I veckan kom Myndigheten för samhällsskydd och beredskap, MSB, ut med råd kring informationssäkerhet för dem som jobbar på distans. Informationssäkerhetsexperten Rose-Mharie Åhlfeldt vid Högskolan i Skövde ger tips om du som arbetstagare kan öka säkerheten kring ditt hemmaarbete.
När coronakrisen nu biter sitt grepp om det svenska samhället har en stor del av medborgarna övergått till att arbeta hemifrån. Aldrig förr har digitaliseringen i samhället fått en sådan framfart i och med coronakrisen. Många har fått ändra sitt arbetssätt på ett ganska dramatiskt sätt genom att snabbt övergå till digitalt arbete.
– Generellt verkar den övergången gått ganska smidigt i och med att alla är så införstådda med att detta måste göras. Det som inte alla tänker på dock är att det finns många utmaningar i samband med övergången till arbete på distans, inte minst säkerhetsutmaningar. I praktiken har vi gått från att sitta på kontoret med förhoppningsvis en kontrollerad och säker infrastruktur till att flytta hem till en miljö där arbetsgivaren har noll koll på hur IT-miljön ser ut, säger Rose-Mharie Åhlfeldt, biträdande professor i informationsteknologi vid Högskolan i Skövde och informationssäkerhetsexpert.
Sunt förnuft om säkerhet
MSB kom i veckan ut med råd gällande Informationssäkerhet för dig som arbetar hemma. En övergripande checklista med enkla och konkreta råd och tips att tänka på när vi tar med oss arbetsgivarens information och resurser under vårt eget tak. Råden handlar om allt från att se över vilken uppkoppling man har hemmavid så att det stämmer överens med arbetsgivarens riktlinjer för distansarbete, till att tänka på vem som finns i rummet och kan lyssna på videomötet eller telefonsamtalet.
– Sunt förnuft kan man tycka. Men faktum är att det kanske inte är så enkelt för en medarbetare att veta vilka åtgärder som behöver göras. Många arbetsgivare har exempelvis inte tagit fram några klara riktlinjer för vilken uppkoppling som gäller mellan bostad och arbetsgivarens IT-miljö. Vilka krav ska ställas på hemmanätverket? Medarbetaren bör veta vad som gäller men hur lätt är det om inte riktlinjerna är framtagna?
Brist på riktlinjer
Vi vet från både utredningar och forskning att många organisationer brister i sitt systematiska informationssäkerhetsarbete och när krisen kommer finns varken tid eller resurser tillgängliga för att just i den stunden säkra upp nät och annan infrastruktur eller ta fram snabba riktlinjer för hur det egentligen ska gå till. Mycket lämnas därför åt medarbetaren själv att göra bedömningar.
SÄPO har varnat för att cybersäkerhetshoten ökar nu när allt fler arbetar hemifrån. Utövarna vet att hemmaarenan inte har den säkerhetsnivå som organisationerna själva sätter upp. Alltså finns det större chans att komma åt eftertraktad information på ett lättare sätt.
Det kommer även fler och fler källor som visar på säkerhetsbrister i de videokonferensapplikationer som är vanliga vid distansmöten. Dels säkerhetsluckor som öppnar upp för möjligheten att obehöriga kan hacka sig in och avlyssna möten eller utnyttja funktioner i mötet för egna syften, men även att systemen i sig öppnar upp för leverantören själv att ha koll på informationen som hanteras i tjänsten. Det kan vara röjande av känslig information hos organisation men även personuppgifter om mötesdeltagare vilket gör att medarbetarens egen integritet kan åsidosättas.
Ställ krav
– Med andra ord, inte lätt att göra rätt för en medarbetare som hastigt har fått ta med sig hela arbetet hem till bostaden. Hur ska man agera då? Ja, självklart lyssna och utgå från de råd som ändå ges. De är bra och tänkvärda men ställ även krav på din arbetsgivare att få den information du behöver om vad som tekniskt måste göras för att säkerställa hemmiljön. Därutöver måste man som medarbetare också ta eget ansvar och öka sin medvetenhet. Gör en snabb klassning av den information som du ska kommunicera och hantera i de tjänster som används. Är informationen känslig så måste andra åtgärder till och har då inte arbetsgivaren tagit fram regler för detta, kräv att få dem, säger Rose-Mharie Åhlfeldt.
Kontakt:
Rose-Mharie Åhlfeldt, Biträdande professor i informationsteknologi, Högskolan i Skövde, rose-mharie.ahlfeldt@his.se