Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
#Hvadgørduselv?
17. december 2020 udkom Danskernes Informationssikkerhed, en rapport, som vi i DKCert har udarbejdet og udgivet sammen med Digitaliseringsstyrelsen, KL og Danske Regioner. Noget vi har gjort siden 2013.
Rapporten giver en status på borgere og offentligt ansattes oplevelser med, kendskab til og adfærd inden for informationssikkerhed.
Når man sidder, hvor jeg gør, kan der godt være en tendens til, at de mange rapporter, som bruges til at analysere sikkerhedssituationen, bliver inden for cybersikkerhedsmiljøet.
Intet forgjort i det, da vores professionelle opgave er at gøre noget ved cyber- og informationssikkerheden inden for det forretningsområde, vi arbejder i.
Vi vil gerne kende billedet, så vi kan reagere over for det, ligesom vi også gerne vil fortælle omverdenen om det.
Sådan var det oprindeligt tænkt med analyserne – Danskernes Informationssikkerhed – da de blev igangsat i 2013, og fra 2016 fik penge fra den Den fællesoffentlige digitaliseringsstrategi 2016-2020 til at blive fortsat: Iværksæt undersøgelse, analysér, gennemfør awarenesstiltag, evaluer. Gentag processen, se tendenser, udviklinger, går det den rigtige vej?
Således gjort.
Hvor trykker skoen?I 2020 har undersøgelsen på især borgerområdet imidlertid været anderledes.
For første gang har vi mere systematisk spurgt til borgernes efterlevelse af de grundlæggende råd om sikker adfærd, som fremgår af sikkerdigital.dk, som Digitaliseringsstyrelsen og Erhvervsstyrelsen står bag.
Vi har også spurgt ind til risikobevidstheden, hvad der skal til for at få folk til at ændre adfærd, om borgerne advarer hinanden om phishingmails, -sms og telefonopkald osv.
Det har givet os, Digitaliseringsstyrelsen og DKCERT, og alle andre, der læser rapporten, er billede af, hvor den adfærdsmæssige sko trykker.
Her er der et par talmæssige highlights fra borgerdelen af rapporten. (Jeg vender tilbage til de mest interessante observationer om offentligt ansatte i min næste klumme):
- Kun 16 procent af borgerne efterlever i høj eller meget høj grad anbefalingen om kodeord på mindst 12 tegn, og som ikke genbruges flere steder. 56 procent efterlever kun i mindre grad eller slet ikke anbefalingen.
- 42 procent af borgerne efterlever i høj eller meget høj grad anbefalingen om, at kodeord til eksempelvis mail, NemID og diverse sociale medier, alle skal være forskellige. 33 procent efterlever kun i mindre grad eller slet ikke anbefalingen.
- Kun 17 procent af borgerne efterlever i høj eller meget høj grad anbefalingen om brug af passwordmanager. 61 procent efterlever kun i mindre grad eller slet ikke anbefalingen.
- 37 procent af borgerne efterlever i høj eller meget høj grad anbefalingen om brug af to-faktorlogin, hvor det er muligt. 29 procent efterlever kun i mindre grad eller slet ikke anbefalingen.
- 24 procent efterlever i høj eller meget høj grad anbefalingen om at anvende VPN ved brug af trådløse netværk, mens 21 procent slet ikke efterlever anbefalingen. 18 procent kender ikke den ikke og 18 proecet ved ikke.
- 89 procent efterlever i høj eller meget høj grad anbefalingen om at beskytte det trådløse hjemmenetværk med kode. To procent svarer ”slet ikke”.
- 44 procent efterlever i høj eller meget høj grad anbefalingen om at tage sikkerhedskopi af egne data på computeren. 33 procent efterlever i mindre grad eller slet ikke anbefalingen.
- 82 procent oplyser, at de i høj eller meget høj grad efterlever anbefalingen om automatisk opdatering af programmer på computeren. 11 procent gør slet ikke eller kun i mindre grad.
Samlet set er der er intet overraskende i rapportens observationer i forhold til efterlevelse af anbefalingerne.
Rapporten konkluderer følgende: ”Overordnet set tegner der sig et billede af, at de anbefalinger, hvor man ”blot” skal slå en funktion til som fx automatisk opdatering eller beskyttelse af netværk med kode, i højest grad bliver efterlevet. De anbefalinger, der kræver aktive handlinger (fx sikkerhedskopi), kognitiv energi (lange og unikke kodeord) eller teknisk indsigt (VPN og passwordmanager) efterleves sjældnere”.
Hvordan får vi rapporten længere ud?
Spørgsmålet er så, om hvordan vi får distribueret rapporten bredere ud, så det ikke kun er folk inden for cybersikkerhedsmiljøet, der læser den. Så det bliver en rapport, hvis indhold – tallene og analyserne –kan læses af borgerne og måske i sig selv skubbe til en adfærdsændring.
Det er jo trods alt os alle sammen som borgere, tallene handler om, og os som borgere, der er de eneste, der kan gøre noget ved det.
Men på den anden side kan vi ikke forvente, at borgerne læser hele rapporten.
Det har vi sat os for at undersøge.
I undersøgelsen har vi, som man normalt gør i denne slags undersøgelser, stillet spørgsmål til en række baggrundsvariabler: Respondenternes alder, køn, uddannelsesniveau og bopælsregion. Dette for at sikre, at vores respondenter udgør en repræsentativ andel af befolkningen.
Disse baggrundsvariable kan vi imidlertid også bruge i en formidlingsmæssig kontekst. Det begyndte vi på i onsdags med en nyhed på cert.dk under overskriften ”Lange kodeord: Er du blandt de 16 eller 56 procent?”.
Link til artiklen tweetede vi ud med hashtagget #hvadgørduselv?
Ny formidlingsform
I selve artiklen bringer vi en graf over efterlevelse af anbefalingen om lange kodeord krydset med uddannelsesniveau.
Det mest fremtrædende i grafen er, at borgere med folkeskolen som længste uddannelse er bedre til at efterleve anbefalingen om kodeord end de universitetsuddannede.
Således svarer 23 procent af dem med folkeskoleniveau som højest gennemførte uddannelse, at de i høj / meget høj grad efterlever anbefalingen om lange kodeord, der ikke genbruges flere steder, mens det samme gør sig gældende for 15 procent af dem med en universitetsuddannelse.
Tilsvarende er det hele 37 procent af de universitetsuddannede, der slet ikke efterlever anbefalingen, mens det samme gør sig gældende for 24 procent af de folkeskoleuddannede.
Hvorfor det er sådan, skal jeg ikke gøre mig klog på. Vi konstaterer det blot og viser det i en graf.
Pointen med måden at gøre det på er, at vi gerne vil have læserne af vores artikler til at placere sig ift. uddannelsesniveauet og reflektere over egen kodeordsadfærd under hashtagget ”#Hvadgørduselv?”
Jeg er med på, at der findes andre uddannelsesniveauer end folkeskole og universitetet.
Jeg har blot taget yderpunkterne her med for at simplificere pointen og for at skærpe nyhedsvinklingen. Hvis tabloidpressen kan gøre det, så kan vi vel også, når det er i den gode sags tjeneste.
Og sådan vil vi gøre i den kommende tid med en lang række observationer fra undersøgelsen, som vi vil formidle på samme måde.
Jeg vil derfor på forhånd advare vores læsere om, at vi både vil udstille regionale, uddannelses-, alders- og kønsmæssige forskelle i adfærden. Ikke for at genere nogen. Blot for at bruge det i en formidlingsmæssig kontekst.
Men: For at der ikke skal gå ren sensationsjournalistik i det, vil vi i artiklerne linke til de relevante anbefalinger på sikkerdigital.dk, så læserne kan lære mere.
Voxpop-monitorering
Til sidst i artiklerne vil vi stille læseren et spørgsmål, om han/hun vil gøre noget ved egne kodeord efter læsning af artiklen.
Altså en slags voxpop, som vi også kender fra de fleste digitale nyhedsmedier.
På den måde monitorerer vi effekten af en formidlingsform, som vi aldrig har prøvet før, og som vi heller ikke har set anvendt andre steder i forhold til cyber- og informationssikkerhed.
I denne monitorering er vi kun interesseret i at vide om formidlingsmetoden – altså hvor vi krydser de forskellige baggrundsvariable med efterlevelsen af anbefalingerne og fortæller om vores observationer i tekst og graf – kan medføre en ændring i efterlevelse af anbefalingerne.
Måske kan vi derved rykke ved adfærden.
Det bliver interessant at se, om det har en effekt. Men det er naturligvis vigtigt, at det kommer så bredt ud som muligt, og vi får så mange læsere til vores artikler og så mange besvarelser som muligt.
Så jeg håber, du vil være med på formidlingseksperimentet #Hvadgørduselv?
For hvad gør du egentligt selv?
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.