Datasikkerhet:

Advarer mot bruk av PC og mobil til både arbeid og privat bruk på hjemmekontoret

Norsk senter for informasjonssikkerhet (NorSIS) advarer mot det manglende skillet mellom privat og jobb-bruk av IT-utstyr.

Oslo 20200324. Jobbe hjemmeifra, Illustrasjonsbilder. Hjemmekontor på kjøkkenet. NB! MODELLKLARERT. Foto: Thomas Brun / NTB Foto: Thomas Brun

Etter mer enn ett år med hjemmekontor kan fremdeles tre av 10 arbeidstakere laste ned programvare på jobbens PC og mobiltelefon, uten godkjenning fra virksomheten. Mange bruker også samme IT-utstyr privat og på jobb. I verste fall kan dette føre til både datainnbrudd, verdikjedeangrep og høye bøter for brudd på personvernforordningen, mener NorSIS.

– Det er høyrisiko å tillate ansatte å laste ned nettprogrammer og andre ting på bedriftens IT-utstyr. Spesielt i en tid hvor mange jobber hjemme mot jobbens IT-system er denne sårbarheten stor. Derfor er det avgjørende viktig at arbeidsgiver har klare og kjente regler for denne type nedlastinger, sier administrerende direktør i NorSIS, Lars-Henrik Gundersen i en pressemelding.

NorSIS og Næringslivets Sikkerhetsråd har gjennomført en undersøkelse blant yrkesaktive nordmenn. 31 prosent av de spurte oppgir at de kan laste ned programvare og annet på jobbens IT-utstyr uten at virksomheten har gitt tillatelse til dette.

Følg MN24 på Facebook

Kan være risiko

– Å laste ned programmer på jobbens PC eller mobil som ikke er godkjent og som ingen vet finnes i bedriftens nett kan være en risiko for hele bedriftens IT-system. Det kan være enkle gratisprogrammer som den ansatte kan bruke til å rense PC-en, redigere bilder eller gjøre om dokumenter til PDF. Plutselig lastes det ned et program som i verste fall kan spionere på eller plante skadevare i hele virksomheten, advarer Gundersen.

I den representative undersøkelsen oppgir også hele 42 prosent av de spurte arbeidstakerne at de bruker samme PC, mobil eller nettbrett både til jobb og privat.

– Gjennomgående er det slik at privat utstyr ofte har lavere sikkerhetsnivå enn det virksomhetene bør godta. Hvis du for eksempel bruker en privat mobiltelefon til å logge deg på virksomhetens e-postsystem, kan andre ondsinnede apper på den samme telefonen plukke opp informasjon for pålogging. Dette kan igjen gi angriperne tilgang til all data i virksomheten, sier direktør i Næringslivets Sikkerhetsråd, Odin Johannessen.

Såkalte verdikjedeangrep, der en virksomhet blir brukt som et ledd i et angrep på en annen kunde, leverandør eller samarbeidspartner, er i NorSIS-rapporten «Trusler og trender 2021» fremhevet som en av fire digitale trusler som små og mellomstore bedrifter skal se spesielt opp for i år.

LES OGSÅ: Nito: Tre av fire jobbet hjemme

Kan føre til brudd på GDPR

Han peker også på risikoen for å bryte personopplysningsregelverket som nok en årsak til å være forsiktig med bruk av privat IT-utstyr til jobben. Dette stiller nemlig krav til at alle virksomheter som behandler personopplysninger, skal ha kontroll over personopplysningene de forvalter.

Behandlingen internt i virksomheten styres i en internkontroll, mens all videre behandling av personopplysninger hos underleverandører eller andre tredjeparter skal reguleres i en databehandleravtale.

Les flere saker om hjemmekontor på MN24