Arbeidsliv

Etter mer enn ett år med hjemmekontor kan fremdeles 3 av 10 arbeidstakere laste ned programvare på jobbens PC og mobiltelefon uten godkjenning fra virksomheten.

Geber86/iStock

Bruker du samme mobil og PC privat og på jobb?

Det kan i verste fall kan føre til både datainnbrudd, verdikjedeangrep og høye bøter for brudd på personvernforordningen.

CAMILLA SKJÆR BRUGRAND

Publisert torsdag 15. april 2021 - 07:50 Sist oppdatert torsdag 15. april 2021 - 09:50

Etter mer enn ett år med hjemmekontor kan fremdeles 3 av 10 arbeidstakere laste ned programvare på jobbens PC og mobiltelefon uten godkjenning fra virksomheten. Mange bruker også samme IT-utstyr privat og på jobb.

Nå advarer NorSIS mot det manglende skillet mellom privat og jobb-bruk av IT-utstyr som i verste fall kan føre til både datainnbrudd, verdikjedeangrep og høye bøter for brudd på personvernforordningen.

– Det er høyrisiko å tillate ansatte å laste ned nettprogrammer og andre ting på bedriftens IT-utstyr. Spesielt i en tid hvor mange jobber hjemme mot jobbens IT-system er denne sårbarheten stor. Derfor er det avgjørende at arbeidsgiver har klare og kjente regler for denne type nedlastinger, sier administrerende direktør i NorSIS, Lars-Henrik Gundersen.

Trussel for virksomheten

NorSIS og Næringslivets Sikkerhetsråd har gjennomført en representativ undersøkelse utført blant yrkesaktive nordmenn.

31 prosent av de spurte oppgir at de kan laste ned programvare og annet på jobbens IT-utstyr uten at virksomheten har gitt tillatelse til dette.

– Å laste ned programmer på jobbens PC eller mobil som ikke er godkjent og som ingen vet finnes i bedriftens nett kan være en risiko for hele bedriftens IT-system.

– Det kan være enkle gratisprogrammer som den ansatte kan bruke til å rense PC-en, redigere bilder eller gjøre om dokumenter til PDF. Plutselig lastes det ned et program som i verste fall kan spionere på eller plante skadevare i hele virksomheten, advarer Gundersen.

Lavere sikkerhetsnivå

I den representative undersøkelsen oppgir også hele 42 prosent av de spurte arbeidstakerne at de bruker samme PC, mobil eller nettbrett både til jobb og privat.

Gjennomgående er det slik at privat utstyr ofte har lavere sikkerhetsnivå enn det virksomhetene bør godta.

Hvis du for eksempel bruker en privat mobiltelefon til å logge deg på virksomhetens e-postsystem, kan andre ondsinnede apper på den samme telefonen plukke opp informasjon for pålogging.

– Dette kan igjen gi angriperne tilgang til all data i virksomheten, sier direktør i Næringslivets Sikkerhetsråd, Odin Johannessen.

Klare regler

Såkalte verdikjedeangrep, der en virksomhet blir brukt som et ledd i et angrep på en annen kunde, leverandør eller samarbeidspartner, er i NorSIS-rapporten «Trusler og trender 2021» fremhevet som en av fire digitale trusler som små og mellomstore bedrifter skal se spesielt opp for i år.

Ifølge Gundersen er det viktig å ha oversikt over hele verdikjeden sin for å unngå denne type angrep.

– Da gjelder det å ha klare regler og rutiner for bruk av jobbutstyr til private formål og motsatt.

– Har den ansatte dedikert utstyr som brukes til jobb er det også enklere for arbeidsgiver å forsikre seg om at alle programmer, systemer og apper er sikkerhetsoppdatert og at programmer som ikke er i bruk slettes, sier NorSIS administrerende direktør.

Bryter med GDPR

Han peker også på risikoen for å bryte personopplysningsregelverket som nok en årsak til å være forsiktig med bruk av privat IT-utstyr til jobben.

Dette stiller nemlig krav til at alle virksomheter som behandler personopplysninger, skal ha kontroll over personopplysningene de forvalter.

Behandlingen internt i virksomheten styres i en internkontroll, mens all videre behandling av personopplysninger hos underleverandører eller andre tredjeparter skal reguleres i en databehandleravtale.

Til sammen skal disse gjøre det helt klart hvordan og hvor personopplysninger brukes, lagres og hvem de deles med eller videreformidles til.

Dersom en ansatt enten i virksomheten som er databehandler eller hos en av underleverandørene laster ned dokumenter som inneholder personopplysninger på sin private PC, er det umulig for å ha kontroll på hvor disse opplysningene er, og hvor de kan ende opp.

De kan for eksempel ende opp i skylagring eller i mapper på en PC med et nettverk som er dårlig sikret eller på annen måte bryte med kravene i databehandleravtalen eller den behandlingsansvarliges internkontroll.

– Særlig brudd på internkontrollen kan i sin tur medføre brudd på personopplysningssikkerheten som kan gi konsekvenser for virksomheten, for eksempel ved at virksomhetene får høye bøter, sier administrerende direktør i NorSIS, Lars-Henrik Gundersen.

pc it-sikkerhet hjemmekontor gdpr arbeidsliv mobil

Bruker du samme mobil og PC privat og på jobb?

Det kan i verste fall kan føre til både datainnbrudd, verdikjedeangrep og høye bøter for brudd på personvernforordningen.

Trussel for virksomheten

Lavere sikkerhetsnivå

Klare regler

Bryter med GDPR

Tar du livsløgnen fra en politiker … hva tar du da fra han?

Strategi | Still gode spørsmål

Magne Lerø: Krig som nødvendig risikosport

Hva innebærer 'forbud mot gjengjeldelse'?

Nødvendige prioriteringer må skje, selv om det kan gå på tilliten løs

Magne Lerø: Vedums urene trav i lei bondeskvis

Hallo, skal det beregnes feriepenger av bonus?

Marius Jones | Psykologisk trygghet skraper overflaten på noe som ble godt beskrevet for lenge siden

Slaget om EØS-avtalen er ikke over i Fellesforbundet

Selvledelse | Bli flinkere til å ta imot kritikk

Magne Lerø: Straffebølge slår inn over landets småbedrifter

Åtte nye forskningssentre for miljøvennlig energi

Vanskeleg klima for klimadebatt

Magne Lerø: Et forsvar for den uthengte Ingvild Kjerkol

Blir ledere bedre ved å stoppe opp?

Enighet i hotell og restaurant

Psykiske helseplager utgjør en fjerdedel av alt sykefravær: 3 av 10 får ikke hjelp

Diskriminering på grunn av aldersgrense

Magne Lerø: Støre ut av Kjerkol-kattepinen

Tor W. Andreassen| Frontfagsmodellen må moderniseres

Bioingeniørene glemmes i støyen fra sykepleiere og leger

Storebrands HR-direktør: – Kunstig intelligens kan gi bedre muligheter i arbeidslivet for flere

Magne Lerø: Økokrim – enda et slag i løse luften

Enige om lønn i byggebransjen: Entreprenører frykter for framtiden

Kultur- og mangfoldsminister: Et skritt mot ekte likestilling?

Rett til permisjon ved religiøse høytider

Ledere drikker mer og oftere enn andre

Magne Lerø: Vi tåler kontroversielle 17. mai-talere

Lise Lyngsnes Randeberg: Hvor fattig er ‘passe fattig’ for studentene?

Tor W. Andreassen: Vi trenger et bærekraftig helsevesen

Oppsigelse på grunn av soning?

Det usynlige arbeidet på jobben - en kvinnefelle

Truls Liland: Det grønne skiftet og samfunnsengasjement

Enighet i lønnsoppgjøret: Mer å rutte med for alle

Magne Lerø: Ap fomler – løser ikke problemene i skolen

Runder 70 år: Noen mener han er stokk konservativ, andre at han er en opprørsk radikaler – det passer Magne Lerø godt

Øk din innflytelse, inviter på «fiendekaffe»

Magne Lerø: Nye nødvendige forsvarsmilliarder – sikkerhet som velgermagnet

Synspunkt | Frode Solberg og Hege Tunstad: Den store kvinnejakten

Overbevise en gruppe? Ikke gå rett i «enighetsfella»

Fersk IMDI-rapport: 37 prosent av innvandrere opplever barrierer for sysselsetting i Norge

SYNSPUNKT | Trenger vi (enda) mer snakk om psykologisk trygghet?

Bruk av advarsler til ansatte

Synspunkt | Maiken Furre: Medarbeiderskap krever mer av lederen

Telenor nedbemanner over 100 ansatte: – Dette er en tung beskjed å motta

Magne Lerø: Helse må få større lønnsøkning enn alle andre

– Vi må ikke gi dem opp

Overtidsarbeid: Kan sjefen kreve at du jobber doble vakter?

Synspunkt | Fire tips for en mer inkluderende ledelse

Synspunkt | Espen Husstad: Elbiler trenger 16 ukers helvete