Bruker du samme mobil og PC privat og på jobb?
Etter mer enn ett år med hjemmekontor kan fremdeles 3 av 10 arbeidstakere laste ned programvare på jobbens PC og mobiltelefon uten godkjenning fra virksomheten. Mange bruker også samme IT-utstyr privat og på jobb.
Nå advarer NorSIS mot det manglende skillet mellom privat og jobb-bruk av IT-utstyr som i verste fall kan føre til både datainnbrudd, verdikjedeangrep og høye bøter for brudd på personvernforordningen.
– Det er høyrisiko å tillate ansatte å laste ned nettprogrammer og andre ting på bedriftens IT-utstyr. Spesielt i en tid hvor mange jobber hjemme mot jobbens IT-system er denne sårbarheten stor. Derfor er det avgjørende at arbeidsgiver har klare og kjente regler for denne type nedlastinger, sier administrerende direktør i NorSIS, Lars-Henrik Gundersen.
Trussel for virksomheten
NorSIS og Næringslivets Sikkerhetsråd har gjennomført en representativ undersøkelse utført blant yrkesaktive nordmenn.
31 prosent av de spurte oppgir at de kan laste ned programvare og annet på jobbens IT-utstyr uten at virksomheten har gitt tillatelse til dette.
– Å laste ned programmer på jobbens PC eller mobil som ikke er godkjent og som ingen vet finnes i bedriftens nett kan være en risiko for hele bedriftens IT-system.
– Det kan være enkle gratisprogrammer som den ansatte kan bruke til å rense PC-en, redigere bilder eller gjøre om dokumenter til PDF. Plutselig lastes det ned et program som i verste fall kan spionere på eller plante skadevare i hele virksomheten, advarer Gundersen.
Lavere sikkerhetsnivå
I den representative undersøkelsen oppgir også hele 42 prosent av de spurte arbeidstakerne at de bruker samme PC, mobil eller nettbrett både til jobb og privat.
Gjennomgående er det slik at privat utstyr ofte har lavere sikkerhetsnivå enn det virksomhetene bør godta.
Hvis du for eksempel bruker en privat mobiltelefon til å logge deg på virksomhetens e-postsystem, kan andre ondsinnede apper på den samme telefonen plukke opp informasjon for pålogging.
– Dette kan igjen gi angriperne tilgang til all data i virksomheten, sier direktør i Næringslivets Sikkerhetsråd, Odin Johannessen.
Klare regler
Såkalte verdikjedeangrep, der en virksomhet blir brukt som et ledd i et angrep på en annen kunde, leverandør eller samarbeidspartner, er i NorSIS-rapporten «Trusler og trender 2021» fremhevet som en av fire digitale trusler som små og mellomstore bedrifter skal se spesielt opp for i år.
Ifølge Gundersen er det viktig å ha oversikt over hele verdikjeden sin for å unngå denne type angrep.
– Da gjelder det å ha klare regler og rutiner for bruk av jobbutstyr til private formål og motsatt.
– Har den ansatte dedikert utstyr som brukes til jobb er det også enklere for arbeidsgiver å forsikre seg om at alle programmer, systemer og apper er sikkerhetsoppdatert og at programmer som ikke er i bruk slettes, sier NorSIS administrerende direktør.
Bryter med GDPR
Han peker også på risikoen for å bryte personopplysningsregelverket som nok en årsak til å være forsiktig med bruk av privat IT-utstyr til jobben.
Dette stiller nemlig krav til at alle virksomheter som behandler personopplysninger, skal ha kontroll over personopplysningene de forvalter.
Behandlingen internt i virksomheten styres i en internkontroll, mens all videre behandling av personopplysninger hos underleverandører eller andre tredjeparter skal reguleres i en databehandleravtale.
Til sammen skal disse gjøre det helt klart hvordan og hvor personopplysninger brukes, lagres og hvem de deles med eller videreformidles til.
Dersom en ansatt enten i virksomheten som er databehandler eller hos en av underleverandørene laster ned dokumenter som inneholder personopplysninger på sin private PC, er det umulig for å ha kontroll på hvor disse opplysningene er, og hvor de kan ende opp.
De kan for eksempel ende opp i skylagring eller i mapper på en PC med et nettverk som er dårlig sikret eller på annen måte bryte med kravene i databehandleravtalen eller den behandlingsansvarliges internkontroll.
– Særlig brudd på internkontrollen kan i sin tur medføre brudd på personopplysningssikkerheten som kan gi konsekvenser for virksomheten, for eksempel ved at virksomhetene får høye bøter, sier administrerende direktør i NorSIS, Lars-Henrik Gundersen.