Ifølge en ny undersøgelse har it-folk tilsyneladende ikke noget imod at låne deres adgangskoder ud til deres kollegaer.
42 procent af de undersøgte oplyste, at it-folk i deres organisation deler passwords eller adgang til systemer og applikationer.
Den slags genbrug af adgangskoder så man blandt andet under CSC-konflikten.
Undersøgelsen blev udført af Lieberman Software, der spurgte mere end 300 deltagere på sikkerhedskonferencen HP Protect 2011.
Undersøgelsen siger ikke noget om, hvorvidt de adspurgte selv delte passwords, eller om det var kollegaer, der stod bag den sikkerhedsmæssigt set dårlige praksis.
Et par andre bekymrende resultater fra undersøgelsen:
* 26 procent sagde, at en it-ansat misbrugte adgangen til et system til at få ulovlig adgang til sensitiv information.
* 48 procent arbejdede for virksomheder, hvor passwords til vigtige systemer ikke skiftes efter 90 dage.
Måske findes årsagen til adgangsdeling og manglende skift af passwords i den kendsgerning, at 51 procent skulle huske 10 eller flere passwords i deres arbejdsdag.
Der er ingen undskyldninger
Ifølge undersøgelsens ophavsmand er der dog ingen undskyldning for den dårlige sikkerhedspraksis blandt it-folk.
"Password-anarkiet blandt it-ansatte i store organisationer afspejler password-apatien hos topledelsen, hvor der er en nærmest kriminel slap håndhævelse af it-sikkerhedspolitikker," siger Philip Lieberman, chef for Lieberman Software.
Han forudser flere datalæk, hvis it-folk og ledere ikke begynder at tage
sikkerheden alvorligt:
"De fundamentale skødesløse praksis og procedurer som er afsløret i organisationernes it-afdelinger kan koste dem dyrt i de kommende måneder."
"Vi har vedvarende sagt, at grundlæggende sikkerhed inkluderer at lukke for adgangen til systemer med sensitive data for at undgå en trussel indefra. Kun måneder efter Sony, RSA Security og Comodo hacks er situationen den, at store organisationer stadig er i risikozonen."
Han anbefaler, at topledelsen begynder at ofre mere opmærksomhed på den grundlæggende sikkerhed.
"Topledelsen skal være meget mere fokuseret på deres grundlæggende sikkerhedspraksis ellers bliver de tvunget til at undskylde over for aktionærer og kunder for store datatab og efterfølgende skade for virksomhedens omdømme."
"Den simple ubehagelige sandhed er, at topledelsen ikke kontrollerer deres it-sikkerhedsafdelinger nok til at undgå flere massive datalæk."
