Ansatte lukker selv virus indenfor

Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen Informatik om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

For nylig fortalte en ven mig, at han havde fået virus på sin pc. Den var blevet fanget af hans antivirusprogram, så der skete ingen skade. Men han kunne ikke forstå, hvordan pc'en var blevet inficeret.

"Har du dobbeltklikket på nogle vedlagte filer, du har fået tilsendt," spurgte jeg.

"Ja, det gør jeg da så tit," lød svaret.

"Så er du godt nok også selv ude om det," var min første indskydelse. Men lidt eftertanke mildnede reaktionen. For godt nok er det min vens egen uforsigtighed, der bringer ham i uføre. Men kender han overhovedet faren ved at dobbeltklikke på tilsendte filer?

Eksemplet viser, at it-sikkerhed ikke kun er et spørgsmål om teknik. Jeg vil faktisk vove den påstand, at den teknologiske side af it-sikkerhed er langt nemmere at få styr på end den menneskelige. Min vens antivirusprogram virker upåklageligt. Men det kan ikke forhindre ham i at dobbeltklikke på en fil, han har fået tilsendt i en e-mail.

Det er ikke det store problem at installere firewalls og antivirusprogrammer. Det er et lidt større problem at sikre, at de bliver opdateret med de nyeste informationer. Men hvis den funktion kan automatiseres, så det ikke kræver brugerens indgriben, er det også på plads.

Det store problem består i, at de færreste mennesker tænker på it-sikkerhed i deres dagligdag. Og det er meget forståeligt. Ofte ved medarbejderne nemlig ikke engang, hvad deres virksomheds sikkerhedspolitik går ud på.

Se på din egen virksomhed. Hvilke regler gælder for indkommende e-mails med vedhæftede filer? Hvad må medarbejderne bruge deres e-mail på arbejdet til? Hvilke regler er der for brug af web i arbejdstiden?

Mange danske virksomheder kan ikke besvare disse enkle spørgsmål. Derfor kan medarbejderne heller ikke gøre det.

Desværre er det hele ikke klaret med at udarbejde en it-sikkerhedspolitik. Når det er gjort, kommer først den svære opgave: At få medarbejderne til at forstå og følge politikken. Som et første skridt kunne man skrive den ind i medarbejderhåndbogen. Så kunne it-sikkerhed indgå på lige fod med de andre instruktioner, enhver nyansat skal have. For de medarbejdere, der allerede er ansat, kan man starte et kursusforløb.

Og så må virksomheden forberede sig på, at selv det bedste kursus ikke vil forhindre folk som min ven i at dobbeltklikke på alt, hvad der rører sig. Her kan virksomheden bruge teknologiske midler til at mindske skaden, når uheldet er ude. Men fuldkommen it-sikkerhed er en utopi, så længe it skal bruges af mennesker.

Oprindelig bragt i Børsen Informatik den 16. april 2002

Keywords: