Nyt etisk kodeks for sikkerhedstest er på plads

24. februar 2021 - En lang række organisationer og myndigheder står sammen om et fælles kodeks for, hvordan man bør teste it-sikkerheden og samtidig beskytte de ansattes rettigheder. Dubex var initiativtager til at skabe kodekset i IT-Branchen på baggrund af en kendt, uheldig sag.

Vi siger det igen og igen: Med øget digitalisering kommer øget risiko for sårbarheder og kompromitteringer, og i kampen mod cyberkriminelle er sikkerhedstest et vigtigt våben. Der findes flere slags sikkerhedstest, som alle har til formål at teste forskellige aspekter virksomhedernes sikkerhed.

En sikkerhedstest handler langt hen ad vejen om at agere som en fjendtlig aktør for at finde svaghederne i organisationen, og det kan nemt føre til konflikter og situationer, hvor den enkelte medarbejder kan føle sig krænket eller udstillet.

Derfor har IT-Branchen, KL og HK i samarbejde med Dubex nu udarbejdet et nyt etisk kodeks for sikkerhedstest.

Kodekset indeholder seks spilleregler

Kodekset skal ses som en række minimumsforpligtelser til leverandører af sikkerhedstest og deres kunder og skal anvendes til dialog om fælles forståelse om god praksis. Ligeledes skal det være med til at beskytte de ansattes rettigheder.

Klaus Kongsted, CRO i Dubex, der har været Dubex’ repræsentant i arbejdet med kodekset, siger: ”Dette kodeks handler om, at alle – organisationer, der har behov for at teste sikkerheden, disses medarbejdere og den udførende leverandør – får overholdt grundlæggende etiske principper, og samtidig tilgodeser legitime behov for sikkerhedstests.”

En enkelt fagforening, der også blev tilbudt at stå som medafsender på kodekset, har været ude med kritik af manglende konkrete retningslinjer i det, samt at det mangler at specificere, at it-sikkerhed er ledelsens ansvar.

”Sidstnævnte er forhåbentlig ganske overflødigt at nævne, specielt i et etisk kodeks, og konkrete retningslinjer hører efter afsendernes mening heller ikke hjemme i et etisk kodeks. Det skal markedet nok selv håndtere, og skal heller ikke være en hindring for innovation og fornyelse,” understreger Klaus.

Kodekset indeholder seks principper for sikkerhedstest:

  1. Vær enige om mål og midler
  2. Test organisationen, ikke medarbejderen
  3. Indhold og brug af case-materiale
  4. Giv dig til kende i tilfælde af konflikter
  5. Videregiv viden om kriminelle handlinger
  6. Sørg for ansvarlig datahåndtering

”Mange ting og emner blev vendt under udarbejdelsen af kodekset, men jeg synes godt, vi kan være stolte af det endelige resultat – de seks principper rammer præcist i, hvad der er væsentligt i forhold til etikken i sikkerhedstests,” siger Klaus.

Test virksomheden ikke medarbejderen

Medarbejderne er centrale for virksomhedens sikkerhed, og derfor vil medarbejderne naturligt blive påvirket af sikkerhedstest, da sikkerhedshuller ofte skyldes menneskelige fejl. Det er dog vigtigt at understrege, at dette skal ses som et ledelses- eller organisationsspørgsmål, da man bør teste kulturen og ikke den enkelte medarbejder. På denne måde kan man også undgå at krænke eller udstille enkelte medarbejdere.

”Ligesom det er ledelsens ansvar at sørge for god it-sikkerhed, er det også ledelsens ansvar at klæde medarbejderne ordenligt på til at håndtere it og sikkerheden omkring den i det daglige, eksempelvis gennem awareness-programmer. Derfor er det helt naturligt, at det er organisationen, der testes, og ikke den enkelte medarbejder,” fortæller Klaus og fortsætter: ”I Dubex har vi altid rapporteret resultatet af sikkerhedstests til kunder på en måde, så enkeltindivider ikke kan udpeges – ligegyldigt om der er tale om phishing-tests, Red Team-øvelser, eller hvad det måtte være.”

Red Teams og sikkerhedstests er et omdiskuteret emne med alvorlige sager, der har ført til sygemeldinger og bøder. Og netop derfor er det vigtigt at have en branchestandard, der specificerer, hvordan man skal agere.

”Idéen til kodekset fik vi, som nævnt, pga. en uheldig sag i branchen. I Dubex har vi altid selv levet op til interne retningslinjer, der går endnu videre end det endelige resultat af kodekset, men det er godt at få sat etiske principper helt på plads for alle i branchen. Ligesom flyselskaber ikke skal konkurrere på flysikkerhed, skal it-sikkerhedsleverandører heller ikke konkurrere på etik – begge dele skal bare være i top,” afslutter Klaus.

Akademikerne, Center for Cybersikkerhed, Dansk Erhverv, Dansk Industri, Danske Regioner, Digitaliseringsstyrelsen, Erhvervsstyrelsen, HK, IT-Branchen, KL og SMV Danmark støtter kodekset, som kan læses i sin helhed her.