Publisert: 20.08.2023

Målet med prosjektet er å utløse en «refleks» hos de ansatte som gjør at sikkerhet er noe som faller helt naturlig i deres digitaliserte hverdag.

Suhail Mushtaq, fagsjef i KS

Det finnes i dag en rekke utfordringer innen informasjonssikkerhet og personvern som for eksempel:    

  • En rekke sikkerhetsrutiner og –prosesser som går på tvers av ansattes naturlige arbeidsprosesser, og forstyrrer arbeidsflyten. 
  • Menneskelig oppdagelses- og håndteringsevne av sikkerhetsbrudd er begrenset.   
  • Stort og til tider komplekst lovverk og krevende prosesser innen informasjonssikkerhet og personvern skaper ofte et skremselsbilde. Man kan lett bli redd for å gjøre feil eller redd for å ikke oppdage at man gjør feil. Dermed lar mange være å forholde seg til informasjonssikkerhet og personvern. 
  • Det er vanskelig å måle effekten av sikkerhetstiltak. Dermed risiker man å sette i gang tiltak som stjeler tid og har liten effekt. I verste fall kan det igangsettes tiltak som forverrer sikkerheten.  
Lenkeblokk Icon Slike bruker kommunen kampanjen

Med utgangspunkt i sikkerhetssituasjonen i Europa, trusselvurderingene til de norske sikkerhets- og etterretningstjenestene i Norge, og den store mengden av dataangrep mot norske virksomheter og kommuner, ber vi om at kampanjen prioriteres i kommunene.

Kampanjen starter i november 2023 og er gratis. 

Bakgrunn for kampanjen

Det er utviklet en rekke veiledere og kompetanseprogrammer innen informasjonssikkerhet og personvern uten at man ser en reell endring i adferd for å håndtere informasjonssikkerhet og personvern på en god måte. I 2022 satte derfor KS i gang et FoU-prosjekt «Atferdsendring knyttet til informasjonssikkerhet og personvern i kommunesektoren» hvor formålet var å få i gang en reell atferdsendring blant kommunalt ansatte. Målet var å bidra til å redusere sikkerhetsrisiko når ansatte utfører sine daglige oppgaver.   

FoU-prosjektet er en informasjonskampanje. Prosjektet har vært et samarbeid mellom området Forskning, innovasjon og digitalisering (FID) og Kommunikasjonsavdelingen (KOM) i KS. Prosjektet er gjennomført av BDO i samarbeid med Defendable og Godt Sagt.    

Hvorfor gjør vi dette?

Målet med prosjektet er å utløse en «refleks» hos de ansatte som gjør at sikkerhet er noe som faller helt naturlig i deres digitaliserte hverdag. Prosjektet har fokus på å utforme kommunikative grep/prosesser/tiltak/virkemidler som gjør det mulig å få informasjonssikkerhet og personvern «inn i blodbanene» til de kommunalt ansatte. Hovedtyngden av prosjektet er å kommunisere informasjonssikkerhet og personvern på en slik måte at det blir helt naturlig å forholde seg til.  

Hva består kampanjen av?

I samarbeid med KS og en arbeidsgruppe bestående av flere kommuner har oppdragstaker laget en informasjonskampanje. Kampanjen består av ti temaer – der ett tema rulles ut per måned i totalt ti måneder. Hver måned har et klart budskap, og målet er å sikre at de kommuneansatte endrer vaner.   

De ti temaene som er valgt ut er:   

  • Låse enheter. Ønsket atferdsendring er at de ansatte alltid låser sine digitale enheter.  
  • Passord. Ønsket atferdsendring er at ansatte alltid lager sterke passord.   
  • Pålogging via linker. Ønsket atferdsendring at ansatte alltid logger på via nettsteder og ikke via linker.  
  • Mobile enheter er personlig. Ønsket atferdsendring er at ansatte aldri låner ut mobile enheter som er utdelt av kommunen eller fylkeskommunen.  
  • Ikke sende sensitive opplysninger på e-post. Ønsket atferdsendring er at e-post aldri benyttes til å sende sensitive eller taushetsbelagt informasjon.   
  • Lagring av informasjon. Ønsket atferdsendring er at ansatte aldri lagrer kommunens informasjon i private systemer.  
  • Sikkerhet på hjemmekontor og på reise. Ønsket atferdsendring er at ansatte er oppmerksomme på om noen lytter til jobbrelaterte samtaler eller ser skjermer med jobbrelatert informasjon.   
  • To-fakturautentisering. Ønsket atferdsendring er at ansatte benytter sikre løsninger der det er mulig.  
  • Samtykke ved deling av bilder eller film. Ønsket atferdsendring er at ansatte alltid sørger for å ha samtykke.   
  • Meld fra. Ønsket atferdsendring er at ansatte alltid kontakter IT-support eller avvikssystem dersom de er usikre på e-poster/meldinger.