Ny etisk guideline til udførelse af digitale sikkerhedstest

28-01-2021
Sikkerhed

Digitaliseringsstyrelsen er medafsender på et nyt fælles kodeks for udførelse af digitale sikkerhedstest i organisationer.

I forbindelse med databeskyttelsesdagen lancerer It-Branchen, KL og HK i dag et nyt kodeks, som kunder og leverandører kan bruge som en guideline, når de skal gennemføre digitale sikkerhedstest. Kodekset sætter gennem seks principper særligt fokus på de etiske aspekter af medarbejdernes hverdag og privatliv, når der udføres sikkerhedstest.

Digitaliseringen har stor betydning for både virksomheder og for den offentlige sektors udvikling. Det betyder også, at det er afgørende, at vi beskytter vores data mod cyberkriminalitet. Det er ikke blevet mindre aktuelt at have styr på sikkerheden under coronakrisen, hvor vi er afhængige af digitale systemer til hjemmearbejde. Derfor er det vigtigt, at virksomheder og organisationer med jævne mellemrum får testet deres sikkerhed, så det bliver muligt at identificere og undgå sårbarhederne.

En god sikkerhedstest gør brug af de metoder, de digitale svindlere bruger. Men sikkerhedstesten må aldrig udstille eller virke krænkende på medarbejderne. Principperne i kodekset er derfor udarbejdet som et sæt spilleregler for både leverandører af sikkerhedstests og deres kunder. Der er ikke tale om en certificerings- eller mærkningsordning, men det er tanken, at kodekset skal anvendes til at opbygge en fælles forståelse af god praksis.

Det nye kodeks bakkes op af Digitaliseringsstyrelsen.

Sikkerhedstest er et godt værktøj til at værne om sikkerheden i sit it-system, men det skal selvfølgelig gøres på en ordentlig måde, der ikke udstiller medarbejderne men har fokus på sikkerheden i systemet. Her kan det nye kodeks være en god rettesnor.

Marie Wessel, kontorchef i Kontor for cyber- og informationssikkerhed, Digitaliseringsstyrelsen

Det fremgår blandt andet af principperne i det nye kodeks, at det skal være tydeligt, at formålet med en sikkerhedstest er at teste organisationen, ikke at udstille den enkelte medarbejders fejl eller ageren ved eksempelvis en phishingkampagne.

Principper fra kodekset

  1. Vær enige om mål og midler
  2. Test organisationen, ikke medarbejderen
  3. Indhold og brug af case-materiale
  4. Giv dig til kende i tilfælde af konflikter
  5. Videregiv viden om kriminelle handlinger
  6. Sørg for ansvarlig datahåndtering.

Find kodekset og læs mere om principperne

Kodeksets afsendere er Akademikerne, Center for Cybersikkerhed, Dansk Erhverv, Dansk Industri, Danske Regioner, Digitaliseringsstyrelsen, Erhvervsstyrelsen, HK, IT-Branchen, KL, Finans Danmark og SMV Danmark.