fbpx
IT-sikkerhet

NorSIS advarer mot bruk av PC og mobil til både arbeid og privat bruk på hjemmekontoret

Etter mer enn ett år med hjemmekontor kan fremdeles 3 av 10 arbeidstakere laste ned programvare på jobbens PC og mobiltelefon uten godkjenning fra virksomheten. Mange bruker også samme IT-utstyr privat og på jobb.

NorSIS og Næringslivets Sikkerhetsråd har gjennomført en representativ undersøkelse utført blant yrkesaktive nordmenn. 31 prosent av de spurte oppgir at de kan laste ned programvare og annet på jobbens IT-utstyr uten at virksomheten har gitt tillatelse til dette. I undersøkelsen oppgir også hele 42 prosent at de bruker samme PC, mobil eller nettbrett både til jobb og privat.

Verdikjedeangrep

Å laste ned programmer på jobbens PC eller mobil som ikke er godkjent og som ingen vet finnes i bedriftens nett kan være en risiko for hele bedriftens IT-system. Det kan være enkle gratisprogrammer som den ansatte kan bruke til å rense PC-en, redigere bilder eller gjøre om dokumenter til PDF. Plutselig lastes det ned et program som i verste fall kan spionere på eller plante ondsinnet kode(malware) i hele virksomheten.

Gjennomgående er det slik at privat utstyr ofte har lavere sikkerhetsnivå enn det virksomhetene bør godta. Bruker du for eksempel en privat mobiltelefon til å logge deg på virksomhetens e-postsystem, kan andre ondsinnede apper på den samme telefonen plukke opp informasjon for pålogging. Dette kan igjen gi angriperne tilgang til all data i virksomheten.

Såkalte verdikjedeangrep, der en virksomhet blir brukt som et ledd i et angrep på en annen kunde, leverandør eller samarbeidspartner, er i NorSIS-rapporten «Trusler og trender 2021» fremhevet som en av fire digitale trusler som små og mellomstore bedrifter bør være spesielt oppmerksom på i 2021. Derfor er det ekstra viktig at man har oversikt over hele verdikjeden sin for å unngå denne type angrep.

//Artikkelen fortsetter etter annonsen//

 

Bruk av privat IT-utstyr kan føre til brudd på personvernforordningen (GDPR)

NorSIS peker også på risikoen for å bryte personopplysningsregelverket som nok en årsak til å være forsiktig med bruk av privat IT-utstyr til jobben. Dette stiller nemlig krav til at alle virksomheter som behandler personopplysninger, skal ha kontroll over personopplysningene de forvalter.

Behandlingen internt i virksomheten styres i en internkontroll, mens all videre behandling av personopplysninger hos underleverandører eller andre tredjeparter skal reguleres i en databehandleravtale. Til sammen skal disse gjøre det helt klart hvordan og hvor personopplysninger brukes, lagres og hvem de deles med eller videreformidles til.

Dersom en ansatt enten i virksomheten som er databehandler eller hos en av underleverandørene laster ned dokumenter som inneholder personopplysninger på sin private PC er det umulig for å ha kontroll på hvor disse opplysningene er, og hvor de kan ende opp.

De kan for eksempel ende opp i skylagring eller i mapper på en PC med et nettverk som er dårlig sikret eller på annen måte bryte med kravene i databehandleravtalen eller den behandlingsansvarliges internkontroll.

 

Særlig brudd på internkontrollen kan i sin tur medføre brudd på personopplysningssikkerheten som kan gi konsekvenser for virksomheten, for eksempel ved at virksomhetene får høye bøter, sier administrerende direktør i NorSIS, Lars-Henrik Gundersen.

 

Undersøkelsen er gjennomført av analyseinstituttet YouGov. Det er i uke 10 2021 gjennomført til sammen 1005 CAWI-intervjuer i et landsrepresentativt utvalg bestående av personer som er 18+ år, men hvor disse spørsmålene kun har blitt stilt til de i utvalget som er yrkesaktive.