Hvordan undgår vi at blive smuthuller for IT-kriminelle?
Vi lever desværre i en tid, hvor cyberkriminalitet bliver mere og mere almindeligt. Som universitet kan vi gøre meget for at beskytte os med antivirusprogrammer, firewalls og to-trinsbekræftelse. Men lige så vigtigt er det, at vi alle er opmærksomme på, hvordan vi agerer, når vi arbejder med informationer og data – digitale såvel som fysiske. Det skal vi øge fokus på i 2021 – blandt andet via et nyt træningstiltag.
I universitetsledelsen har vi besluttet at øge fokus på informationssikkerheden på AU. Det sker blandt andet gennem et nyt tiltag fra AU’s Informationssikkerhedsafdeling, som jeg vil komme ind på senere i bloggen. Men først lidt om baggrunden for vores intensiverede indsats for informationssikkerheden:
Årsagen til, at det er vigtigt at værne om informationssikkerheden på AU, er ganske enkel: Vi er en organisation, der lever af viden. Det i sig selv gør os til et yndet bytte for IT-kriminelle. Og selv om vi i administrationen ikke lige dagligt sidder med de store, værdifulde datasæt eller forskningsgennembrud, så er vi alle en del af AU’s digitale netværk. Det gør, at vi hver især er et potentielt smuthul ind i organisationen for de IT-kriminelle. Så hvordan undgår vi hver især at blive det smuthul?
Jeg mener, at vi kan komme langt med skepsis, sund fornuft og en bevidsthed om vores adfærd. Konkret skal vi for eksempel sørge for at koble op via VPN på computeren på hjemmekontoret. Vi skal også være ekstra opmærksomme på, om vi har tillid til websites, når vi downloader filer eller programmer – ligesom vi skal sørge for at beskytte fortrolige informationer og følsomme personoplysninger. Og endelig skal vi tænke os om en ekstra gang, inden vi klikker på links i mails fra eksterne afsendere. Det kan være phishing.
Informationssikkerhed skal trænes
Men sund fornuft gør det ikke alene. Informationssikkerhed skal også trænes. Jeg læste for nylig PwC’s Cybercrime Survey 2020, der er en årlig undersøgelse, som tager pulsen på informationssikkerheden i den offentlige og private sektor i Danmark. Ifølge den undersøgelse så vil ca. 30 % af medarbejdere som udgangspunkt klikke på linket i en phishingmail, hvis de ikke har fået træning i at spotte en. Efter træning, er tallet faldet til 10%.
Ledelsen i administrationen har et særligt ansvar for, at der løbende trænes informationssikkerhed i de respektive enheder. Til det formål har AU’s Informationssikkerhedsafdeling udviklet en række ”træningspakker” med kommunikationsmateriale, der kan hjælpe med at skabe en dialog om informationssikkerhed i enhederne. Den første pakke sendes ud inden længe og handler om phishingmails. Herefter vil pakkerne med skiftende temaer løbende blive sendt ud til lederne i 2021.
Jeg håber meget, at vi med et øget fokus på at udvikle vores forståelse og adfærd kan bidrage positivt til at skabe et endnu stærkere værn omkring informationssikkerheden på AU.
Jeg vil gerne opfordre alle medarbejdere i administrationen til at orientere sig i AU’s 9 råd til at sikre informationssikkerheden. Og har du forslag til, hvad vi kan gøre for styrke informationssikkerheden i administrationen – eller kommentarer til denne måneds blog, så skriv gerne til mig på director@au.dk.
Har du spørgsmål om informationssikkerhed, så skriv til AU’s Informationssikkerhedsafdeling.