En ny undersøkelse fra IT-sikkerhetskonsernet Knowbe4 viser at hver femte ansatt får for dårlig opplæring i IT-sikkerhet. – Hårreisende, mener sikkerhetsekspert.
Undersøkelsen er basert på svar fra over 200 000 respondenter i hele verden. 21 prosent svarer at de får lite eller ingen informasjon om informasjonssikkerhet i virksomheten de jobber i.
– Det er skremmende å se at så mange ikke får tilstrekkelig sikkerhetsopplæring. Hver eneste måned hører vi om store, alvorlige datainnbrudd som muligens kunne vært unngått om alle hadde tatt datasikkerhet på alvor. Ingen eller kun litt informasjon om IT-sikkerhet er ikke holdbart med dagens trusselbilde, og det burde være en selvfølge at de ansatte får god nok sikkerhetsopplæring, sier daglig leder Kai Roer i CLTRe.
Utdanning og offentlig sektor dårligst på sikkerhetsopplæring
Den siste tiden har det vært flere tilfeller av store datainnbrudd, som i Østre Toten kommune. Angrepet på Stortinget i fjor høst er også friskt i minne. Offentlige virksomheter er attraktive mål for hackere. Undersøkelsen fra KnowBe4 Research viser at andelen som får kun litt eller ingen informasjon er aller høyest i offentlig sektor og utdanningssektoren, med henholdsvis 29 og 35 prosent.
– Både utdanning og offentlig sektor scorer dårligere enn snittet. Det er bekymringsfullt når vi vet at de forvalter sensitiv persondata og i tillegg styrer viktige prosesser. Dette handler både om tilliten til viktige samfunnsinstitusjoner og forvaltning av informasjon som det er i alles interesse at ikke kommer på avveie, sier Roer.
– Ansvaret ligger på ledernivå
De ansattes sikkerhetsatferd er en viktig årsak til at det er mulig for kriminelle å lykkes med dataangrep. Nær alle kjente tilfeller av datakriminalitet har skjedd ved å utnytte sårbarheten enkeltmedarbeidere utgjør.
– Ansvaret ligger på ledernivå. Man kan ikke som leder forvente at de ansatte bare skal stole på magefølelsen sin i utsatte situasjoner. Det legger også et unødvendig press på medarbeiderne. De ansatte må få grunnleggende opplæring i virksomhetens sikkerhetsrutiner, hjelp til å forstå og følge dem, og mulighet for jevnlig trening. Det er den aller viktigste måten å unngå dataangrep på, avslutter Roer.
