Vil du være med til formidlingseksperimentet #Hvadgørduselv?

Klumme: DKCert afprøver en ny måde at formidle adfærdstal for at se, om det kan ændre adfærden. Vil du være med?

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

#Hvadgørduselv?


17. december 2020 udkom Danskernes Informationssikkerhed, en rapport, som vi i DKCert har udarbejdet og udgivet sammen med Digitaliseringsstyrelsen, KL og Danske Regioner. Noget vi har gjort siden 2013.

Rapporten giver en status på borgere og offentligt ansattes oplevelser med, kendskab til og adfærd inden for informationssikkerhed.

Når man sidder, hvor jeg gør, kan der godt være en tendens til, at de mange rapporter, som bruges til at analysere sikkerhedssituationen, bliver inden for cybersikkerhedsmiljøet.

Intet forgjort i det, da vores professionelle opgave er at gøre noget ved cyber- og informationssikkerheden inden for det forretningsområde, vi arbejder i.

Vi vil gerne kende billedet, så vi kan reagere over for det, ligesom vi også gerne vil fortælle omverdenen om det.

Sådan var det oprindeligt tænkt med analyserne – Danskernes Informationssikkerhed – da de blev igangsat i 2013, og fra 2016 fik penge fra den Den fællesoffentlige digitaliseringsstrategi 2016-2020 til at blive fortsat: Iværksæt undersøgelse, analysér, gennemfør awarenesstiltag, evaluer. Gentag processen, se tendenser, udviklinger, går det den rigtige vej?

Således gjort.

Hvor trykker skoen?I 2020 har undersøgelsen på især borgerområdet imidlertid været anderledes.

For første gang har vi mere systematisk spurgt til borgernes efterlevelse af de grundlæggende råd om sikker adfærd, som fremgår af sikkerdigital.dk, som Digitaliseringsstyrelsen og Erhvervsstyrelsen står bag.

Vi har også spurgt ind til risikobevidstheden, hvad der skal til for at få folk til at ændre adfærd, om borgerne advarer hinanden om phishingmails, -sms og telefonopkald osv.

Det har givet os, Digitaliseringsstyrelsen og DKCERT, og alle andre, der læser rapporten, er billede af, hvor den adfærdsmæssige sko trykker.

Her er der et par talmæssige highlights fra borgerdelen af rapporten. (Jeg vender tilbage til de mest interessante observationer om offentligt ansatte i min næste klumme):

- Kun 16 procent af borgerne efterlever i høj eller meget høj grad anbefalingen om kodeord på mindst 12 tegn, og som ikke genbruges flere steder. 56 procent efterlever kun i mindre grad eller slet ikke anbefalingen.

- 42 procent af borgerne efterlever i høj eller meget høj grad anbefalingen om, at kodeord til eksempelvis mail, NemID og diverse sociale medier, alle skal være forskellige. 33 procent efterlever kun i mindre grad eller slet ikke anbefalingen.

- Kun 17 procent af borgerne efterlever i høj eller meget høj grad anbefalingen om brug af passwordmanager. 61 procent efterlever kun i mindre grad eller slet ikke anbefalingen.

- 37 procent af borgerne efterlever i høj eller meget høj grad anbefalingen om brug af to-faktorlogin, hvor det er muligt. 29 procent efterlever kun i mindre grad eller slet ikke anbefalingen.

- 24 procent efterlever i høj eller meget høj grad anbefalingen om at anvende VPN ved brug af trådløse netværk, mens 21 procent slet ikke efterlever anbefalingen. 18 procent kender ikke den ikke og 18 proecet ved ikke.

- 89 procent efterlever i høj eller meget høj grad anbefalingen om at beskytte det trådløse hjemmenetværk med kode. To procent svarer ”slet ikke”.

- 44 procent efterlever i høj eller meget høj grad anbefalingen om at tage sikkerhedskopi af egne data på computeren. 33 procent efterlever i mindre grad eller slet ikke anbefalingen.

- 82 procent oplyser, at de i høj eller meget høj grad efterlever anbefalingen om automatisk opdatering af programmer på computeren. 11 procent gør slet ikke eller kun i mindre grad.

Samlet set er der er intet overraskende i rapportens observationer i forhold til efterlevelse af anbefalingerne.

Rapporten konkluderer følgende: ”Overordnet set tegner der sig et billede af, at de anbefalinger, hvor man ”blot” skal slå en funktion til som fx automatisk opdatering eller beskyttelse af netværk med kode, i højest grad bliver efterlevet. De anbefalinger, der kræver aktive handlinger (fx sikkerhedskopi), kognitiv energi (lange og unikke kodeord) eller teknisk indsigt (VPN og passwordmanager) efterleves sjældnere”.

Hvordan får vi rapporten længere ud?
Spørgsmålet er så, om hvordan vi får distribueret rapporten bredere ud, så det ikke kun er folk inden for cybersikkerhedsmiljøet, der læser den. Så det bliver en rapport, hvis indhold – tallene og analyserne –kan læses af borgerne og måske i sig selv skubbe til en adfærdsændring.

Det er jo trods alt os alle sammen som borgere, tallene handler om, og os som borgere, der er de eneste, der kan gøre noget ved det.

Men på den anden side kan vi ikke forvente, at borgerne læser hele rapporten.

Det har vi sat os for at undersøge.

I undersøgelsen har vi, som man normalt gør i denne slags undersøgelser, stillet spørgsmål til en række baggrundsvariabler: Respondenternes alder, køn, uddannelsesniveau og bopælsregion. Dette for at sikre, at vores respondenter udgør en repræsentativ andel af befolkningen.

Disse baggrundsvariable kan vi imidlertid også bruge i en formidlingsmæssig kontekst. Det begyndte vi på i onsdags med en nyhed på cert.dk under overskriften ”Lange kodeord: Er du blandt de 16 eller 56 procent?”.

Link til artiklen tweetede vi ud med hashtagget #hvadgørduselv?

Ny formidlingsform
I selve artiklen bringer vi en graf over efterlevelse af anbefalingen om lange kodeord krydset med uddannelsesniveau.

Det mest fremtrædende i grafen er, at borgere med folkeskolen som længste uddannelse er bedre til at efterleve anbefalingen om kodeord end de universitetsuddannede.

Således svarer 23 procent af dem med folkeskoleniveau som højest gennemførte uddannelse, at de i høj / meget høj grad efterlever anbefalingen om lange kodeord, der ikke genbruges flere steder, mens det samme gør sig gældende for 15 procent af dem med en universitetsuddannelse.

Tilsvarende er det hele 37 procent af de universitetsuddannede, der slet ikke efterlever anbefalingen, mens det samme gør sig gældende for 24 procent af de folkeskoleuddannede.

Hvorfor det er sådan, skal jeg ikke gøre mig klog på. Vi konstaterer det blot og viser det i en graf.

Pointen med måden at gøre det på er, at vi gerne vil have læserne af vores artikler til at placere sig ift. uddannelsesniveauet og reflektere over egen kodeordsadfærd under hashtagget ”#Hvadgørduselv?”

Jeg er med på, at der findes andre uddannelsesniveauer end folkeskole og universitetet.

Jeg har blot taget yderpunkterne her med for at simplificere pointen og for at skærpe nyhedsvinklingen. Hvis tabloidpressen kan gøre det, så kan vi vel også, når det er i den gode sags tjeneste.

Og sådan vil vi gøre i den kommende tid med en lang række observationer fra undersøgelsen, som vi vil formidle på samme måde.

Jeg vil derfor på forhånd advare vores læsere om, at vi både vil udstille regionale, uddannelses-, alders- og kønsmæssige forskelle i adfærden. Ikke for at genere nogen. Blot for at bruge det i en formidlingsmæssig kontekst.

Men: For at der ikke skal gå ren sensationsjournalistik i det, vil vi i artiklerne linke til de relevante anbefalinger på sikkerdigital.dk, så læserne kan lære mere.

Voxpop-monitorering
Til sidst i artiklerne vil vi stille læseren et spørgsmål, om han/hun vil gøre noget ved egne kodeord efter læsning af artiklen.

Altså en slags voxpop, som vi også kender fra de fleste digitale nyhedsmedier.

På den måde monitorerer vi effekten af en formidlingsform, som vi aldrig har prøvet før, og som vi heller ikke har set anvendt andre steder i forhold til cyber- og informationssikkerhed.

I denne monitorering er vi kun interesseret i at vide om formidlingsmetoden – altså hvor vi krydser de forskellige baggrundsvariable med efterlevelsen af anbefalingerne og fortæller om vores observationer i tekst og graf – kan medføre en ændring i efterlevelse af anbefalingerne.

Måske kan vi derved rykke ved adfærden.

Det bliver interessant at se, om det har en effekt. Men det er naturligvis vigtigt, at det kommer så bredt ud som muligt, og vi får så mange læsere til vores artikler og så mange besvarelser som muligt.

Så jeg håber, du vil være med på formidlingseksperimentet #Hvadgørduselv?

For hvad gør du egentligt selv?

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.







Premium
Test: Huawei Sound X er hvad du får, når du giver en smart-højttaler det hvide snit
Smarthøjttaleren fra den kinesiske teknologi-kæmpe er desværre handikappet af storpolitik. Det er der ikke desto mindre kommet et godt slagtilbud ud af.
Computerworld
Spotify på vej med kæmpe satsning: Vil være mere end blot en musikstreamingtjeneste
Svenske Spotify er klar med en række nyheder, der rækker længere end blot lyd.
CIO
Der findes ikke noget vigtigere for din virksomhedskultur end psychological safety
Klumme: Forskningen er entydig: Vidensarbejde er mere effektiv, når du tør stille spørgsmål, rejse kritik og indrømme fejl helt uden frygt for at blive straffet eller gjort til grin. Hvis du ikke har fokus på denne del af din virksomhedskultur, så lever din virksomhed og dine medarbejdere ikke op til deres fulde potentiale.
Job & Karriere
IBM Danmark trækker tilbud om frivillige fratrædelser tilbage for stort antal ansatte: "IBM har taget røven på sine ansatte"
Som led i IBM Danmarks store fyringsrunde fik 130 ansatte grønt lys til at forlade selskabet på en frivillig fratrædelsesordning. Men nu har IBM Danmark trukket det oprindelige tilbud tilbage for størstedelen af de ansatte.
White paper
Infrastruktur: Byg et velfungerende Data Estate i otte trin
Mange virksomheder trækker på så mange og righoldige datakilder, at det bliver stadig sværere at holde rede på alle de informationer, man har. Samtidig lever et traditionelt data warehouse sjældent op til hverken de aktuelle eller – i særdeleshed – fremtidige krav fra forretningen. Løsningen er at udvide til en egentlig Data Estate; et stykke kritisk infrastruktur som gør det muligt at opbevare, organisere, konsolidere og analysere organisationens samlede datamængde. Denne hvidbog giver et samlet billede af, hvordan man gennem otte trin bevæger sig mod at implementere og drage nytte af en Data Estate. Samt hvordan du prioriterer indsatsen, så den giver størst værdi for forretningen.