Publisert: 20.08.2023
Målet med prosjektet er å utløse en «refleks» hos de ansatte som gjør at sikkerhet er noe som faller helt naturlig i deres digitaliserte hverdag.
Det finnes i dag en rekke utfordringer innen informasjonssikkerhet og personvern som for eksempel:
- En rekke sikkerhetsrutiner og –prosesser som går på tvers av ansattes naturlige arbeidsprosesser, og forstyrrer arbeidsflyten.
- Menneskelig oppdagelses- og håndteringsevne av sikkerhetsbrudd er begrenset.
- Stort og til tider komplekst lovverk og krevende prosesser innen informasjonssikkerhet og personvern skaper ofte et skremselsbilde. Man kan lett bli redd for å gjøre feil eller redd for å ikke oppdage at man gjør feil. Dermed lar mange være å forholde seg til informasjonssikkerhet og personvern.
- Det er vanskelig å måle effekten av sikkerhetstiltak. Dermed risiker man å sette i gang tiltak som stjeler tid og har liten effekt. I verste fall kan det igangsettes tiltak som forverrer sikkerheten.
Med utgangspunkt i sikkerhetssituasjonen i Europa, trusselvurderingene til de norske sikkerhets- og etterretningstjenestene i Norge, og den store mengden av dataangrep mot norske virksomheter og kommuner, ber vi om at kampanjen prioriteres i kommunene.
Kampanjen starter i november 2023 og er gratis.
Bakgrunn for kampanjen
Det er utviklet en rekke veiledere og kompetanseprogrammer innen informasjonssikkerhet og personvern uten at man ser en reell endring i adferd for å håndtere informasjonssikkerhet og personvern på en god måte. I 2022 satte derfor KS i gang et FoU-prosjekt «Atferdsendring knyttet til informasjonssikkerhet og personvern i kommunesektoren» hvor formålet var å få i gang en reell atferdsendring blant kommunalt ansatte. Målet var å bidra til å redusere sikkerhetsrisiko når ansatte utfører sine daglige oppgaver.
FoU-prosjektet er en informasjonskampanje. Prosjektet har vært et samarbeid mellom området Forskning, innovasjon og digitalisering (FID) og Kommunikasjonsavdelingen (KOM) i KS. Prosjektet er gjennomført av BDO i samarbeid med Defendable og Godt Sagt.
Hvorfor gjør vi dette?
Målet med prosjektet er å utløse en «refleks» hos de ansatte som gjør at sikkerhet er noe som faller helt naturlig i deres digitaliserte hverdag. Prosjektet har fokus på å utforme kommunikative grep/prosesser/tiltak/virkemidler som gjør det mulig å få informasjonssikkerhet og personvern «inn i blodbanene» til de kommunalt ansatte. Hovedtyngden av prosjektet er å kommunisere informasjonssikkerhet og personvern på en slik måte at det blir helt naturlig å forholde seg til.
Hva består kampanjen av?
I samarbeid med KS og en arbeidsgruppe bestående av flere kommuner har oppdragstaker laget en informasjonskampanje. Kampanjen består av ti temaer – der ett tema rulles ut per måned i totalt ti måneder. Hver måned har et klart budskap, og målet er å sikre at de kommuneansatte endrer vaner.
De ti temaene som er valgt ut er:
- Låse enheter. Ønsket atferdsendring er at de ansatte alltid låser sine digitale enheter.
- Passord. Ønsket atferdsendring er at ansatte alltid lager sterke passord.
- Pålogging via linker. Ønsket atferdsendring at ansatte alltid logger på via nettsteder og ikke via linker.
- Mobile enheter er personlig. Ønsket atferdsendring er at ansatte aldri låner ut mobile enheter som er utdelt av kommunen eller fylkeskommunen.
- Ikke sende sensitive opplysninger på e-post. Ønsket atferdsendring er at e-post aldri benyttes til å sende sensitive eller taushetsbelagt informasjon.
- Lagring av informasjon. Ønsket atferdsendring er at ansatte aldri lagrer kommunens informasjon i private systemer.
- Sikkerhet på hjemmekontor og på reise. Ønsket atferdsendring er at ansatte er oppmerksomme på om noen lytter til jobbrelaterte samtaler eller ser skjermer med jobbrelatert informasjon.
- To-fakturautentisering. Ønsket atferdsendring er at ansatte benytter sikre løsninger der det er mulig.
- Samtykke ved deling av bilder eller film. Ønsket atferdsendring er at ansatte alltid sørger for å ha samtykke.
- Meld fra. Ønsket atferdsendring er at ansatte alltid kontakter IT-support eller avvikssystem dersom de er usikre på e-poster/meldinger.