En ny undersökning från Cisco tar pulsen på cybersäkerhetsmedvetandet bland kontorsarbetare. Nästan tre av tio svarar att de regelbundet bryter mot arbetsgivarens säkerhetsrutiner för att kunna utföra sitt jobb effektivt.
Talesättet ”Hackare bryter sig inte in i datornätverk längre, utan loggar in i dem”, har varit välkänt i cybersäkerhetskretsar de senaste åren. Idag inleds en överväldigande majoritet av alla cyberattacker mot en människa, snarare än mot själva nätverket. Vad anställda kan om cybersäkerhet och hur de förhåller sig till det är därför en central fråga för arbetsgivare både inom näringslivet och offentlig sektor. Cisco har undersökt frågan i en ny undersökning, där 1 500 kontorsarbetare i sex länder – däribland Sverige, Norge och Danmark – intervjuats.
Under den globala pandemin har många verksamheter tvingats ställa om till att arbeta hemifrån. Samtidigt har en rad uppmärksammade cyberattacker drabbat nordiska företag, där både verksamheter och konsumenter drabbats – senast ransomwareangreppet mot Coop, där många av kedjans butiker tvingades hålla stängt i nära en vecka.
Så många bryter mot reglerna
Som en del av undersökningen har Cisco frågat hur ofta anställda valde att bryta mot eller kringgå sin arbetsgivares säkerhetsrutiner för att kunna utföra sitt arbete. Färre än hälften, 41 procent, svarar ”aldrig” på frågan, och 29 procent att de bryter mot rutinerna regelbundet eller ofta. I grannänderna Danmark och Norge är bilden ännu dystrare. Överlag är användandet av tekniska lösningar för att förenkla och förstärka säkerheten, exempelvis VPN, multifaktorsautentisering och lösenordshantering via single sign-on, lågt i de skandinaviska länderna.
Tabell: Hur ofta kringgår du eller bryter mot arbetsgivarens säkerhetsrutiner för att kunna utföra ditt arbete på bästa sätt?
Sverige | Norge | Danmark | |
Aldrig | 41 % | 18 % | 23 % |
Regelbundet/ofta | 29 % | 53 % | 54 % |
”Att sex av tio fortfarande känner att de inte alltid kan följa säkerhetsrutinerna är mindre dåligt än i Norge och Danmark, men inte bra nog. Det senaste året har varit en svår resa för många, men den har också skapat nya kunskaper och lärdomar. Många företagsinvesteringar och projekt har gjorts i syfte att underlätta distansarbete, men det är lång väg kvar. Kärnan är att om det är lättare att följa reglerna gör fler det”, säger Henrik Bergqvist.
Träning är en bristvara
En annan fråga där det finns en stor förbättringspotential och där Sverige sticker ut negativt jämfört med grannländerna är säkerhetsutbildningar för de anställda. Fler än en fjärdedel, 29 procent, av de svenska kontorsarbetarna, uppger att de aldrig fått någon säkerhetsutbildning, jämfört med 12 och 15 procent i Norge respektive Danmark. Och bara drygt hälften, 51 procent, uppger att de tränats i säkerhet sedan mars 2020 när pandemirestriktionerna började – trots att arbetslivet för de flesta förändrades i grunden.
”Investeringar i säker infrastruktur och säker hårdvara är förstås positivt, men en heltäckande cybersäkerhetsstrategi behöver också ett fokus på att investera i människor – eftersom det är de som är det första målet för majoriteten av cyberattacker. För det krävs kunskap, och att bara hälften utbildats i cybersäkerhet sedan pandemin började är oroväckande. Även om anställda själva har tagit stort ansvar behövs mer stöd från arbetsgivarna för att vi ska kunna skapa så säkra arbetsförhållanden som möjligt. När vi pratar med beslutsfattare uppfattar vi att de ser utbildning som en viktig fråga, men det backas inte tillräckligt ofta upp av investeringar”, säger Henrik Bergqvist.
Tabell: När fick du senast utbildning i cybersäkerhet av din arbetsgivare?
Sverige | Norge | Danmark | |
Aldrig | 29 % | 12 % | 15 % |
Efter mars 2020 | 51 % | 73 % | 73 % |
Under hösten och vintern 2021 förväntas de flesta restriktioner i samhället gradvis avvecklas, men även efter pandemin kommer många arbetsplatser att fortsätta ställa om till nya arbetssätt, där fler arbetar oftare på distans – så kallat hybridarbete. Det medför nya säkerhetsutmaningar för arbetsgivare och anställda. De utmaningarna måste hanteras på fler än ett plan.
”Man kan säga att cybersäkerhet är som en trebent pall. En gemensam känsla av ansvar, en infrastruktur som är enkel att underhålla och enkel att använda, och en hög kunskapsnivå. Om ett av de benen är trasigt spelar det ingen roll hur starka de andra två benen är, du faller ändå. När vi rustar för den hybrida arbetsplatsen måste man investera i alla områdena, för att inte risknivån ska vara oacceptabelt hög”, säger Henrik Bergqvist.