IT-sikkerhed fylder mere og mere på arbejdsmarkedet, og dermed er der også opstået et marked for virksomheder, der tester selvsamme sikkerhed. Det har de seneste år ledt til flere historier i medierne, hvor utilpasse medarbejdere har beskrevet grænseoverskridende oplevelser i forbindelse med uannoncerede sikkerhedstests.
DR har for eksempel fortalt historien om Nyborg kommune, der sendte en medarbejder i sikkerhedsvirksomhed ud på en af kommunens folkeskoler under dække af at være ansat i kommunens IT-sikkerhedsafdeling. Sikkerhedstesten resulterede i hård kritik fra både Skolelederforeningen og en ekspert i ansættelsesret.
Historien er ikke den eneste, og derfor er en række myndigheder og organisationer nu gået sammen om et nyt kodeks. Det skal sikre, at sikkerhedstests i fremtiden foregår mindst muligt overfor den enkelte medarbejders privatliv.
“Det skaber utryghed”
En af dem, der har prøvet at være udsat for en sikkerhedstest, er Viktor. Han arbejder som folkeskolelærer i en kommune i Nordsjælland. Af hensyn til sit job vil han gerne være anonym, og Viktor er derfor ikke hans rigtige navn. Redaktionen er bekendt med hans fulde navn.
Han fortæller:
“Jeg fik en email, der så ud til at være afsendt fra den kommune, hvor jeg er ansat, og der stod, at man skulle logge ind, hvis man ville se sine lønoplysninger. Det viser sig så, at det var en phishing-mail. Jeg nåede ikke selv at trykke på den, før jeg hørte at det var phishing,” fortæller han og fortsætter:
“De har phishet medarbejdernes login-oplysningerne for at forbedre datasikkerheden. Men vi har ikke fået af vide hvad de gør med den data, de snupper. Har kommunen så bare alles login-oplysninger? Hvis man bruger det samme password flere steder, hvad mange jo gør, så har de pludselig adgang til f.eks. ens sociale medier. Er det overhovedet lovligt? Det skaber utryghed.”
For Viktor er det ikke kun et spørgsmål om at kommunen kunne have fået hans password, men også et mere principielt spøgsmål:
“Jeg føler mig kriminaliseret, selvom det er dem, der gør noget, der virker kriminelt. Det føles som et overgreb. Det er et tillidsbrud, for vi stoler jo på kommunikation, der kommer fra kommunen. Hvad så hvis jeg var faldet i, skulle jeg så til samtale med min leder og have skældud?” spørger han.
Tydelige aftaler
Det nye kodeks lægger ikke op til, at phishing-emails som den Viktor og kollegaerne fik skal være slut. Men der skal være klare og tydelige aftaler mellem kunden og den virksomhed, der udfører opgaven, og medarbejderne bør desuden informeres om, at den type tests kan forekomme.Det er en lang række organisationer og myndigheder, der står bag kodekset. Udover fagforeningerne HK og Akademikerne er både en række arbejdsgiverorganisationer, brancheorganisationen ITB samt Forsvarets Efterretningstjeneste medunderskrivere.
I indledningen lyder det, at “når man gennemfører sikkerhedstest, ved at agere fjendtlig aktør, kan der uforvarende opstå situationer, hvor den der sikkerhedstester risikerer at komme på kant med juridiske og etiske grænser for, hvad man må og bør gøre som led i at teste sikkerheden,” og at kodekset er udarbejdet “for at imødegå denne usikkerhed, og for at bidrage til at en sikkerhedstest udføres med respekt for de etiske rammer og medarbejdernes hverdag og privatliv.”
Du kan læse hele det nye kodeks her (pdf)
De seks principper i kodekset lyder som følger:
2. Test organisationen, ikke medarbejderen
3. Klare aftaler om hvem testeren må udgive sig for at være
4. Giv dig til kende i tilfælde af konflikter
5. Videregiv viden om kriminelle handlinger
6. Sørg for ansvarlig databehandling