DN publiserte nylig to artikler som tar opp tilsynelatende uvitende norske arbeidstagere som slurver med IT-sikkerheten, skriver passord ned på post-it-lapper, og til og med aktivt motarbeider virksomheten.
I en av artiklene presenterer Lynx Advokatfirma noen velmente, men mindre gode eksempler på sikkerhetskrav til de ansatte i en IT-instruks. For ordens skyld: Aldri gi bort passordet ditt, ikke til kjæresten, og heller ikke til bedriftens IT-ansvarlig.
Med det ute av veien: Det er enkelt å peke ut de ansatte som kilden til problemer med informasjonssikkerhet i virksomheten. Men dette er misvisende. Det er ledelsens jobb å sikre at sikkerhetskravene er fornuftige og at arbeidstagerne har verktøy tilgjengelig for å gjøre jobben sin på en sikker måte.
La meg eksemplifisere: Man kan ikke forby fildelings- og skytjenester, og så ikke tilby noe sikkert alternativ for å dele filer med andre. Man kan ikke kreve at all konfidensiell informasjon skal krypteres, uten å i det minste forklare hvorfor og hvordan, eller tilby en tjeneste som gjør kryptering så enkelt som mulig.
Man kan ikke kreve at brukeren lager passord med minimum ti tegn, ett spesialtegn, tall og en stor bokstav, for så å be brukeren bytte dette passordet hver 30. dag.
Problemet er ikke kravene i seg selv, men effekten: Man får ansatte som både vitende og uvitende bryter reglene mens de frustrert forsøker å gjøre jobben sin på en best mulig måte.
Dessverre er det mange krav som dytter sikkerhetsbyrden over på deg og meg. Ta for eksempel passord, favorittemaet til mange sikkerhetseksperter. Kravet om bytte av passord med jevne mellomrom er ment til å skulle begrense skaden en eventuell hacker kan forårsake dersom han skulle klare å knekke eller få kjennskap til passordet ditt. Tanken er at dersom du bytter passord ofte nok, så vil tiden han/hun har til disposisjon og dermed skaden utrettet være begrenset.
Problemet er bare at – som mange sikkert kjenner seg igjen i – det er begrenset hvor kreativ man klarer å være hver 90. dag med åtte til ti bokstaver, tall og spesialtegn. Derfor lager man seg systemer.
Jeg får oppdrag som går ut på å forsøke å hacke meg inn i norske virksomheters datasystemer, og jeg ser effekten av disse kravene hver gang: I samtlige oppdrag kommer jeg over mengder av passord av typen «Passord01» og «Vinter2014!». Du trenger hverken være advokat eller sikkerhetsekspert for å gjette hva det nåværende passordet er.
Får man under et oppdrag tak i en database med beskyttede passord, klarer man normalt å knekke 50–80 prosent av passordene på en vanlig pc på ett døgn.
Dermed er den ønskede effekten av alle disse passordbyttene borte. Så hvorfor driver vi fortsatt med det?
Det er det ingen som vet. All forskning på området sier at jevnlig passordbytte har liten til ingen effekt, og legger en uproporsjonal stor byrde på den ansatte og IT-support.
I McKinsey-rapporten om IT-tilstanden i Nav kommer det frem at 17 prosent av alle supportforespørsler som blir løst på mindre enn en time, er relatert til passordbytte. Det betyr at bare i Nav forsvinner det konservativt estimert mange årsverk på IT-support for å resette passord som ansatte har glemt.
Og det er før vi har begynt å regne på tapt tid for de ansatte når de har glemt passord, taster det inn feil, blir midlertidig utestengt fra systemet, og så videre.
Dersom vi regner på den totale årlige samfunnsmessige kostnaden av dette ene sikkerhetskravet, er jeg sikker på at vi kommer frem til en kostnad som er flere størrelsesordener så stor som den årlige kostnaden ved sikkerhetsbrudd i Norge.
Jeg sier på ingen måte at sikkerhetskrav og -tiltak ikke er nødvendige. Tvert imot; som rådgiver livnærer jeg meg av å implementere sikkerhetstiltak i norske virksomheter. Men kravene og tiltakene må være fornuftige og understøtte virksomheten og arbeidstagernes behov for å få jobben sin gjort på en sikker og effektiv måte.
Carsten Maartmann-Moe, avdelingsleder, Transcendent Group Norge AS
Les hele avisen(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.