Det er nu, vi skal ruste vores organisationer til en ny verden, hvor vi både arbejder hjemme og på kontoret.
Skrevet af; Thomas Lund-Sørensen, chef for Center for Cybersikkerhed
Vi står over for en ny hybrid virkelighed. Det lyder dramatisk, men det seneste halvandet år har demonstreret, at mange års investering i digitalisering og bredbånd er en styrke for det danske samfund. Det skal vi fortsætte med at udnytte, corona eller ej. Men for at kunne gøre det, så skal vi have fokus på sikkerheden. Selvom mange er glade for igen at mødes fysisk med deres kolleger, så har vi også set, at distancearbejde fungerer – og fungerer bedre end vi havde forventet. Og for mange rummer det også nogle fordele.
Det er derfor, vi taler om en hybrid virkelighed. Vi kommer til at se, at alle, der kan, arbejder både hjemmefra og kommer ind på kontoret. Nogle vil være mere det ene eller det andet sted. Den hybride organisation skal være rustet til begge dele. Man kan ikke forudsætte eller antage, at alle medarbejdere altid er fysisk til stede. Tværtimod bliver man nødt til at forvente, at en stor del af medarbejderne jævnligt vil arbejde hjemmefra. Det medfører også nye samarbejdsformer. Vi skal finde ud af at blande virtuelle og fysiske møder. Vi skal lære, at nogle af vores kolleger kan vi tale fortroligt med ved kaffemaskinen. Andre taler vi med via en mobiltelefon uden for hjemmet eller derhjemme omgivet af nysgerrige børn. Det kommer til at kræve mere sikkerhedsmæssig opmærksomhed og mere end bare en VPN-forbindelse.
Vi bliver nødt til at tænke distancearbejdet ind i vores helt generelle tilgang til cybersikkerhed. Vi skal tage højde for, at den information, som får hjulene til at snurre i vores organisation, er nødt til at være tilgængelig for medarbejdere, der sidder langt fra deres faste plads. Sikker fjernadgang og sikring mod misbrug skal tænkes ind som en forudsætning, når der etableres en arbejdsplads. Selvfølgelig vil der være information, som er så følsomt eller værdifuldt, at det i praksis ikke er muligt at tillade fjernadgang. Derfor er det godt at starte med at implementere det gode råd om at opdele information og adgang til information efter informationens følsomhed. Vi skal vide, hvad der er for følsomt til fjernadgang, og hvad der er OK. Vi skal også vide, hvor begrænsningerne ligger i vores nuværende sikkerhedsforanstaltninger.
Kortlæg jeres it
Det behøver ikke være rent røde tal i risikoregnskabet. Ligesom der kan være fordele og muligheder i forhold til trivsel og fleksibilitet ved at åbne for distancearbejde, så kan de medfølgende sikkerhedskrav også åbne nye muligheder. Det kan være en rigtig god anledning til at få set sikkerheden efter i sømmene. Tiden er løbet fra de ad hoc-løsninger, som mange hurtigt fik stablet på benene, da Covid-19 lukkede landet ned. De viste sig at være en stor hjælp, ikke bare for Danmark som helhed, men også de enkelte virksomheder. Men nu er det tid til at gøre det på den rigtige måde. Nu skal vi have de løsninger på plads, der sikrer medarbejdere, systemer og data og tillader gnidningsfrit samarbejde både hjemmefra og fra domicilet.
Et godt sted at begynde er at få kortlagt, hvordan vi arbejder i dag. Hvilke løsninger har vi? I har sikkert flere, end I er klar over. Mange steder vil man opdage, at “skygge-it” har sneget sig ind. Som for eksempel en cloud-løsning til fildeling, som it-afdelingen ikke kender til. Det udgør en væsentlig risiko. Derfor skal den kortlægges og indgå i risikovurderingen. Hvis den fortsat skal anvendes, skal it-afdelingen kende til den og sikre, at den ikke kommer til at udgøre en risiko.
Adgang, logning og support
Den rette medicin er velkendt. Det handler om at fokusere på helt fundamentale principper. I særdeleshed skal man overveje at bygge sin it-arkitektur, så den sikrer en stram styring med, hvilke personer og applikationer der har adgang til hvilke data og systemer og under hvilke omstændigheder. Man kan kalde det ‘zero trust’, men princippet har i mange år været en hjørnesten i god informationssikkerhed. Logning skal også være på plads. Når et cyberangreb rammer en organisation, så er den største omkostning altid oprydningen. Hvis man ikke kan se, hvad der er sket, skal alt gennemgås. Det tager tid. Det er derfor, der kan gå flere uger med at komme benene igen efter et ransomwareangreb, selvom man har haft en god backup.
Endelig skal man også sikre, at man kan hjælpe sine medarbejdere, selvom de arbejder på distancen og på skæve arbejdstider. Få minutters hjælp fra en it-medarbejder eller en it-supporter kan være dét, der hjælper medarbejderne med rent faktisk at følge de gode råd om it-sikkerhed, som man har givet dem. Men først som sidst handler det om at styrke sikkerhedskulturen i organisationen – noget der måske ikke er det allermest naturlige i en dansk sammenhæng – men med bedre sikkerhedskultur bliver det også lettere at gøre det rigtige – at bruge sin sunde fornuft.
