NorSIS

Mange arbeidstakere varsler ikke når de gjør feil på nett: Må fjerne skamfølelsen

Del

Mer enn hver tredje nordmann vil ikke eller er usikre på om de vil si fra til IT-avdeling eller lederen sin dersom de går på et svindelforsøk, et løsepengevirus eller et phishingangrep på jobben.

- Det viser at både vi og andre IT-sikkerhetseksperter må tenke oss nøye om før vi retter pekefingeren mot de som gjør feil. I stedet må vi fokusere på at alle kan gjøre feil og fjerne skamfølelsen, og kanskje bruke muligheten til å rose når noen gjør noe riktig. I slike saker blir det dessverre ofte fokus på hva som har gått galt og hvordan det har skjedd, istedenfor hva vi alle kan og bør gjøre for å løse situasjonen, sier seniorrådgiver i Norsk Senter for Informasjonssikring (NorSIS), Hans Marius Tessem. 

Ifølge en representativ undersøkelse YouGov har utført for NorSIS, oppgir 37 prosent av de spurte at de ikke ville eller er usikre på om de ville informert ledelse eller IT-avdeling dersom de oppdaget at de hadde gått på et svindelforsøk, et løsepengevirus eller phishingangrep på jobben. 

– Selv om det er bra at flertallet sier fra, er det fremdeles altfor mange som ikke gjør det. Det kan skyldes noe så enkelt som at mange håper feilen de har gjort skal forsvinne uten at noen får greie på det, at de føler det er flaut eller at de er redde for å få irettesettelser om de sier fra. Dersom det er hva de opplever gjør vi som jobber med IT-sikkerhet noe feil. Vårt mål må være å bli flinkere til å fortelle alle hvordan slike angrep skjer og at de kan være så utspekulerte at selv de mest erfarne eksperter kan la seg lure, sier Tessem.

– Avgjørende at ansatte vet hvem som skal varsles og sier raskt fra

Det er signifikant færre unge respondenter under 34 år (58 %) som oppgir at de ville sagt fra til IT-avdelingen eller ledelsen om denne typen feil enn i de eldre aldersgruppene.  

- For en virksomhet er det helt sentralt å lære sine ansatte å være best mulig i stand til å gjennomskue de vanligste formene for datakriminalitet. Opplæringen bør også inkludere hendelseshåndtering. Den enkelte ansatte må som et minimum vite hvem de skal si fra til og at hun eller han skal si fra raskt når noe skjer. I tillegg må virksomhetene legge til rette for at de ansatte skal kunne gjøre dette. Det betyr at de må ha regler for digital sikkerhet og en plan for hvordan det skal varsles og videre oppfølging av slike varsler. At slike hendelser blir jakt etter syndebukker er ingen tjent med, sier den erfarne cybersikkerhetseksperten.  

Ifølge den nye rapporten «Nordmenn og digital sikkerhetskultur 2020» oppgir hele en av tre nordmenn i arbeid at deres arbeidsplass ikke har eller de vet ikke om virksomheten har regler for digital sikkerhet. Det tyder på at mange har en jobb å gjøre. Enten med å få på plass slike regler eller å kommunisere sine regler til sine ansatte. 

– Si fra og kutt din internettilkobling 

Når feilen allerede er begått er det viktig med riktig hendelseshåndtering. 

– Dersom du merker at noe er galt, at du ikke kommer inn i filer, filer endrer navn eller det skjer merkelige ting på maskinen din, så må du varsle om det. Deretter bør du kutte tilkoblingen til internett. Det betyr at du må trekke ut nettverkskabler og skru av WiFi, råder Tessem.

Ifølge «Mørketallsundersøkelsen 2020» fra Næringslivets sikkerhetsråd tok det en dag eller mer før tre av ti sikkerhetsbruddtilfeller ble oppdaget. På den tiden kan det skje svært mye skade, ifølge Tessem.

– Gode rutiner og en god kultur for varsling er helt avgjørende for å redusere skadene etter et angrep. Det er et ledelsesansvar å få på plass dette. Vi må for all del unngå å gi dem som har foretatt feilen en følelse av skam eller at de føler seg dumme. De som sier fra om egne feil raskt er de ekte heltene, understreker seniorrådgiver i NorSIS, Hans Marius Tessem.

Nøkkelord

Bilder

Om NorSIS

NorSIS
NorSIS
Teknologivn. 22 (bygg A)
2815 Gjøvik

(+47) 40 00 58 99http://www.norsis.no

Norsk senter for informasjonssikring (NorSIS) er en uavhengig organisasjon som arbeider for økt kunnskap om og forståelse for informasjonssikkerhet.

Formålet til NorSIS er å bidra til at informasjonssikkerhet blir en naturlig del av målgruppenes hverdag. Dette oppnår vi gjennom bevisstgjøring om trusler og sårbarheter, opplysning om konkrete tiltak og påvirkning til gode holdninger. Senterets definerte hovedmålgruppe er norske virksomheter i privat og offentlig sektor. Aktiviteten er særlig rettet mot små og mellomstore private virksomheter og kommunesektoren, så vel som den enkelte innbygger.

Følg saker fra NorSIS

Registrer deg med din epostadresse under for å få de nyeste sakene fra NorSIS på epost fortløpende. Du kan melde deg av når som helst.

Siste saker fra NorSIS

I vårt presserom finner du alle våre siste saker, kontaktpersoner, bilder, dokumenter og annen relevant informasjon om oss.

Besøk vårt presserom