Af Eskil Sørensen, 25/05/23
DKCERT har i år skrevet anbefalinger til en ny målgruppe i trendrapporten. Hidtil har DKCERTs anbefalinger været henvendt til hhv. ledelsen på uddannelses- og forskningsinstitutioner i Danmark og til de it-ansvarlige. Disse er nu suppleret med forskere, undervisere og teknisk-administrativt personale. Samme målgruppe er også adresseret i sektorens delstrategi for cyber- og informationssikkerhed, som udkom tidligere på året.
- Sikkerhed har jo altid været og er stadig ledelsens ansvar. Det er ledelsen, der ud fra risikovurderingen skal beslutte sikkerhedsniveauet og sætte ressourcer af til at implementere og drive sikkerhedsinitiativerne. Men vi kommer ikke uden om, at medarbejderne også har en væsentlig rolle at spille, når det handler om vurdering af værdien af eget arbejde og beskyttelsen af det, siger chef for DKCERT Henrik Larsen.
Erkendelsen er, at medarbejderne er en faktor og i øvrig altid har været det, både når det handler om beskyttelse af informationer og kompromittering af informationer.
Selv om der ikke er dokumentation for, i hvilken grad medarbejderne er skyld i sikkerhedsbrud på universiteterne, så tales der i sikkerhedskredse om, at ubevidste og uagtsomme medarbejdere står for størsteparten af sikkerhedsbrud generelt set.
- Vi må se i øjnene af vores sektor er meget attraktiv i en international kontekst, når det handler om vores viden, forskningsresultater og den værdi, vi tilfører samfundet, siger Henrik Larsen. Når det har værdi for os, har det også værdi for andre. Ikke kun cyberkriminelle, men måske også i særlig grad cyberspionage.
Derfor er et særligt afsnit med fem anbefalinger dedikeret til forskere, undervisere og det teknisk-administrativt personale. Således betoner en af anbefalingerne vigtigheden af, at forskere mv skal være bevidste om værdien af deres arbejde. I den kontekst er det særligt vigtigt at følge to andre anbefalinger: Man skal lære informationssikkerhedspolitikken at kende og understøtte en kultur, hvor man taler om informationssikkerhed i hverdagen.
Pres udefra
Anbefalingerne til forskere, undervisere og det administrative personale søger at forebygge sikkerhedsbrud, ligesom de vedrører noget af det, som danske universiteter og forskningsinstitioner er kendt vidt og bredt for: Samarbejdet med andre institutioner i ind- og udland. Her kan der – da udenlandske universiteter også mærker cybertruslen – opstå et pres mod danske institutioner om at kunne påvise et højere sikkerhedsniveau, ligesom den danske sektor tilsvarende også kan lægge pres på udenlandske kolleger.
Derfor understreger DKCERT i rapporten, at man også skal tage højde for internationale samarbejdsrelationer i arbejdet med at beskytte informationerne.
Et sidste punkt i anbefalingerne er kommet med på baggrund af den megen snak om Tik-Tok, som faktisk er blevet forbudt på alle arbejdsrelaterede enheder på alle universiteter i Danmark.
Universiteterne kan ikke bestemme, hvad der ligger af apps på private enheder, men derfor er det stadig en tanke værd, om ens arbejde er tilstrækkeligt beskyttet i forhold til værdien – fx. ift. dataindsamlende apps på såvel arbejds- som private enheder, hedder det i anbefalingen.
Trendrapporten er udkommet i dag den 24. maj
Links:
https://cert.dk/sites/default/files/uploads/PDF/DKCERT_Trendrapport_2023_END.pdf
https://cert.dk/da/news/2022-05-25/Trendrapport-2023-paa-gaden