En række aktører, heriblandt Center for Cybersikkerhed og Datatilsynet, har i de senere dage påpeget, hvordan foranstaltningerne mod COVID-19 indebærer et øget trussel mod virksomheders og organisationers cybersikkerhedsforanstaltninger, idet hjemmearbejdspladser indebærer en øget risiko.
Virksomheder og organisationer skal være opmærksomme på, at den risikobaserede tilgang, der ligger til grund for cybersikkerhedsreglerne, også gælder for den nuværende situation.
For eksempel skal den risikobaserede tilgang, som er krævet under persondataforordningens artikel 32, inkludere den øgede risiko som opstår, når medarbejdere arbejder hjemme. At hjemmearbejde i øjeblikket sker i videre omfang end normalt, er efter vores vurdering ikke et undskyldeligt forhold.
Virksomheder og organisationer skal til stadighed: ”[..] sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og –tjenester”. Dette ansvar omfatter også hjemmearbejdende medarbejdere.
Under disse usædvanlige omstændigheder, hvor medarbejdere i videre omfang end normalt arbejder hjemmefra, kan visse medarbejdere være fristet til at tage lette, men mindre sikre løsninger i brug. Herunder arbejde udenom VPN-forbindelser eller undlade softwareopdateringer mv.
Virksomheder og organisationer skal derfor være opmærksomme på at medarbejderes almindelige undladelser i forhold til sikkerhedsforanstaltninger, der normalvis er garanteret ved arbejde on-site hos virksomheden, kan indebære et ansvar for arbejdsgiveren på medarbejderens vegne. Det er derfor vigtigt at virksomheder har fokus på eventuelle undladelser i forhold til informations- og cybersikkerhed. Det samme gør sig gældende på persondataområdet.
Virksomheder bør således sikre, at der er givet et tilstrækkeligt instruks til medarbejdere om sikkerhed på hjemmearbejdspladsen.
Vi bakker op om de anbefalinger, som Center for Cybersikkerhed har udsendt den 14. og 15. marts 2020, med konkrete handlinger der kan imødegå den øgede juridiske risiko:
Gode råd til organisationen
- Såfremt det viser sig nødvendigt at midlertidigt ændre sikkerhedspolitikkerne, for at sikre tilgængeligheden af systemer med et ændrede brugsmønster, er det vigtigt at der implementeres kompenserende foranstaltninger.
- Sørg for at det udleverede udstyr til medarbejdere, fx telefoner, iPads og laptops, er krypterede og at tilgang til det udleverede udstyr er tilstrækkeligt beskyttet med passwords.
- Sørg for at der kan kommunikeres med alle medarbejdere, og at de er bekendt med de besluttede kommunikationskanaler.
- Vær opmærksom på det øgede trusselsbillede, hvor kriminelle prøver at udnytte denne situation. De vil f.eks. forsøge at udbrede ransomware og sende phishinglinks og -sms’er, under dække af corona.
- Sørg for at medarbejderne kender processerne for fjernadgang, og tester, at de virker (f.eks. VPN, fler-faktor autentifikation osv.)
- Sørg for at infrastrukturen der understøtter fjernadgangen, har kapacitet og licenser nok til at dække det øgede antal brugere, der skal have samtidig adgang.
- Sørg for at automatisk opdatering af medarbejdernes arbejdscomputere også virker, når de arbejder hjemmefra. Hvis dette ikke er en mulighed, skal medarbejderne mindes om at opdatere dem jævnligt.
- Sørg for at være bevidst om risici ved eventuelle midlertidige adgange eller tilladelser, og at revurdere dem når behovet ikke længere er til stede.
- Når situationen er normal igen, så husk at opsamle erfaringerne til at forbedre fjernadgang, processer og beredskabsplaner.
Gode råd til medarbejderen
- Brug de værktøjer og kommunikationskanaler din arbejdsplads stiller til rådighed, og husk at sikkerhedspolitikerne også gælder når du arbejder hjemmefra. Vær for eksempel opmærksom på regler for brug af f.eks. private mailkonti og filudvekslingstjenester.
- Hvis din arbejdscomputer ikke holdes opdateret automatisk, skal du huske at holde den opdateret selv.
- Test at din fjernadgang virker, så eventuelle problemer kan afhjælpes med det samme.
- Vær opmærksom på evt. falske mails eller sms, som du modtager under dække af nyheder om corona.
- Husk også at beskytte den fysiske adgang til din arbejdscomputer, når du arbejder hjemmefra.