KnowBe4 Research forsker på IT-sikkerhetskultur i selskaper i hele verden. De gjør kontinuerlig undersøkelser for å se hvordan bedrifter og organisasjoner jobber med IT-sikkerhet og opplæring.

Ledernes ansvar

Nye tall viser at 24 prosent er usikre på om informasjon de jobber med er konfidensiell eller ikke. Det betyr at informasjon som ikke bør deles med andre utenfor organisasjonen står i fare for å lekke, uten at de ansatte er klar over det.

– Det er ledernes ansvar å lære opp de ansatte til å behandle informasjonen de jobber med på en god måte. At så mange som hver fjerde ansatt er usikker på dette, tyder på en stor svikt i mange selskaper, sier Roer.

Havner konfidensiell informasjon i feil hender, kan det være skadelig for selskapet. Noe kan være børssensitivt, det kan dreie seg om omdømmesensitiv informasjon, personvern, eller påloggingsinformasjon som gir IT-kriminelle tilgang til interne systemer og lignende.

Bygg, utdanning, transport og varehandel dårligst

Det er store ulikheter innenfor ulike bransjer, og i bygg, utdanning, transport og varehandel er andelen som er usikre enda høyere. Der svarer så mange som 34 og 35 prosent at de er usikre rundt informasjonen de jobber med.

I bank og finans derimot er andelen nede i 16 prosent.

– Den samme tendensen ser vi også i den årlige sikkerhetskulturrapporten. Bransjer som bank og finans er i større grad vant til å jobbe med mye konfidensiell informasjon, og har antageligvis bedre rutiner knyttet til det. Vi ser en tydelig sammenheng mellom de ulike delene av sikkerhetskultur. De som gjør det bra på noe, gjør det gjerne også bra på andre områder. Dessverre er IT-sikkerhet like viktig for alle, uavhengig av bransje. Det har vi sett gjennom en rekke angrep i Norge det siste året, sier Kai Roer.

Kontinuerlig oppfølging

Veldig mange arbeidsplasser har en taushetserklæring inkludert i arbeidsavtalen, som omhandler hva man kan dele og ikke.

– Disse tallene tyder på at dette i liten grad blir godt nok forklart, og fulgt opp hos de ansatte. Som arbeidstaker er det mye informasjon man får tilgang til i en ny jobb. Det er ledernes ansvar å følge opp at de ansatte er trygge i sin rolle og på informasjonsforvaltningen. Minst like viktig er det å sikre at de ansatte over tid ivaretar konfidensiell informasjon korrekt. Da holder det ikke å få opplæring kun når man er ny, sier Kai Roer.

Kontinuerlig oppfølging og opplæring i IT-sikkerhet og rutiner må til, både for å holde kunnskapen ved like, og også fordi ting forandrer seg.

– IT-kriminelle jobber hele tiden med å utvikle sine metoder, og blir mer utspekulerte. Det kan også skje ting internt i bedriften, som forandrer situasjonsbildet og gjør at de ansatte må oppdateres, avslutter Kai Roer.

Undersøkelsen er gjort av KnowBe4 Research, det norske forskningssenteret til IT-sikkerhetsselskapet KnowBe4. Den ble gjennomført i mai 2021, og det var 408 929 respondenter globalt.