Nyt etisk kodeks for sikkerhedstest skal beskytte medarbejderne og sikre gode vilkår for testen

En lang række organisationer og myndigheder går i dag ud med et fælles etisk kodeks for, hvordan man bør teste it-sikkerheden, uden det krænker eller udstiller den enkelte medarbejder.

Kodekset skal ses som en række minimumsforpligtelser til leverandører af sikkerhedstests og deres kunder. Det er ikke en certificerings- eller en mærkningsordning, men det er tanken, at leverandører af sikkerhedstest og deres kunder skal kunne anvende kodekset til en dialog om fælles forståelse af, hvad der er god praksis i forbindelse med sikkerhedstest.

"Det er et fælles ansvar at fremme en god kultur for it-sikkerhed i hele organisationen. Sikkerhedstests skal derfor understøtte en fælles forståelse og den gode kultur på arbejdspladsen, hvor man sammen tager ansvaret på sig, og jeg håber, at det nye kodeks kan være med til at styrke det fokus fremadrettet," udtaler Thomas Kastrup-Larsen, Borgmester, Aalborg Kommune, medlem KL's bestyrelse, formand, Arbejdsmarkeds- og Borgerserviceudvalget, KL.

En sikkerhedstest handler langt hen ad vejen om at agere som en fjendtlig aktør for at finde svaghederne i organisationen. Det kan nemt føre til konflikter og situationer hvor den enkelte medarbejder føler sig krænket eller udstillet. Det kan endvidere føre til en dårlig kultur, hvor man ikke tør rapportere fejl.

"Det er vigtigt, at en sikkerhedstest ikke tester den enkelte medarbejder. Den skal teste kulturen, organisationen og effekten af de sikkerhedstiltag og kurser, som man har iværksat. Sikkerhedstesten må heller aldrig blive en vurdering eller analyse af den enkelte medarbejder. Det skal dette kodeks sikre fremadrettet. Og så skal overenskomster og aftaler som f.eks. aftalen om kontrolforanstaltninger selvfølgelig overholdes," udtaler Mads Samsing, næstformand i HK Kommunal.

For at imødegå denne usikkerhed, og for at bidrage til at en sikkerhedstest udføres med respekt for de etiske rammer og medarbejdernes hverdag og privatliv, udsender en lang række organisationer på tværs af leverandør, arbejdsgiver og medarbejder i fællesskab dette kodeks for udførelse af sikkerhedstests.

"Med dette fælles kodeks opstiller vi en række spilleregler, som både de leverandører der gennemfører testen, de der bestiller testen, og de der bliver berørt af testen med fordel, kan anvende. Vi ønsker med kodekset at gøre det klart, at en sikkerhedstest er et vigtigt værktøj til at sikre god sikkerhed, og at man med brug af kodekset også kan være tryg ved at gennemføre disse test," udtaler Bjarke Alling, formand for IT-Branchens it-sikkerhedsudvalg.

De 6 principper for sikkerhedstest lyder således:

• Vær enige om mål og midler
• Test organisationen, ikke medarbejderen
• Indhold og brug af case-materiale
• Giv dig til kende i tilfælde af konflikter
• Videregiv viden om kriminelle handlinger
• Sørg for ansvarlig datahåndtering

Kodekset afsendes af Akademikerne, Center for Cybersikkerhed, Dansk Erhverv, Dansk Industri, Danske Regioner, Digitaliseringsstyrelsen, Erhvervsstyrelsen, HK, IT-Branchen, KL og SMVdanmark.