Digitaliseringen har stor betydning for både virksomheder og for den offentlige sektors udvikling. Det betyder også, at det er afgørende, at vi beskytter vores data mod cyberkriminalitet. Det er ikke blevet mindre aktuelt at have styr på sikkerheden under coronakrisen, hvor vi er afhængige af digitale systemer til hjemmearbejde. Derfor er det vigtigt, at virksomheder og organisationer med jævne mellemrum får testet deres sikkerhed, så det bliver muligt at identificere og undgå sårbarhederne.
En god sikkerhedstest gør brug af de metoder, de digitale svindlere bruger. Men sikkerhedstesten må aldrig udstille eller virke krænkende på medarbejderne. Principperne i kodekset er derfor udarbejdet som et sæt spilleregler for både leverandører af sikkerhedstests og deres kunder. Der er ikke tale om en certificerings- eller mærkningsordning, men det er tanken, at kodekset skal anvendes til at opbygge en fælles forståelse af god praksis.
Det nye kodeks bakkes op af Digitaliseringsstyrelsen
- Sikkerhedstest er et godt værktøj til at værne om sikkerheden i sit it-system, men det skal selvfølgelig gøres på en ordentlig måde, der ikke udstiller medarbejderne men har fokus på sikkerheden i systemet. Her kan det nye kodeks være en god rettesnor, siger Marie Wessel, kontorchef i Digitaliseringsstyrelsen for cyber- og informationssikkerhed.
Det fremgår blandt andet af principperne i det nye kodeks, at det skal være tydeligt, at formålet med en sikkerhedstest er at teste organisationen, ikke at udstille den enkelte medarbejders fejl eller ageren ved eksempelvis en phishingkampagne.
Principper fra kodekset:
1.Vær enige om mål og midler
2.Test organisationen, ikke medarbejderen
3.Indhold og brug af case-materiale
4.Giv dig til kende i tilfælde af konflikter
5.Videregiv viden om kriminelle handlinger
6.Sørg for ansvarlig datahåndtering.