De tror ikke på den løftede pegefinger
Et af de bedste værn mod de kriminelle er en kultur, hvor medarbejderne ikke er bange for at tale åbent om deres fejl, mener sikkerhedscheferne i bankernes datacentraler. ”Vi tror ikke på den løftede pegefinger. Vi offentliggør ikke, hvem der er kommet til at klikke på et forkert link”, siger Sune Aggergaard Mortensen, sikkerhedschef i BEC.
Mærsk, Bilka og Region Sjælland.
Sidste år vrimlede aviser og fjernsyn med overskrifter om it-angreb på store virksomheder og offentlige myndigheder. Intet syntes helligt for de it-kriminelle. Og truslerne synes kun at vokse, hvis man spørger sikkerhedscheferne i finanssektorens tre datacentraler, SDC, Bankdata og BEC.
"Vi sidder på pengene. Og hackernes største incitament er at få penge ud af det. Både vi som datacentre og bankerne er under konstant risiko for at blive angrebet", siger Morten Bobby Sørensen, it-sikkerhedschef i SDC.
Udlejer digitale brækjern
Samtidig er den digitale underverden beboet af en underskov af kriminelle, der har gjort det til en forretning at konstruere redskaber – digitale brækjern – som de lejer ud til andre forbrydere, påpeger Sune Aggergaard Mortensen, sikkerhedschef i BEC.
"I dag er det ret nemt at begå it-kriminalitet. Det kræver bare et kreditkort. Og det betyder, at antallet af forbrydere og angreb vokser voldsomt", siger BEC's sikkerhedschef.
I finanssektoren bliver den nyeste teknologi indkøbt til at sikre it-systemerne – både for at forebygge angreb og for at begrænse skaderne, hvis de kriminelle får held til at trænge ind. Det sidste er ikke en uvæsentlig pointe, netop fordi det i dag ikke er et spørgsmål, om de kriminelle får adgang, men hvornår de kommer ind. Og her kommer medarbejderne ind som en afgørende faktor i dette hektiske våbenkapløb mellem de kriminelle og de lovlydige. Som Sune Aggergaard Mortensen udtrykker det:
"Sagt lidt populært kan medarbejderne være vores bedste venner eller værste fjender i en kritisk situation. Deres adfærd er afgørende for sikkerheden".
Tiden er altafgørende
Jo kortere tid der går, inden angrebet bliver stoppet, jo nemmere er det at få begrænset angrebets omfang og skadevirkninger. De første 10 minutter er de vigtigste, så jo hurtigere medarbejderne rapporterer om mulige fejl, jo nemmere er det at få konstateret, om de kriminelle er kommet indenfor. Og jo hurtigere kan man få dem verfet ud igen med uforrettet sag.
Som det vigtigste gælder det, ifølge Morten Bobby Sørensen, om at kommunikere på en måde, så it-sikkerhed ikke fremstår som sort magi af algoritmer og kodelinjer. I stedet handler det om at tilskynde medarbejderne til at bruge deres sunde fornuft, når for eksempel en mail eller et telefonopkald afviger fra det normale.
"Samtidig skal vi være åbne og vise medarbejderne tillid", siger han.
SDC's sikkerhedschef holder pause et halvt sekund, inden han fortsætter:
"Vi arbejder på at skabe en tillid til, at hvis man kommer til at gøre noget, man bagefter opdager ikke var en særlig god ide, så kommer man frem med det. Man skal ikke putte med sine fejl i håbet om, at det ikke bliver opdaget".
Tror ikke på løftet pegefinger
I stedet arbejder man i alle tre datacentraler med at demonstrere, at fejl kan ske for alle. I BEC simulerer man angreb for at gøre medarbejderne opmærksomme på, hvor let det er at falde i de it-kriminelles fælder.
"Vi tror ikke på den løftede pegefinger. Vi offentliggør ikke, hvem der er kommet til at klikke på et forkert link. Vi holder os til at vise de overordnede tal. Formålet er ikke at hænge enkelte personer ud. Næste gang vi gennemfører en kampagne, kan det være helt andre personer, der falder i", siger Sune Aggergaard Mortensen.
Og kan man som virksomhed skabe en kultur, hvor det er tilladt at begå fejl, kommer medarbejderne frem med deres oplevelser.
"Så begynder folk at tale om de simulerede angreb uden sure blikke. I stedet er der positiv respons. 'Nå, jeg hoppede også på det. Hvad med dig?' Så kommer der en refleksion og en læring ud af det på tværs af organisationen. Det er den kultur, vi vil blive ved med at dyrke", siger Sune Aggergaard Mortensen.
Ifølge Morten Gade Christensen, it-direktør (CIO) i Bankdata, skal man være bevidst om, at man ikke kan tvinge en kultur igennem.
"Men man kan fremelske den. Når man ser de gode eksempler rundtomkring i organisationen, skal man dyrke dem. Man skal fremhæve dem. Det er helt grundlæggende, hvis man vil skabe den forandring i virksomheden", siger han.
Erkend egne fejl
De færreste medarbejdere har noget imod at blive fremhævet for at gøre det rigtige, lyder Morten Gade Christensens pointe:
"Omvendt må man ikke bruge stokken. Når en medarbejder for eksempel kommer og siger, at han er kommet til at sætte en fremmed USB-nøgle i sin computer, og du giver ham et par over nakken, så garanterer jeg dig, at næste gang siger han ingenting. Og så er risikoen endnu større".
I stedet for er det langt mere effektivt at rose den ansatte for at komme frem med en fejl, så den kan blive korrigeret i en fart. Samtidig kan en chef selv gå forrest ved at erkende egne fejl, understreger han.
"Man skal starte med kejserens nye klæder og erkende, at man selv som chef begår fejl. Man skal stille sig nøgen foran medarbejderne. Det kan være med til at fremelske den gode kultur", slutter Morten Gade Christensen.
Sådan bekæmpes nulfejlskultur
Morten Gade Christensen, direktør i Bankdata, har tre gode råd til, hvordan man som chef skaber den gode kultur, hvor medarbejderne ikke er bange for at tale om fejl.
1. Dyrke ærlighed. Hvis du selv har kvajet dig, sig det åbent. Og hvad du gjorde for at rette fejlen.
2. Fremelsk de gode eksempler i organisationen. Ingen har noget imod at blive fremhævet positivt.
3. Brug tid og ressourcer på at presse kulturen i den rigtige retning. Det er et langt, sejt træk.