”Når man svarer på en mail, skal man holde tungen lige i munden”
Hvad du helst have? Den gode nyhed eller den dårlige nyhed?
Ok, så den gode nyhed først: Der sidder nogle rigtigt dygtige netværksteknikere og serverfolk i Viborg Kommunes IT-afdeling.
“Vi har generelt ikke så mange angreb. De forsvarsværker, der er sat op, har vist sig at være tilstrækkelige. Vi er ikke de store katastrofers kommune,” fortæller Christian Aabo. Han er databeskyttelsesrådgiver i kommunen.
Den dårlige nyhed er, at kommunen – ligesom rigtigt mange andre arbejdspladser – har problemer med, at slutbrugerne ikke er opmærksomme nok på, hvilke links de klikker på. Og hvordan de håndterer personfølsomme data.
Det forsøger databeskyttelsesrådgiver Christian Aabo at gøre noget ved. De sidste 12 år har han arbejdet med IT i Viborg Kommune, hvor hans hovedområde er informationssikkerhed.
Usikre e-mails
En af de største udfordringer er sagsbehandlere og andre medarbejdere i kommunen, der ukritisk svarer på e-mails med personfølsomme data direkte til borgernes e-mails hos udbydere som Gmail eller Hotmail.
“Jeg ville ønske, at man var mindre ivrig for at svare på borgernes henvendelser via almindelig e-mail. Det er faktisk en af de største faktorer i informationssikkerheden hos os,” siger han og uddyber:
“Når man svarer på en mail, skal man holde tungen lige i munden. Der er udgangspunktet, at hvis borgerne skriver til os, så må vi som myndighed ikke svare direkte. Mange borgerhenvendelser drejer sig jo om en aktuel sag, og den slags hører til i et sagsbehandlingssystem, hvor det skal journaliseres og svaret sendes til e-boks.”
Derfor laver han awareness-arbejde, så slutbrugerne ændrer adfærd.
“Medarbejderne skal sørge for, at mailen bliver sendt som Digital Post, for så er der en meget stor sikkerhed for, at det rent faktisk er borgeren, der har det tilhørende cpr-nummer, der åbner brevet,” siger Christian Aabo.
Men det er ikke altid nok med gode råd og vejledning. Derfor har han sat et data loss prevention-filter op, der automatisk popper op, når sagsbehandlere forsøger at svare til en e-mailadresse, der ikke har et sikkert post-certifikat.
“Så får de først besked om, at de forsøger at sende til en e-mail, hvor det ikke er krypteret. De kan så vælge at sende alligevel, men det kræver, at de udfylder et felt med en begrundelse.
Den havner så hos mig, og så kan jeg se, om det er en ekstern part, som vi har en aftale med, fx en bank eller hvad der nu måtte være tale om,” fortæller databeskyttelsesrådgiveren.
Hvis en medarbejder sender personfølsomme oplysninger til borgere via ukrypteret post, så får de i første og anden omgang en venlig tilrettevisning af Christian Aabo, men hvis det bliver ved, så bliver sagen mere alvorlig.
“Så er det ikke længere mit bord, men i stedet deres leder, der må tage en snak med dem.”
Et langt, sejt træk
Awareness-arbejdet handler om mange andre emner end de ukrypterede e-mails. Det er også banale problemstillinger, som medarbejdere, der klikker på links i phishing-mails og dermed udsætter organisationen for risiko for mal- eller ransomware. Det er et langt, sejt træk at forbedre IT-sikkerhedskulturen hos personalegrupper, der ikke har en IT-baggrund.
“Mange nyansatte kommer ikke med en forvaltningsmæssig opdragelse, så der er ting, der er nye for dem. Vi optager også kontorelever, som skal lære, hvordan man håndterer og behandler persondata,” fortæller han.
Derfor bruger han meget af sin tid på at informere og oplyse om risici, faresignaler og best practice.
“Man siger jo, at brugerne er det svage led, så hvis man kan styrke deres viden om hvilke links, de ikke skal klikke på, så er man godt på vej. Derfor arbejder vi rigtigt meget med awareness-kampagner, og det er mit indtryk, at der er god respons på det. Vi bilder os ind, at det virker,” siger Christian Aabo.
Mange nyansatte kommer ikke med en forvaltningsmæssig opdragelse, så der er ting, der er nye for dem.
Christian Aabo, Databeskyttelsesrådgiver, Viborg Kommune
Nano learning
Det helt centrale værktøj til det, er to typer af undervisning.
Det ene er obligatoriske videolektioner om IT-sikkerhed og databeskyttelse, som alle nyansatte skal igennem. Det er en del af introduktionen til jobbet. Det skal sikre, at medarbejderne fra start har forståelse for regler og rammer, når man har adgang til store mængder personfølsom data.
Den anden indsats er det, som Christian Aabo kalder nano-learning. Her får alle brugere, fra socialrådgivere og jurister til ledende medarbejdere og byrådsmedlemmer, hver anden uge en e-mail med en ganske kort lektion, der handler om et tema, fx ransomware. Det er korte tekster, der tager tre-fire minutter at læse, og de er typisk krydret med eksempler på, hvor galt det er gået andre steder, så læserne forstår alvoren.
“Jeg kan løbende følge med i, hvor mange og hvem, der har læst teksterne, og det kan vi så bruge til at følge op, hvis der er afdelinger eller områder, der ikke er med,” siger Christian Aabo.
I snit åbner 60-70 procent af medarbejderne de korte kurser og 95 procent af dem, der åbner dem, gennemfører også. Parallelt med det kører Christian Aabo en separat serie kun målrettet lederne, hvor kurserne handler om deres ansvar og handlemuligheder med henblik på at sikre en ordentlig IT-sikkerhedskultur blandt deres egne medarbejdere.
“Ud fra statistikkerne kan vi se, at vi får en god respons og en høj succesrate. Jeg bruger det også til at udvælge, hvilke afdelinger jeg giver et fysisk besøg, hvis de har brug for en pædagogisk håndsrækning. Så tager jeg ud til dem og holder en seance, hvor jeg snakker om informationssikkerhed og nogle af de elementer, der har været i nano-learning-modulerne eller viser dem, hvordan man sender sikker post,” fortæller han.
Til sidst siger Christian Aabo:
“Vi var klar over, at vores tekniske sikkerhed i kommunen var god nok, og at vi er i stand til at håndtere den løbende. Usikkerheden ligger i, at få brugerne til at håndtere persondata på fortrolig vis og indenfor lovens rammer.”
Det arbejde fortsætter Christian Aabo ufortrødent.
\
Skriv en kommentar
This site uses Akismet to reduce spam. Learn how your comment data is processed.