– Høyrisiko å la ansatte laste ned nettprogrammer på bedriftens it-utstyr
Norsis advarer mot bruk av pc og mobil til både arbeid og privat bruk på hjemmekontoret.
Etter mer enn ett år med hjemmekontor kan fremdeles tre av 10 arbeidstakere laste ned programvare på jobbens PC og mobiltelefon uten godkjenning fra virksomheten. Mange bruker også samme it-utstyr privat og på jobb. Det skriver Norsis.
Nå advarer de mot det manglende skillet mellom privat og jobb-bruk av it-utstyr da de mener slik bruk kan føre til både datainnbrudd, verdikjedeangrep og høye bøter for brudd på personvernforordningen.
– Det er høyrisiko å tillate ansatte å laste ned nettprogrammer og andre ting på bedriftens it-utstyr. Spesielt i en tid hvor mange jobber hjemme mot jobbens it-system er denne sårbarheten stor. Derfor er det avgjørende viktig at arbeidsgiver har klare og kjente regler for denne type nedlastinger, sier administrerende direktør i Norsis, Lars-Henrik Gundersen, i en pressemelding.
Mer enn fire av 10 bruker samme it-utstyr privat og på jobb
Ifølge Gundersen kan det å laste ned programmer på jobbens pc eller mobil, som ikke er godkjent og som ingen vet finnes i bedriftens nett, være en risiko for hele bedriftens it-system. Gundersen advarer mot å bruke selv de enkleste gratisprogrammer – som for eksempel til å rense pc-en, redigere bilder eller gjøre om dokumenter til PDF.
– Plutselig lastes det ned et program som i verste fall kan spionere på eller plante skadevare i hele virksomheten, sier han.
Norsis og Næringslivets Sikkerhetsråd har gjennomført en representativ undersøkelse utført blant yrkesaktive nordmenn. 31 prosent av de spurte oppgir at de kan laste ned programvare og annet på jobbens it-utstyr uten at virksomheten har gitt tillatelse til dette.
I den representative undersøkelsen oppgir også hele 42 prosent av de spurte arbeidstakerne at de bruker samme PC, mobil eller nettbrett både til jobb og privat.
– Gjennomgående er det slik at privat utstyr ofte har lavere sikkerhetsnivå enn det virksomhetene bør godta. Hvis du for eksempel bruker en privat mobiltelefon til å logge deg på virksomhetens e-postsystem, kan andre ondsinnede apper på den samme telefonen plukke opp informasjon for pålogging. Dette kan igjen gi angriperne tilgang til all data i virksomheten, sier direktør i Næringslivets Sikkerhetsråd, Odin Johannessen, i meldingen.
Bruk av privat it-utstyr kan føre til brudd på GDPR
Ifølge Norsis er også risikoen for å bryte personopplysningsregelverket også en årsak til å være forsiktig med bruk av privat it-utstyr til jobben. Dette stiller nemlig krav til at alle virksomheter som behandler personopplysninger, skal ha kontroll over personopplysningene de forvalter.
– Dersom en ansatt enten i virksomheten som er databehandler eller hos en av underleverandørene laster ned dokumenter som inneholder personopplysninger på sin private pc er det umulig for å ha kontroll på hvor disse opplysningene er, og hvor de kan ende opp. De kan for eksempel ende opp i skylagring eller i mapper på en pc med et nettverk som er dårlig sikret eller på annen måte bryte med kravene i databehandleravtalen eller den behandlingsansvarliges internkontroll, sier Gundersen, og fortsetter:
– Særlig brudd på internkontrollen kan i sin tur medføre brudd på personopplysningssikkerheten som kan gi konsekvenser for virksomheten, for eksempel ved at virksomhetene får høye bøter.