"Det er simpelthen et ømt punkt,” siger Kenneth Weber Andersen fra det digitale konsulenthus VENZO.
De mange databrud, vi ser verden over springer ofte ud af samme sårbarhed. En sårbarhed, som er svær at adressere for mange virksomheder, da pilen peger på det mest værdifulde aktiv i en forretning: de ansatte. For Kenneth Weber Andersen, der er Senior Director og Partner i VENZO, er der ikke tvivl om problemet.
“Analyser viser at 90 % af data-leaks kommer fra brugerne. Det kan både komme tilsigtet eller utilsigtet. Det kan eksempelvis være gennem overdeling af dokumenter, eller uvidenhed om nogle filer er fortrolige eller ej. For eksempel har ca. 60% af brugerne sendt følsomt data til en forkert person. Vi må indse at brugeren er den største risiko,” siger han.
Sikkerhedsarkitekt Simon Lorentzen fra VENZO deler sin kollegas betragtning.
“Man skal ikke læse mange rapporter om databrud for at se det gennemgående tema: Det er mennesker, der begår fejl. I vores arbejde forsøger vi at minimere den risiko. Det er nemt at styre et stykke fortroligt papir, men i en digital hverdag, er det noget sværere for brugere at håndtere deling af filer,” siger Simon Lorentzen.
“Der findes ikke en voldgrav, der er dyb nok”
For at komme de utilsigtede fejl nærmere, tager Simon Lorentzen fat om nældens rod. Der er to ting, der skal bane vejen for en løsning. Den første er at klassificere sine data i virksomheden.
“Det er altid relevant i en virksomhed at opstille styringslister op med dataklassifikation og opbevaringspolitikker. Det er en sikker løsning, som grundlæggende handler om at beskytte IP-rettigheder, organisationens medlemmer og minimere datalæk. Men den menneskelige fejlmargen forsvinder aldrig,” siger han.
Selv om alt data er kortlagt og lagt bag de rette sikkerhedsforanstaltninger, så er sikkerheden ikke meget stærkere end de folk, som anvender den. Og det er kan være svært at adressere de emner.
“Der er en barriere i at tale om de indre trusler. Det er nemmere at tale om udefrakommende farer. Man må aldrig nøjes med at sikre den ydre perimeter. Der findes alligevel ikke en voldgrav, der er dyb nok. Man skal også sikre de indre linjer. Løsningen er ikke at implementere en masse overvågning af ansatte. Det drejer sig om at bruge den data man allerede har, at bruge det man har rigtigt og kigge både på adfærd og trafik,” siger Simon Lorentzen.
Dansk arbejdskultur er i vejen for sikkerheden
Danmark har sin egen kultur, når det kommer til cybersikkerhed. Det kan være en hæmsko for at dække af for de huller, der kan forekomme i et digitalt forsvar.
“Vi er meget tillidsbaserede her i Danmark, og en samtale om sikkerhed bliver hurtigt en skole/hjem samtale med lidt for god stemning og en angst for at sige ubehagelige ting. Vi er meget bange for at mistænkeliggøre hinanden, og at samtalen skal blive ubekvem,” siger Simon Lorentzen, der dog selv har et bud på, hvordan virksomhederne kommer rundt om udfordringerne.
Han mener, at vi skal bruge de eksisterende datapunkter til at blive klogere på brugernes adfærd. Han fordeler selv databrud således med 50% fejltagelser, 20-30% hacking og resten er fejlhændelser. Det er personerne, der skal gøres opmærksomme for at minimere størstedelen af udfordringerne.
“Jeg tror at compliance-træning er yderst effektivt. Det er ikke alle, som kender alle reglerne, og folk vil grundlæggende gerne være dydige mennesker. Især på arbejdet. Derfor er det kun godt at undervise og gøre opmærksom på, hvor der er risiko for fejl. Det kan virke som en opdragende ting, men det er ikke intentionen, og folk tager rigtig godt imod vejledning,” siger Simon Lorentzen.
Data er et arbejdsredskab
For Kenneth Weber Andersen skal sikkerheden dog ikke overskygge adgangen til data, men man skal tænke sig om. Regler og retningslinjer skal være den ramme, som virksomheden arbejder inden for.
“Data og særligt alle SaaS-løsninger drejer sig rigtigt meget om produktivitet, og det drejer sig om at kunne tilgå virksomhedens data. Mange steder besværliggøres brugen og produktivitetsgevinsten fjernes af gammeldags ”voldgravstanke” med VPN og virksomheds-pc’er. Gøres det rigtigt, kan produktiviteten og fleksibiliteten øges samtidig med at sikkerheden øges. For at minimere risici, så kan der laves granulerede databeskyttelsesregler for forskellige scenarier. Når man er ude på et offentligt netværk eller på sine private enheder, kan man for eksempel kun læse data og ikke downloade, printe eller redigere data. Samtidig skal man selvfølgelig sikre sin cloud, eller clouds, da den teknologi introducerer en del overflader at angribe,” siger Kenneth Weber Andersen.
I kombination med de digitale sikkerhedssystemer, der kigger særligt nøje på ændret adfærd ud fra en etableret baseline, vil en uddannelse af brugerne være en løsning på en stor del af problemet. Samspillet er løsningen.
“Vi skal stræbe efter at indbygge en sund fornuft og skepsis hos brugerne. Vi skal give folk redskaberne til at være kritiske og kunne tænke selv. Det er bare én ansat, der skal trykke på linket i en phishing-mail, så har vi balladen. Der kommer systemerne ind og skal overtage brandslukningen. Sikkerhed skal være top of mind,” slutter Kenneth Weber Andersen.
Bliv klogere på de udfordringer, der følger med compliance og datasikkerhed og få inspiration til, hvordan man knækker nøden på VENZOs online webinar den 22. marts 2023. Her går Kenneth Weber Andersen og Simon Lorentzen i dybden med temaet og vil efterfølgende demonstrere nogle af teknologierne, der kan hjælpe, så du får en visuel oplevelse af de tilgængelige løsninger, der kan bekæmpe udfordringerne.
Om VENZO
VENZO er et veletableret og anerkendt dansk konsulenthus med speciale i digital forandring. VENZO hjælper nogle af de største virksomheder i Danmark med at løse komplekse problemer og frigøre deres digitale potentiale med en unik kombination af forretningsstrategier og tech specialister inden for sikkerhed, AI og automatisering, M365, cloud infrastruktur, data platform og appudvikling.