Henrik Larsen, der er chef for DKCERT, skriver hver måned på Computerworld Online om aktuelle spørgsmål om informationssikkerhed.
I den 17. december 2020 udkom Danskernes Informationssikkerhed. En rapport, som vi i DKCERT har udarbejdet og udgivet sammen med Digitaliseringsstyrelsen, KL og Danske Regioner. Noget vi har gjort siden 2013. Rapporten giver en status på borgere og offentligt ansattes oplevelser med, kendskab til og adfærd inden for informationssikkerhed.
Når man sidder, hvor jeg gør, kan der godt være en tendens til, at de mange rapporter, som bruges til at analysere sikkerhedssituationen, bliver inden for cybersikkerhedsmiljøet. Intet forgjort i det, da vores professionelle opgave er at gøre noget ved cyber- og informationssikkerheden inden for det forretningsområde, vi arbejder i. Vi vil gerne kende billedet, så vi kan reagere over for det, ligesom vi også gerne vil fortælle omverdenen om det.
Sådan var det oprindeligt tænkt med analyserne – Danskernes Informationssikkerhed – da de blev igangsat i 2013, og fra 2016 fik penge fra den Den fællesoffentlige digitaliseringsstrategi 2016-2020 til at blive gennemført: Iværksæt undersøgelse, analysér, gennemfør awarenesstiltag, evaluer. Gentag processen, se tendenser, udviklinger, går det den rigtige vej?
Således gjort.
Hvor trykker skoen?
I 2020 har undersøgelsen på især borgerområdet imidlertid været anderledes. For første gang har vi mere systematisk spurgt til borgernes efterlevelse af de grundlæggende råd om sikker adfærd, som fremgår af sikkerdigital.dk, som Digitaliseringsstyrelsen og Erhvervsstyrelsen står bag. Vi har også spurgt ind til risikobevidstheden, hvad der skal til for at få folk til at ændre adfærd, om borgerne advarer hinanden om phishingmails, -sms og telefonopkald osv. Det har givet os, Digitaliseringsstyrelsen og DKCERT, og alle andre, der læser rapporten, er billede af, hvor den adfærdsmæssige sko trykker.
Her er der et par talmæssige highlights fra borgerdelen af rapporten. (Jeg vender tilbage til de mest interessante observationer om offentligt ansatte i min næste klumme):
- Kun 16 pct. af borgerne efterlever i høj eller meget høj grad anbefalingen om kodeord på mindst 12 tegn, og som ikke genbruges flere steder. 56 pct. efterlever kun i mindre grad eller slet ikke anbefalingen.
- 42 pct. af borgerne efterlever i eller meget høj grad anbefalingen om, at kodeord til fx mail, NemID og diverse sociale medier, alle skal være forskellige. 33 pct. efterlever kun i mindre grad eller slet ikke anbefalingen.
- Kun 17 pct. af borgerne efterlever i høj eller meget høj grad anbefalingen om brug af passwordmanager. 61 pct. efterlever kun i mindre grad eller slet ikke anbefalingen.
- 37 pct. af borgerne efterlever i høj eller meget høj grad anbefalingen om brug af to-faktorlogin, hvor det er muligt. 29 pct efterlever kun i mindre grad eller slet ikke anbefalingen.
- 24 pct. efterlever i høj eller meget høj grad anbefalingen om at anvende VPN ved brug af trådløse netværk, mens 21 pct. slet ikke efterlever anbefalingen. 18 pct. ikke kender den ikke og 18 pct. ved ikke.
- 89 pct. efterlever i høj eller meget høj grad anbefalingen om at beskytte det trådløse hjemmenetværk med kode. To procent svarer ”slet ikke”.
- 44 pct. efterlever i høj eller meget høj grad anbefalingen om at tage sikkerhedskopi af egne data på computeren. 33 pct. efterlever i mindre grad eller slet ikke anbefalingen.
- 82 pct. oplyser, at de i høj eller meget høj grad efterlever anbefalingen om automatisk opdatering af programmer på computeren. 11 pct. gør slet ikke eller kun i mindre grad.
Samlet set er der er intet overraskende i rapportens observationer i forhold til efterlevelse af anbefalingerne. Rapporten konkluderer følgende: ”Overordnet set tegner der sig et billede af, at de anbefalinger, hvor man ”blot” skal slå en funktion til som fx automatisk opdatering eller beskyttelse af netværk med kode, i højest grad bliver efterlevet. De anbefalinger, der kræver aktive handlinger (fx sikkerhedskopi), kognitiv energi (lange og unikke kodeord) eller teknisk indsigt (VPN og passwordmanager) efterleves sjældnere”.
Hvordan får vi rapporten længere ud?
Spørgsmålet er så, om hvordan vi får distribueret rapporten bredere ud, så det ikke kun er folk inden for cybersikkerhedsmiljøet, der læser den. Så det bliver en rapport, hvis indhold – tallene og analyserne – kan læses af borgerne og måske i sig selv skubbe til en adfærdsændring. Det er jo trods alt os alle sammen som borgere, tallene handler om, og os som borgere, der er de eneste, der kan gøre noget ved det. Men på den anden side kan vi ikke forvente, at borgerne læser hele rapporten.
Det har vi sat os for at undersøge.
I undersøgelsen har vi, som man normalt gør i denne slags undersøgelser, stillet spørgsmål til en række baggrundsvariabler: Respondenternes alder, køn, uddannelsesniveau og bopælsregion. Dette for at sikre, at vores respondenter udgør en repræsentativ andel af befolkningen.
Disse baggrundsvariable kan vi imidlertid også bruge i en formidlingsmæssig kontekst. Det begyndte vi på i onsdags med en nyhed på cert.dk under overskriften ”Lange kodeord: Er du blandt de 16 eller 56 pct?”. Link til artiklen tweetede vi ud med hashtagget #hvadgørduselv? I dag fredag har vi publiceret en ny: "Lange kodeord: Mænd er lidt bedre end kvinder".
Ny formidlingsform
I selve artiklen bringer vi en graf over efterlevelse af anbefalingen om lange kodeord krydset med uddannelsesniveau. Det mest fremtrædende i grafen er, at borgere med folkeskolen som længste uddannelse er bedre til at efterleve anbefalingen om kodeord end de universitetsuddannede. Således svarer 23 pct. af dem med folkeskoleniveau som højest gennemførte uddannelse, at de i høj / meget høj grad efterlever anbefalingen om lange kodeord, der ikke genbruges flere steder, mens det samme gør sig gældende for 15 pct. af dem med en universitetsuddannelse. Tilsvarende er det hele 37 pct. af de universitetsuddannede, der slet ikke efterlever anbefalingen, mens det samme gør sig gældende for 24 pct. af de folkeskoleuddannede.
Hvorfor det er sådan, skal jeg ikke gøre mig klog på. Vi konstaterer det blot og viser det i en graf. Pointen med måden at gøre det på er, at vi gerne vil have læserne af vores artikler til at placere sig ift. uddannelsesniveauet og reflektere over egen kodeordsadfærd under hashtagget ”#Hvadgørduselv?”
Jeg er med på, at der findes andre uddannelsesniveauer end folkeskole og universitetet. Jeg har blot taget yderpunkterne her med for at simplificere pointen og for at skærpe nyhedsvinklingen. Hvis tabloidpressen kan gøre det, så kan vi vel også, når det er i den gode sags tjeneste.
Og sådan vil vi gøre i den kommende tid med en lang række observationer fra undersøgelsen, som vi vil formidle på samme måde. Jeg vil derfor på forhånd advare vores læsere om, at vi både vil udstille regionale, uddannelses-, alders- og kønsmæssige forskelle i adfærden. Ikke for at genere nogen. Blot for at bruge det i en formidlingsmæssig kontekst.
Men: For at der ikke skal gå ren sensationsjournalistik i det, vil vi i artiklerne linke til de relevante anbefalinger på sikkerdigital.dk, så læserne kan lære mere.
Voxpop-monitorering
Til sidst i artiklerne vil vi stille læseren et spørgsmål, om han/hun vil gøre noget ved egne kodeord efter læsning af artiklen. Altså en slags voxpop, som vi også kender fra de fleste digitale nyhedsmedier. På den måde monitorerer vi effekten af en formidlingsform, som vi aldrig har prøvet før, og som vi heller ikke har set anvendt andre steder i forhold til cyber- og informationssikkerhed.
I denne monitorering er vi kun interesseret i at vide om formidlingsmetoden – altså hvor vi krydser de forskellige baggrundsvaribale med efterlevelsen af anbefalingerne og fortæller om vores observationer i tekst og graf – kan medføre en ændring i efterlevelse af anbefalingerne.
Måske kan vi derved rykke ved adfærden.
Det bliver interessant at se, om det har en effekt.
Men det er naturligvis vigtigt, at det kommer så bredt ud som muligt, og vi får så mange læsere til vores artikler og så mange besvarelser som muligt.
Så jeg håber, du vil være med på formidlingseksperimentet #Hvadgørduselv?
For hvad gør du egentligt selv?