Sikkerhedskopiering er et overraskende stort problem for både danske virksomheder og for private brugere

Overraskende mange danskere tager ikke sikkerhedskopier, og det er et problem. Til gengæld går det bedre med at få styr på phishing-forsøgene, viser vores nye sikkerhedsrapport.

Henrik Larsen, chef for DKCERT
Henrik Larsen, der er chef for DKCERT, skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Otte procent af medarbejderne i danske virksomheder har mistet data som følge af manglende sikkerhedskopiering.

Det opdagede vi, da DKCERT i efteråret foretog en stor undersøgelse af danskernes informationssikkerhed på vegne af Digitaliseringsstyrelsen.

I undersøgelsen spurgte Danmarks Statistik tre befolkningsgrupper om deres oplevelser med informationssikkerhed: Offentligt ansatte, ansatte i det private erhvervsliv, og private borgere.

De otte procent gælder både for offentligt ansatte og privatansatte.

Tallet overraskede mig, fordi vi generelt regner med, at virksomheder og organisationer har styr på sikkerhedskopiering.

Vi spurgte også de offentligt ansatte, om der blev taget sikkerhedskopi af deres data. 57 procent svarede ja, 33 procent nej, og 10 procent ved ikke.

Svarene er dog forbundet med nogen usikkerhed, da en medarbejder ikke nødvendigvis ved, hvordan it-afdelingen beskytter data.

Bedst beskyttelse på jobbet

Tallene viser, at danskerne har større chance for at bevare deres data på arbejdspladsen end derhjemme: Kun 40 procent af private borgere tager jævnligt sikkerhedskopi af data på deres pc.

Sikkerhedskopier er uundværlige, når en harddisk går ned. Men de har fået ny betydning, efter at ransomware blev udbredt.

Bliver ens pc inficeret med ransomware, krypteres data. Bagmændene kræver betaling for den nøgle, der kan dekryptere dem.

Har man en sikkerhedskopi, kan man imidlertid ignorere kravet om løsepenge og bare indlæse data fra backup.

Vi har gennem tre år spurgt borgerne, om de er udsat for ransomware. Andelen har konstant ligget på syv-otte procent.

I den aktuelle undersøgelse har vi for første gang stillet samme spørgsmål til medarbejdere. Her er andelen seks procent for både offentligt ansatte og privatansatte.

Få falder for svindel

Rapporten viser, at der er plads til forbedring, når det gælder sikkerhedskopiering.

Til gengæld står det bedre til, når vi ser på udbredte former for svindel over nettet.

Mange modtager e-mails med phishing eller links til skadelige websider. Men langt de fleste er klar over risikoen og undlader at klikke.

Også her er sikkerheden højere i arbejdslivet end i fritiden: Stort set ingen ansatte har udfyldt formularer på phishing-websteder. Men det har fem procent af de private borgere.

Når regler er besværlige

DKCERT har udført lignende undersøgelser af borgernes informationssikkerhed siden 2013. Men det er første gang, vi har taget de ansatte med.

Sikkerhed er altid en afvejning mellem at beskytte informationer og tillade folk at udføre deres arbejde.

Da vi nu havde mulighed for at stille spørgsmål til medarbejdere, spurgte vi, om de nogle gange føler sig nødsaget til at omgå sikkerhedsreglerne, fordi de besværliggør arbejdet. Det gør seks procent af de offentligt ansatte og ni procent af de privatansatte.

Dog er det ikke så tit, medarbejderne bryder reglerne. Hos omkring halvdelen af dem, der indimellem gør det, sker det sjældnere end en gang om måneden.

For begge gruppers vedkommende har omkring halvdelen sat sig ind i arbejdspladsens it-sikkerhedspolitik.

Når en person ikke overholder en regel, kan fejlen ligge hos enten personen eller reglen. Hvis I oplever, at jeres medarbejdere jævnligt overtræder sikkerhedsregler, skal I måske revidere reglerne.

Hvis et regelsæt er så stift, at det står i vejen for det daglige arbejde, bør det tilpasses.

For meget genbrug

Både ansatte og private borgere har problemer med at bruge passwords på sikker vis. Problemet er genbrug.

Knap en tredjedel af de ansatte og to tredjedele af de private borgere bruger samme password til flere tjenester.

Dermed udsætter de sig for en unødvendig risiko. Hvis blot en af deres tjenester lader data komme i de forkerte hænder, kan angribere afprøve kombinationen af brugernavn og password på andre tjenester.

Der er flere gode midler til at beskytte mod den slags misbrug. To-faktor-autentifikation er et af dem, andre muligheder er single sign-on og password managers.

Knap en tredjedel af arbejdspladserne tilbyder single sign-on.

Password managers er ikke særlig udbredte. Blandt private borgere har 10 procent sådan et program til at holde styr på koderne.

Tjek rapporten

Det har været spændende at se svarene på vores spørgsmål i rapporten.

Foruden ovennævnte emner kommer vi også ind på, hvordan folk beskytter deres computere, deres brug af trådløse netværk, og hvorvidt borgerne hjælper deres børn med at lære om sikker adfærd på nettet.

Tag selv et kig på rapporten her: "Danskernes informationssikkerhed 2016".


Oprindelig offentliggjort på Computerworld Online den 31. marts 2017.