Slut med at krænke medarbejdere når it-sikkerheden testes

En række organisationer og myndigheder går nu ud med et fælles etisk kodeks for, hvordan man tester it-sikkerheden, uden at det udstiller den enkelte medarbejder.

Artikel top billede

(Foto: Computerworld)

Af Aksel Brinck, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Når virksomheder rammes af hackerangreb, involverer det ofte medarbejdere på arbejdspladsen. En eller flere ansatte kan for eksempel have klikket på et "inficeret" link eller have overset en svaghed i it-infrastukturen.

Nu går flere organisationer og myndigheder ud med et fælles etisk kodeks for, hvordan man bør teste it-sikkerheden, uden det krænker eller udstiller den enkelte medarbejder. Det oplyser brancheorganisationen IT-Branchen.

Kodekset skal ses som en række minimumsforpligtelser til leverandører af sikkerhedstest og deres kunder. Der er ikke tale om en certificerings- eller en mærkningsordning, understreges det i en meddelelse fra IT-Brancheforeningen, men det er tanken, at leverandører af sikkerhedstest og deres kunder skal kunne anvende kodekset til en dialog om fælles forståelse af, hvad der er god praksis i forbindelse med sikkerhedstest.

Et fælles ansvar

"Det er et fælles ansvar at fremme en god kultur for it-sikkerhed i hele organisationen. Sikkerhedstests skal derfor understøtte en fælles forståelse og den gode kultur på arbejdspladsen, hvor man sammen tager ansvaret på sig, og jeg håber, at det nye kodeks kan være med til at styrke det fokus fremadrettet," udtaler Thomas Kastrup-Larsen, Borgmester, Aalborg Kommune, som er medlem KL's bestyrelse - KL indgår i aftalen.

En af udfordringerne kan være, at en sikkerhedstest langt hen ad vejen handler om at agere som en fjendtlig aktør for at finde svaghederne i organisationen. Det kan nemt føre til konflikter og situationer, hvor den enkelte medarbejder føler sig krænket eller udstillet. Det kan endvidere føre til en dårlig kultur, hvor man ikke tør rapportere fejl, lyder begrundelsen for initiativet.

"Det er vigtigt, at en sikkerhedstest ikke tester den enkelte medarbejder. Den skal teste kulturen, organisationen og effekten af de sikkerhedstiltag og kurser, som man har iværksat. Sikkerhedstesten må heller aldrig blive en vurdering eller analyse af den enkelte medarbejder. Det skal dette kodeks sikre fremadrettet. Og så skal overenskomster og aftaler som for eksempel aftalen om kontrolforanstaltninger selvfølgelig overholdes," udtaler Mads Samsing, næstformand i HK Kommunal, som også er med i aftalen.

Spilleregler for alle parter

"Med dette fælles kodeks opstiller vi en række spilleregler, som både de leverandører, der gennemfører testen, de, der bestiller testen, og de, der bliver berørt af testen, med fordel kan anvende. Vi ønsker med kodekset at gøre det klart, at en sikkerhedstest er et vigtigt værktøj til at sikre god sikkerhed, og at man med brug af kodekset også kan være tryg ved at gennemføre disse test," udtaler Bjarke Alling, formand for IT-Branchens it-sikkerhedsudvalg.

Bag kodekset står organisationerne Akademikerne, Center for Cybersikkerhed, Dansk Erhverv, Dansk Industri, Danske Regioner, Digitaliseringsstyrelsen, Erhvervsstyrelsen, HK, IT-Branchen, KL og SMVdanmark.

6 principper

Kodekset for sikkerhedstest består i hovedtræk af disse seks principper:

1 Vær enige om mål og midler
2 Test organisationen, ikke medarbejderen
3 Indhold og brug af case-materiale
4 Giv dig til kende i tilfælde af konflikter
5 Videregiv viden om kriminelle handlinger
6 Sørg for ansvarlig datahåndtering

Læses lige nu
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    Digital transformation | Aarhus

    AI i det offentlige - Aarhus

    Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

    Digital transformation | Køge

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Se alle vores events inden for it

    Navnenyt fra it-Danmark

    Lauren De Ventura,  emagine Expertise A/S, er pr. 1. juli 2026 udnævnt som Chief People Officer, fast del af den globale ledelse og bestyrelsesmedlem. Hun er uddannet HR-ledelse på tværs af konsulent-, staffing- og IT-branchen. Hun beskæftiger sig med skabe rammerne for emagine som et sted, hvor IT-talenter kan opbygge meningsfulde karrierer. Udnævnelse

    Lauren De Ventura

    emagine Expertise A/S

    Netip A/S har pr. 1. maj 2026 ansat Michael Schou som Operations Manager ved netIP Aalborg og Aarhus. Han kommer fra en stilling som Senior Director - Head of IT hos BDO. Han har tidligere beskæftiget sig med flere områder indenfor IT-branchen, hvor han bla. også har drevet sin egen IT-virksomhed. Nyt job

    Michael Schou

    Netip A/S

    Steen Marquard,  Jabra, er pr. 15. juni 2026 udnævnt som Regional President for Norden og UK. Han er uddannet HD(O). Han beskæftiger sig med I sin nye rolle får Steen ansvar for at videreudvikle salget af virksomhedens professionelle lyd- og videoløsninger, samt styrke samarbejdet med channel teams og partnere på tværs af regionen. Udnævnelse
    IFS Danmark A/S har pr. 1. juni 2026 ansat Lasse Hounsgaard som AI Account Executive. Lasse skal især beskæftige sig med udrulning af IFS.ai Logistics i Norden. Lasse kommer fra en stilling som Manufacturing Account Executive hos Autodesk ApS. Lasse er uddannet cand.merc. i International Virksomhedsøkonomi. Lasse har tidligere beskæftiget sig med digitalisering af danske og nordiske virksomheder. Nyt job

    Lasse Hounsgaard

    IFS Danmark A/S