CFCS: Ubevidste insidere er involveret i op mod halvdelen af sikkerhedshændelserne i en organisation

Center for Cybersikkerhed (CFSC) og Politiets Efterretningstjeneste (PET) har udgivet en trusselsvurdering om cybertruslen fra medarbejdere som, bevidst eller ubevidst, truer informationssikkerheden i organisationen. Vurderingen er henvendt til ledelsen ved myndigheder og virksomheder.

Hovedvurderingerne ser således ud:

• Ubevidste insidere kan findes i alle organisationer, og medfører en øget sårbarhed overfor cybertrusler.
• CFCS og PET vurderer, at ubevidste insidere er involveret i op mod halvdelen af sikkerhedshændelserne i en organisation.
• Statslige aktører og cyberkriminelle udnytter ubevidste insidere i forbindelse med cyberangreb mod danske organisationer.
• Bevidste insidere er potentielt til stede i alle organisationer.
• Hovedparten af de bevidste insiderhændelser er ansporet af en konflikt med arbejdsgiveren.
• Uden effektiv adgangsstyring og logning kan det være umuligt at identificere en bevidst insider.

Anbefaling:

Ledelsen bør altid sikre, at der kommunikeres i et klart, tydeligt og forståeligt sprog, så der ikke er tvivl om, hvordan medarbejderen skal håndtere informationssikkerheden. Fremfor alt bør ledelsen være synlig i sin kommunikation af betydningen af informationssikkerhed og sætte fokus på at udbrede kendskabet til informationssikkerhedspolitikken.

Link:

• Trusselsvurdering: Cybertruslen fra bevidste og ubevidste insidere, information fra CFCS (PDF).