Etter mer enn ett år med hjemmekontor kan fremdeles 3 av 10 arbeidstakere laste ned programvare på jobbens PC og mobiltelefon uten godkjenning fra virksomheten. Mange bruker også samme IT-utstyr privat og på jobb.
Nå advarer NorSIS mot det manglende skillet mellom privat og jobb-bruk av IT-utstyr som i verste fall kan føre til både datainnbrudd, verdikjedeangrep og høye bøter for brudd på personvernforordningen.
– Det er høyrisiko å tillate ansatte å laste ned nettprogrammer og andre ting på bedriftens IT-utstyr. Spesielt i en tid hvor mange jobber hjemme mot jobbens IT-system er denne sårbarheten stor. Derfor er det avgjørende viktig at arbeidsgiver har klare og kjente regler for denne type nedlastinger, sier administrerende direktør i NorSIS, Lars-Henrik Gundersen.
NorSIS og Næringslivets Sikkerhetsråd har gjennomført en representativ undersøkelse utført blant yrkesaktive nordmenn. 31 prosent av de spurte oppgir at de kan laste ned programvare og annet på jobbens IT-utstyr uten at virksomheten har gitt tillatelse til dette.
– Å laste ned programmer på jobbens PC eller mobil som ikke er godkjent og som ingen vet finnes i bedriftens nett kan være en risiko for hele bedriftens IT-system. Det kan være enkle gratisprogrammer som den ansatte kan bruke til å rense PC-en, redigere bilder eller gjøre om dokumenter til PDF. Plutselig lastes det ned et program som i verste fall kan spionere på eller plante skadevare i hele virksomheten, advarer Gundersen.
I den representative undersøkelsen oppgir også hele 42 prosent av de spurte arbeidstakerne at de bruker samme PC, mobil eller nettbrett både til jobb og privat.
– Gjennomgående er det slik at privat utstyr ofte har lavere sikkerhetsnivå enn det virksomhetene bør godta. Hvis du for eksempel bruker en privat mobiltelefon til å logge deg på virksomhetens e-postsystem, kan andre ondsinnede apper på den samme telefonen plukke opp informasjon for pålogging. Dette kan igjen gi angriperne tilgang til all data i virksomheten, sier direktør i Næringslivets Sikkerhetsråd, Odin Johannessen.
– Dersom en ansatt enten i virksomheten som er databehandler eller hos en av underleverandørene laster ned dokumenter som inneholder personopplysninger på sin private PC er det umulig for å ha kontroll på hvor disse opplysningene er, og hvor de kan ende opp. De kan for eksempel ende opp i skylagring eller i mapper på en PC med et nettverk som er dårlig sikret eller på annen måte bryte med kravene i databehandleravtalen eller den behandlingsansvarliges internkontroll. Særlig brudd på internkontrollen kan i sin tur medføre brudd på personopplysningssikkerheten som kan gi konsekvenser for virksomheten, for eksempel ved at virksomhetene får høye bøter, sier administrerende direktør i NorSIS, Lars-Henrik Gundersen.
