Den danske tillidskultur er et problem for cybersikkerheden
Cybersikkerhed er en global udfordring, og i Danmark adskiller sikkerhedsniveauet sig ikke væsentligt fra andre lande. Der er dog kulturelt betingede udfordringer, som særligt gør sig gældende i Danmark, mener forsker bag ny rapport.
Den nye rapport fra ITU og SDU viser, at danske virksomheder ser cybersikkerhed som vigtigt, men prioriterer området lavt. En del af forklaringen er, at topledere har for lidt viden om cybertruslen, mener forskerne bag rapporten.
48 procent af de ansvarlige for it-sikkerhed eller databeskyttelse svarer, at sikkerhedsprocedurerne ikke overholdes i alle situationer. De hyppigste årsager hertil er mangel på tid og ressourcer, ledelsens indflydelse, og at procedurerne griber ind i organisationens andre arbejdsgange.
Og så er der den særlige danske tillidskultur:
Når medarbejdere tager laptops med hjem
– I Danmark har vi en kultur med en høj grad af tillid, og det er også reflekteret i undersøgelsen. Lederne stoler for eksempel på, at udviklerne har styr på it-sikkerheden, og blander sig ikke i deres arbejde. Her under pandemien lader ledelsen medarbejderne tage deres laptops hjem og forventer, at de har styr på datasikkerheden. Tillid er altafgørende, men hvis ledelsen antager, at medarbejderne har viden og kompetencer inden for sikkerhed, som de ikke har, er det problematisk, siger Jacopo Mauro, lektor på Institut for Matematik og Datalogi på SDU.
Rapporten viser samtidig, at udviklerne ikke mener, at ledelsen prioriterer cybersikkerhed og ikke understøtter dem tilstrækkeligt på dette område. Desuden mangler udviklerne uddannelse i cybersikkerhed.
– Lederne, vi har talt med, giver udtryk for, at de gerne betaler for kurser i cybersikkerhed, hvis medarbejderne efterspørger det, men udviklerne er ikke nødvendigvis bevidste om, at de har behov for mere viden. Det er også et problem, at det er medarbejderens eget ansvar at give udtryk for behovet, særligt hvis de mærker, at cybersikkerhed ikke prioriteres fra ledelsens side, siger Oksana Kulyk, adjunkt på ITU.
Dedikeret budget for cybersikkerhed
Rapporten er baseret på en spørgeundersøgelse samt opfølgende interviews med ledere, udviklere, sikkerhedseksperter og andre medarbejdere i både større og mindre virksomheder.
Forskerne har blandt andet spurgt ind til sikkerhedspolitikker, uddannelse af medarbejderne i cybersikkerhed, daglige arbejdsgange, samt hvordan virksomhederne integrerer sikkerhed i deres produkter.
Blandt små og mellemstore virksomheder svarer kun 26 procent, at virksomheden har et dedikeret budget for cybersikkerhed. Det samme gør sig gældende for 68 procent af de store virksomheder.
Hvordan kan det blive bedre?
En af hovedudfordringerne er, at lederne har for lidt indsigt i cybersikkerhed, mener Oksana Kulyk.
– På den ene side anerkender lederne, at cybersikkerhed er vigtigt, og de ønsker, at deres forretning er beskyttet. På den anden side har mange et forældet syn på cybertruslen og lægger ansvaret for sikkerhed over på it-specialisterne i virksomheden. Ledelsens manglende viden og bevidsthed fører til en underprioritering af området, siger hun.
Jacopo Mauro understreger, at forskerne ikke er ude på at pege fingre eller bebrejde virksomhederne.
– Cybersikkerhed er svært og ressourcekrævende. Formålet med rapporten er at forstå, hvad der går galt, hvorfor det går galt, og hvordan vi kan hjælpe virksomheder og medarbejdere med at opnå en bedre cybersikkerhed, siger han.
Om rapporten
- Rapporten Assessment on the Status of CyberSecurity in Denmark (ASCD) kortlægger danske virksomheders praksisser inden for cybersikkerhed og privacy
- Resultaterne er baseret på en spørgeundersøgelse med 107 ledere, udviklere, sikkerhedseksperter og andre medarbejdere i danske virksomheder samt opfølgende kvalitative interviews med 11 personer i forskellige roller
- Rapporten er finansieret af Center for Cybersikkerhed