Av GRY ANDERSEN, medlem av BFIs yrkesetiske råd
I dag telte jeg opp antall passord og koder som var brukt fra jeg sto opp til klokka var åtte, og det var 12 unike; noen korte med tall og noen lange passord. Resten av dagen kommer enda flere passord etter hvert som jeg bruker ulike verktøy. Jeg tenker at det er en god måte å trene hukommelsen, samt at det er krevende og at det store antallet øker risikoen for snarveier.
I vår helseregion har vi en undersøkelse om digital sikkerhetskultur blant medarbeiderne. Undersøkelsen ferdigstilles i oktober og deretter skal vi jobbe med resultatene.
IKT-sikkerheten skal bedres
Riksrevisjonen gjorde en undersøkelse i fjor, publisert desember 2020; «Undersøkelse om helseforetakenes forebygging av angrep mot sine IKT-systemer». Undersøkelsen viste at de ansattes sikkerhetsatferd er en viktig årsak til at det er mulig å bryte seg inn i IKT-infrastrukturen. Det foregår aktivitet i sykehusene for å sikre bedre systemer og styrke kompetansen og bevisstheten blant våre medarbeidere.
Jeg har identifisert forsøk på svindel noen ganger og meldt ifra om dette. Jeg er forsiktig, men ble likevel lurt.
Jeg jobber sammen med kompetente folk som har sitt spesialområde innen sikkerhet og informasjonssikkerhet og lærer av dem. Selvevalueringen var at jeg hadde en god forståelse og kunnskap om informasjonssikkerhet innenfor rollene på jobb, og i bruk av digitale tjenester privat. Jeg har identifisert forsøk på svindel noen ganger og meldt ifra om dette. Jeg er forsiktig, men ble likevel lurt. Det gjorde noe med meg.
Vårt personlige ansvar
Det personlige ansvaret ligger tungt på hver og en av oss, samtidig ligger ansvaret for systemer og det å være kulturdrivere, alltid hos lederne. Tenk over slagordet «Verdens beste antivirus er deg». Hva betyr det i din rolle på arbeidsplassen? Er du bevisst nok i bruken av verktøyene når du lager og bruker passord? Tar du valg som er unike og lette å huske? I sikkerhetskampanjen vår vises det til at et sterkt passord er langt, minst fem ord eller 16 tegn, unikt for hver enkel nettside/brukerkonto og inneholder både tall, symboler, mellomrom og store og små bokstaver.
Logg av eller lås skjermen før du går fra den, er et annet krav. Det etableres lett som rutine hos flere, mens for andre er det lett å glemme. Forklaringer er at man bare skal kjapt bort fra arbeidsstasjonen, at man stoler på kollegaene, har adgangskontroll og at vi alle har taushetsplikt. Sier vi ifra til en kollega hvis vi ser at vedkommende ikke låser skjermen eller logger av? Er det vanskelig å si ifra? Har man skapt en arena på arbeidsplassen hvor det er mulig å ta opp slike spørsmål? En plass hvor man kan diskutere slike saker? Opplever man å ha fått opplæring etter den funksjonen man har? Bare tanken på at en kollega eller andre skal bruke din arbeidsstasjon til å gjøre noe som kan skade, er bortimot umulig for de fleste av oss. Spør du deg selv hvordan kulturen er her hos oss? Hva kan jeg og mine kollegaer gjøre bedre?
Får du nyhetsbrev og e-post tilsendt som ikke er en del av jobben din? Sørger du for å avslutte abonnementene for disse? «Stopp, tenk og klikk – ikke åpne vedlegg eller klikk på lenker fra e-poster du er usikker på». Enkelt å si, men stopp-og-tenk-biten er den vanskelige og må øves på hver dag.
Da jeg ble lurt
Så til hendelsen hvor jeg ble lurt eller forsøkt lurt. For noen uker siden kom en sms fra en som jeg trodde var sønnen min. Der sto det at telefonen hans hadde havnet i vaskemaskinen. Telefonen var byttet, også telefonnummeret, og beskjeden var «du kan la det gamle gå». Jeg svarte humoristisk og takket for beskjed. Fikk raskt ny sms og spørsmål om hva jeg gjorde. Svarte at jeg var på kafé. Fikk så lynkjapt ok - og da ble jeg undrende for det ligner ikke den dialogen vi pleier å ha. Jeg fikk så ny sms om et problem. Deretter to sms-er om problemer med nettbanken og at «han» hadde behov for lån til dagen etter for å betale en regning. Uroen jeg hadde kjent på, gjorde at jeg blokkerte kontakten. Min forståelse var at sønnen min sin id var stjålet. Etter å ha lest gjennom dialogen så jeg at det var min tolkning av den første sms-en som gjorde at jeg oppfattet dette som trygt. Kontakt med politiet og avisoppslag viste at flere var blitt forsøkt svindlet på denne måten.
I jobbsammenheng kommer det nå og da en e-post hvor noen er på «fisketur». Biter du på kroken og går du i nettet - eller går du klar?
