem digital sikkerhed i høj eller meget høj grad er et samtaleemne. De tre andre regioner befinder sig dér midt i mellem. Flest (19 pct.), der angiver slet ikke at tale om digital sikkerhed, findes i Region Syddanmark.
I forhold til uddannelsesniveau er der flest samtaler om digital sikkerhed blandt danskere med studentereksamen eller tilsvarende som højeste uddannelse (16 pct.). Bundproppen i den sammenhæng er de universitetsuddannede med 9 pct.
Mere interessant er det, at dem der i meget høj grad samtaler om digital sikkerhed i langt højere grad er opmærksomme på risikoen for bedrageri og cyberkriminalitet, og de føler sig bedre klædt på i forhold til at beskytte sig mod cyberkriminalitet. 91 pct. af dem, for hvem digital sikkerhed er et samtaleemne, angiver at de i høj/meget høj grad er opmærksomme på risikoen for bedrageri og cyberkriminalitet på nettet.
Så samtalen har altså betydning for sikkerheden.
Er der noget nyt i det? Nej, overhovedet ikke
Det er nærmest en fornærmelse mod Computerworlds velbegavede læsere at fremhæve dette.
For det er da klart, at man taler om det, man interesserer sig for. Og det man interesserer sig for, er man mere opmærksom på og også dygtigere til. Ligesom Computerworlds læsere interesserer sig for det, der står i Computerworld og læser min klumme, fordi de er interesserede i informationssikkerhed.
Hvorfor skriver jeg så om dette?
Det gør jeg, fordi vi igen og igen taler om kommunikation som værende afgørende for højnelse af informationssikkerheden og den digitale sikkerhed. Altså det, som jeg lige har dokumenteret i afsnittene ovenfor.
Så det må vi gøre noget ved
Derfor har vi i år i 2021-udgaven af trendrapporten valgt at sætte fokus på kommunikation.
Trendrapporten er DKCERTs beretning om året, der er gået og vores bud på de trends, der kommer til at være fremherskende i det nye. Vi har flyttet lidt rundt på indholdet i år, bl.a. med en vores vurdering af truslerne mod uddannelses- og forskningssektoren som det primære element i starten af rapporten. Det er altså et forsøg på en forudsigelse – altså trends som vi ser dem ift. sektoren. Denne, trusselsvurderingen, er derfor mest henvendt til universiteterne m.fl., men må da meget gerne læses også af andre. Bagest i rapporten har vi i øvrigt vores mere generelle trends samt vores anbefalinger til imødegåelse af dem. Trends og anbefalinger, som er relevante for alle, der arbejder med informationssikkerhed.
Jeg vil godt fremhæve en af disse trends, som også er relateret til kommunikation: Cybertruslen bliver mainstream. Dette skal forstås på den måde, at forståelsen og bevidstheden om alvoren bliver bredt længere ud, og at der bl.a. bliver tilført flere midler til området. Det har vi allerede set med Industriens Fonds cyberindsats, som deler penge ud til projekter, og hvor fx Danish Hub for Cybersecurity blandt andet faciliterer videndeling.
Når det regner på præsten
Det i sig selv skaber en masse at tale om i cybersikkerhedsmiljøet; det gør jeg selv og det meget gerne. Det gør også, at generel kommunikation om digital sikkerhed stiger i omfang. Så mere kommunikation om digital sikkerhed er også en trend, men sikrer vi os nu også, at kommunikationen bliver bedre? Er det klogere information, at vi massekommunikerer, skal vi mikrokommunikere, skal vi e-lære os ud af det?
Er der en ligefrem proportionalitet mellem mængden af kommunikation om digital sikkerhed og sikkerhedsniveauet?
Det vil jeg på denne plads ikke gøre mig til dommer over. Jeg vil imidlertid godt slå et slag for, at vi bliver bedre til at tale om den kommunikation, vi laver om informationssikkerhed.
Netop det er en anden årsag til, at vi sætter fokus på kommunikation i vores trendrapport. Det har vi gjort ved at invitere fire i vores netværk til at fortælle os og vores læsere om, hvordan de arbejder med kommunikation. Vi har en fortælling fra Nets, der anvender gamification i deres interne kommunikation. Vi har Erhvervsstyrelsens overvejelser bag anvendelse af værktøjer til at trigge en interesse og handling. Fra Norge fortæller NorSIS om deres arbejde med at skabe engagement hos deres brugere – et engagement, som understøtter, at NorSIS’ kommunikation og budskaber kan komme ud via flere kanaler. Og til sidst er der Datatilsynet, der fortæller om deres tilgang til formidling af GDPR og databeskyttelse – i den åbenlyse erkendelse, at området er tørt for de fleste.
Dette ikke for at sige, at de fire aktører gør det helt rigtige – kommunikation er jo ikke en eksakt videnskab – men for at få fire forskellige bud på metoder og strategier. Dette kan forhåbentlig tjene som inspiration. Ikke kun for de traditionelle aktører inden for cybersikkerhedsmiljøet, men også for de mange inden for kommunikationsbranchen, der før eller siden kommer til at arbejde med informationssikkerhed. For de skal jo hjælpe cybersikkerhedsmiljøet med kommunikationen.
For højere sikkerhed kræver kommunikation og samtale, som vi dokumenterer i Danskernes Informationssikkerhed 2020. En ting er, at vi inden for cybersikkerhedsmiljøet taler meget og mere og mere. Men hvis vi ikke formår at få resten af danskerne med i vores snak, så kan vi tale nok så meget, uden at det hæver sikkerheden hos dem, der er mest sårbare.
For faktum er, at de it-kriminelle har for let spil, som Det Kriminalpræventive Råd og Forbrugerrådet TÆNK for to uger siden konkluderede i deres rapport Digital risikoadfærd. En af anbefalingerne fra den rapport lyder, at der skal oprettes partnerskaber, der i fællesskab kan udvikle og vedligeholde initiativer, der forebygger it-kriminalitet. Der skal laves oplysningskampagner med konkrete handlemuligheder.
Rigtigt gode anbefalinger. Men undskyld, jeg siger det, det har vi hørt før.
Jeg vil derfor tillade mig at komme med en syvende anbefaling
Vi skal ikke alene tale mere om digital sikkerhed, som jeg skriver i min overskrift. Vi skal også tale om, hvordan vi taler om informationssikkerhed. Dette berører rapporten Digital Risikoadfærd lidt, hvor den foreslår, at ”..offentlige myndigheders awarenesskampagner målrettet borgere med henblik på at styrke borgernes digitale sikkerhed (..) med fordel kan lade sig inspirere af virksomheders erfaringer med awarenesskampagner for deres medarbejdere”. Altså – den interne indsats, der laves i virksomhederne og hos myndighederne, kan bruges som inspiration til de borgerrettede indsatser.
Det er en fin begyndelse. Men vi skal have meget mere af det.
For hvis så få taler om informationssikkerhed, jf. rapporten Danskernes Informationssikkerhed 2020, på trods af at det i mediebilledet fylder næsten lige så meget som Corona, vejret og politik, så taler vi måske ikke om det på den rigtige måde?
Det kunne være interessant at få en snak om.
For vi husker jo: Kun gennem samtalen bliver vi dygtigere.
Links:
Bragt i Computerworld den 29. april 2021