Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Der findes utallige artikler og blogindlæg om NIS2-direktivet, som i disse dage er ved at blive fintunet i EU, før det – forventeligt – bliver vedtaget senere på året.
Det betyder en række nye regler og procedure, som virksomheder skal leve op til – blandt andet helt nye krav til retailbranchen, som min kollega Torben Clemmensen tidligere har skrevet om.
Men hvor nogle dele af NIS2 kun rammer specifikke brancher og industrier, så er der en bestemt del, som kommer til at stille nye krav til uddannelse af personalet i offentlige virksomheder og institutioner.
Det drejer sig om it-sikkerhedsmæssig uddannelse, og imens du nok ånder lettet op og tænker, ”åh, bare det? Det har vi styr på,” så kan jeg garantere dig for, at vi alt for ofte oplever it-afdelinger, der tror, at de er godt med, men it-hygiejne, eller mangel på samme, er en af de største grunde til, at it-kriminelle får adgang til forretningskritiske systemer.
Og det er jo ikke ligefrem den sjoveste nyhed at skulle fortælle sin leder, vel?
Og nu kommer NIS2 og stiller krav til, at virksomhederne har de rette procedure til netop it-sikkerhedsuddannelse.
Er du parat?
Undervisning og træning
Det er overraskende, med alle de andre typer regulativer, krav og love, at der aldrig har været et krav om procedure vedrørende den interne træning og uddannelse af de ansatte.
Mange større virksomheder har interne regelsæt for, hvilke filer ansatte må åbne, hvilke sider de må besøge og så videre, men det bliver sjældent vedligeholdt, tryktestet eller opdateret.
Det er ærgerligt, når nu netop den menneskelige brugerflade er en af de mest benyttede veje ind for it-kriminelle, når de infiltrerer virksomhederne – og vi danskere er særligt udsatte af flere årsager.
Først og fremmest er vi det land i verden, der er længst fremme i forhold til digital infrastruktur. Det har FN netop tilkendegivet, men det betyder desværre også, at vi samtidig er mere udsatte en andre – en ny opgørelse fra energiCERT viser, at vi oplever flere cyberangreb end det krigsramte Ukraine.
Derudover er vi tillidsfulde. For danskere er tillid noget, man mister, modsat mange andre steder i verden noget, som man gør sig fortjent til.
Den tillid er grunden til, at vi er et af de mindst korrupte lande i verden, men samtidig også grunden til, at mængden af succesfulde ransomware-angreb er stigende.
Den drabelige USB-stick
Ovenstående alene burde sætte gang i tankerne om, hvordan it-sikkerhedstræningen kan opdateres for de ansatte – og særligt dem, der sidder yderst i virksomheden. Det gælder eksempelvis sagsbehandlere, receptionister og så videre.
For det handler ikke kun om digital it-sikkerhedshygiejne, men også i den virkelige verden.
I Norge og Sverige er social engineering-angreb langt mere fysiske end i Danmark – og særligt efter corona. Her har vi set angreb, hvor et tilfældigt bud vader ind i en lobby og lader som om, at vedkomne er gået forkert.
Her ”taber” buddet, som er it-kriminel, en USB-stick med en lille label med ordet ”Økonomi.”
Buddet går, og senere bliver USB-pinden opdaget, og bragt op til økonomi-afdelingen, for ”det er jo nok deres.”
Her sætter de USB-pinden i computeren, der helt automatisk bliver infiltreret af en skadelig malware.
Det lyder som en dårlig gyserhistorie i it-afdelingen, men den er sand.
Ligesom vi også for år tilbage, så en dansk kommune blive ramt af ransomware, da en ansat åbnede en skadelig fil.
Heldigvis lykkedes det at oprette kommunens data igen, men den ansatte valgte at åbne computeren igen i den tro, at skaden var stoppet. Og så måtte kommunen lukke ned igen i flere dage.
Dygtige ledere lærer af andres fejl, og derfor er det oplagt at benytte NIS2-direktivet til at få opdateret jeres procedure om it-sikkerhedstræning og uddannelse.
Hvad der kan være logik for burhøns for nogle, strider imod den danske tillid – og det skal trænes væk.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.