Nyt kodeks for test af datasikkerhed i organisationer skal sikre, at jura og etik er på plads, så medarbejderne ikke krænkes eller udstilles i jagten på fx datalæk.
Data-spioner, som infiltrerer en organisation og lokker medarbejderne i alskens fælder for at afsløre lemfældig omgang med data skal være fortid, mener en lang række organisationer på det offentlige arbejdsmarked, bl.a. HK.
Derfor har de udarbejdet et nyt kodeks for gennemførsel af sikkerhedstests, som udstikker retningslinjer og giver gode råd til, hvordan en organisation kan teste sin datasikkerhed med juraen og etikken i højsædet.
Hyrer fjendtlige aktører ind
For med den voksende digitalisering i det offentlige er datasikkerhed blevet et hot emne. Der skal være styr på, hvem og hvordan borgeres og organisationers informationer håndteres og sendes rundt, både internt og ud i verden. Så for at undersøge, om der er huller og sårbarheder i it-systemer og medarbejderadfærd hyrer nogle offentlige arbejdspladser private firmaer til at agere ’fjendtlig aktør’.
Det har i enkelte tilfælde ført til krænkende oplevelser for medarbejdere, som er blevet filmet med fx skjult kamera uden deres vidende af disse ’dataspioner’ – noget, HK Kommunal tidligere har advaret kraftigt imod.
Fortæller medarbejderne, at de tjekkes
Vicekontorchef Karin Bruhn Termannsen har arbejdet med datasikkerhed i Region Nordjylland i mange år og synes, det giver god mening at have retningslinjer for, hvordan man gennemfører sådanne sikkerhedstests.
– Der er brug for løbende at teste og følge op på datasikkerheden med fx audits, er også vores erfaring. Her giver etiske og juridiske retningslinjer god mening, men i høj grad også at fortælle medarbejderne, at ”nu gør vi det”. Ikke nødvendigvis hvornår, men sikre ordentlighed og gennemsigtighed i processen – walk the talk, så at sige.
Sikkerhedstjek besluttet i MED-system
I Region Nordjylland har man valgt at behandle organisationens audit-setup i hovedMED, fortæller Karin Bruhn Termannsen. Både for at sige højt, at det finder sted, udarbejde procedurer for hvordan og for at drøfte det ledere og medarbejdere imellem.
– Vi har lagt vægt på at kommunikere, at vi ikke gør det for at fyre eller ”skyde” nogen, der måtte lave fejl, men for at rette op på uhensigtsmæssigheder. Det har været vigtigt hos os ikke at gøre det til et personligt anliggende, men at finde ud af, hvis der fx sker fejl, om det handler om manglende viden, uddannelse eller måske for stor travlhed.
For det er hendes erfaring, at fx datalæk eller andre uhensigtsmæssigheder sjældent handler om lemfældighed fra medarbejdernes side.
– Det kan godt være, at fejl er båret af menneskelig hånd og ikke fejl i it-systemet. Og det kan også godt være, at man kan lave tekniske it-sikkerhedsforanstaltninger, som kan dæmme op for disse fejl, men de foranstaltninger findes bare ikke rigtigt endnu. Derfor er der brug for proceduretjek og audits. Her har vi altså god erfaring for at gå ud og være i dialog med folk og få afmystificeret, hvad der sker, hvis man laver en fejl. Og det er noget, som skal gentages igen og igen, fordi mange af disse rutiner og kulturer tager år at opbygge, er også min erfaring. Det sker ikke, bare fordi der kommer nye regler eller lovgivning. Så jo, vi kigger folk over skulderen, men ikke som politimænd men for at hjælpe dem på rette vej, siger Karin Bruhn Termannsen.
KODEKS FOR GENNEMFØRSEL AF SIKKERHEDSTESTSFormålet med Kodeks for gennemførsel af sikkerhedstests er at give minimumsforpligtelser til leverandører af sikkerhedstests og deres kunder, primært retningslinjer, som ikke er reguleret ved lov. Kodekset er ikke en juridisk vejledning, men har henvisninger til relevant lovgivning, som organisation og leverandør af sikkerhedstests bør gennemgå inden en aftale. Kodekset kan bruges til at tale sig frem til en fælles forståelse af, hvad der er god praksis i forbindelse med sikkerhedstest.
Kodekset indeholder 6 principper for sikkerhedstests:
1. Vær enige om mål og midler 2. Test organisationen, ikke medarbejderen 3. Indhold og brug af case-materiale 4. Giv dig til kende i tilfælde af konflikter 5. Videregiv viden om kriminelle handlinger 6. Sørg for ansvarlig datahåndtering
|
Artiklen har været bragt på HK.dk i Chefgruppens nyhedsbrev februar 2021