Norske arbeidstakere omgår sikkerhetssystemer for å få jobben gjort

Hva ansatte kan om IT-sikkerhet, og hvordan de forholder seg til temaet, er et sentralt spørsmål for de aller fleste arbeidsgivere i både privat og offentlig sektor. I en fersk undersøkelse har teknologiselskapet Cisco spurt 1500 arbeidstakere i seks land, inkludert Norge, Sverige og Danmark, om deres forhold til IT-sikkerhet på arbeidsplassen.

– Mennesket er det svakeste punktet når det kommer til IT-sikkerhet. Dagens nettverksinfrastruktur er godt beskyttet, og derfor går angriperne som regel etter menneskene når de skal få tilgang til et system de egentlig ikke skal inn i. Gode opplæringsrutiner, ansvarsfordeling og infrastruktur henger sammen, og blir derfor kritisk for å ivareta sikkerheten på arbeidsplassen, sier Leif Sundsbø, sjef for cybersikkerhet i Cisco Norge.

Sårbare for cyberangrep
Blant de norske respondentene i undersøkelsen svarer over halvparten (53 prosent) at de ofte må arbeide rundt sikkerhetssystemene for å få jobben gjort. Til sammenligning svarer kun 29 prosent av våre svenske naboer det samme.

– Sikkerhet på arbeidsplassen krever kunnskap, og det faktum at så mange norske arbeidstakere omgår sikkerhetssystemer for å få jobben sin gjort er bekymringsfullt. Sviktende sikkerhetsrutiner kan gjøre oss ekstra sårbare for trusler utenfra. Et cyberangrep vil kunne slå ut både dataenheter, informasjonssystemer og annen livsviktig digital infrastruktur, sier Sundsbø.

Hybrid-kontoret kan føre til snarveier
På arbeidsplassen fungerer arbeidstakerne alltid som den «første forsvarslinjen» i
sikkerhetssystemet, men i en hybrid arbeidshverdag jobber mange fra andre steder enn sikre nettverk. Dette kan by på store utfordringer for bedriftene, ifølge sikkerhetssjefen.

– På hybrid-kontoret er det ofte enklere å ta snarveier, og omgå sikkerhetssystemene fordi man sitter utenfor bedriftsnettverket og ikke alltid har kollegene sine rundt seg. Mange bedrifter har teknologien og infrastrukturen på plass, og multifaktorautentisering (MFA) er eksempelvis en svært effektiv måte å gjøre systemet sikrere. Likevel er det fortsatt mange virksomheter og organisasjoner som er sløve med å ta det i bruk.

I undersøkelsen skiller Norge seg positivt ut når det gjelder opplæring i cybersikkerhet. Hele 73 prosent sier at de har mottatt sikkerhetstrening under pandemien. Blant svenske arbeidstakere er det kun 51 prosent som har fått sikkerhetsopplæring på jobb.

– Vi har fortsatt en lang vei å gå før vi kan si at de aller fleste arbeidstakere jobber på en sikker måte. Den gode nyheten er at sikkerheten ikke trenger å gå på bekostning av brukervennlig infrastruktur – du kan ha begge deler. Det er uansett gledelig å se at mange virksomheter har gjort betydelige grepfor å tilrettelegge for gode sikkerhetsrutiner også fra hjemmekontoret.

Sundsbø mener arbeidsgivere bør investere i tre hovedområder for å ivareta sikkerheten på
arbeidsplassen:

• Opplæring og trening: Kunnskap om cybersikkerhet er viktig for hele organisasjonen. Både for å kartlegge mulige trusler, men også for å forhindre fremtidige angrep. De fleste av oss bruker eksempelvis multifaktorautentisering når vi logger inn i nettbanken – hvorfor glemmer vi ofte å bruke det på jobb?
  
  
• Sikker og brukervennlig infrastruktur: Investeringer i sikker infrastruktur og programvare er nødvendig, men i en hybrid arbeidshverdag bør virksomheter også ha en fullstendig IT-sikkerhetsstrategi for hele organisasjonen. Arbeidsgivere må gjøre det enkelt for sine ansatte å følge reglene ved å sette opp en infrastruktur som både er lett å vedlikeholde og enkel å bruke.
  
  
• Felles ansvar: IT-sikkerhet angår alle, og er ikke bare IT-avdelingen og ledelsen sitt ansvar. Arbeidsgivere har likevel et spesielt ansvar å sørge for at sikkerhetsrutiner følges opp, og for å bevisstgjøre sine ansatte på bruken av sikkerhetsløsninger i organisasjonen.

Norske nøkkeltall fra undersøkelsen:

• Over halvparten (53 prosent) sier at de må arbeide rundt sikkerhetssystemene for å få jobben gjort.
• Kun 1 av 2 arbeidstakere sier at deres arbeidsgivere tar cybersikkerhet på alvor.
• 1 av 2 mener at cybersikkerhet er et felles ansvar i organisasjonen, men at IT-avdelingen og ledelsen bør ha hovedansvaret.
• 73 prosent sier at de har fått sikkerhetsopplæring under pandemien.

Undersøkelsen er nylig gjennomført av Censuswide på vegne av Cisco. 1500 arbeidstakere fra seks land, inkludert Norge, Sverige og Danmark deltok i undersøkelsen.