Gå til hovedindhold

Cybersecurity Challenge

Ændring af IT-sikkerhedsadfærd blandt medarbejdere i danske virksomheder Hvordan kan uhensigtsmæssige digital adfærd undgås blandt medarbejdere i danske – særligt små og mellemstore – virksomheder?

Præmie
50.000
Idéer
45
Kategori
Koncept
Idéindtag

-

Review

-

Finalister kontaktes

-

Pitch for jury og udvælgelse af vindere

-

Erhvervsstyrelsen logo

Brief

Digital tillid er en forudsætning for digital vækst. Danske virksomheder er de mest digitale i Europa, men flere og flere virksomheder oplever brud på deres IT-sikkerhed med tab af omdømme og omsætning til følge. Alene i 2016 var 69 % af danske virksomheder udsat for IT-sikkerhedshændelser, mens 64% af virksomhederne oplevede økonomiske omkostninger som følge heraf.
 
Flere rapporter viser, at især de små og mellemstore virksomheder (SMV’er) kun har grundlæggende sikkerhedsforanstaltninger på plads så som firewalls og antivirus, men ikke har tilstrækkeligt fokus på den potentielle sikkerhedsrisiko, deres medarbejdere udgør.
 
Netop medarbejdere kan udgøre en betydelige IT-sikkerhedsrisiko for virksomheder, og sikker digital adfærd blandt medarbejderne er derfor helt afgørende for at øge virksomhedernes IT-sikkerhedsniveau. Af samme grund retter denne challenge fokus mod uhensigtsmæssige adfærdsmønstre og de bagvedliggende psykologiske mekanismer, som beskrevet i rapporten ”Danskernes Informationssikkerhed”.
 
Rapporten beskriver en række digitale adfærdsmønstre, der er forbundet med særligt høj risiko, samt de bagvedliggende psykologiske mekanismer, som gør disse adfærdsmønstre vanskelige at ændre.

Guideline

For at deltage i Cybersecurity Challenge skal du gøre følgende:

  1. Beskrive din løsning kort online
  2. Uploade et PDF-dokument med flere detaljer
  3. Pitche din løsning, hvis den bliver udvalgt af juryen

Start med at give din løsning en titel, og beskriv den ganske kort online. Denne del af løsningen kan ses af alle deltagere og andre interesserede.

Derefter skal du uploade et PDF-dokument (maks. 5 sider), som kun kan ses af teamet og juryen bag denne challenge, og som vil blive behandlet fortroligt.

I dokumentet bedes du beskrive:

  • Det eller de adfærdsmønstre din løsning vil ændre, herunder udfordringer i form af psykologiske mekanismer. Husk at tage udgangspunkt i mindst ét af de seks adfærdsmønstre beskrevet ovenfor og i rapporten "Danskernes Informationssikkerhed"
  • Din løsning, herunder den konkrete intervention, hvem der skal udføre den, og hvordan den skal organiseres. Beskriv gerne interventionens relevans i forhold til små- og mellemstore virksomheders situation, behov og størrelse.
  • Den forventede effekt, herunder en vurdering af test- og skalerbarhed.
Bemærk at alle tre punkter skal være besvaret for at din løsning kan blive vurderet!

Løsningerne vil blive vurderet ud fra følgende kriterier:

  • Adfærdsmønstre – Adresserer løsningen mindst ét af de seks uhensigtsmæssige adfærdsmønstre?
  • Novelty – Er løsningen original og nyskabende; hvordan og i hvor høj grad adskiller den sig fra eksisterende løsninger?
  • Desirability – Er løsningen relevant for brugerne, det vil sige medarbejderne i små- og mellemstore virksomheder?
  • Feasibility – Kan løsningen gennemføres – det vil sige testes, implementeres og skaleres – i mindre og mellemstore virksomheder?
  • Viability – er løsningen økonomisk bæredygtig i en SMV-kontekst?

Løsningerne vil blive vurderet af Erhvervsstyrelsen og en fagkyndig jury. Der vil blive udvalgt to vindere, som hver vil modtage: 2 x 50.000 DKK(heraf 2 x 25.000 DKK til test og videreudvikling af løsningsforslag)

Eksponering i forskellige kommunikationskanaler Du beholder selv IP-rettighederne til din løsning, mens Erhvervsstyrelsen forbeholder sig retten til at showcase løsningerne i forskellige former for kommunikation, herunder et idékatalog til SMV’er.

Vinderne vil blive annonceret via challenges.dk d. 13/12. Det er et krav at man har et dansk CVR-nummer for at deltage. Hvis ikke du har et CVR-nummer, kan du oprette et her

Se betingelserne for flere detaljer om vilkårene for deltagelse.

Definitioner

Cybersecurity er en samlet betegnelse for teknologier, processer og metoder designet til at beskytte netværk, computere, programmer og data fra angreb, ødelæggelse eller uønsket adgang. Dette begreb dækker over den danske betegnelse IT-sikkerhed.
 
Adfærdsdesign er en tværdisciplinær metode til at afdække og skabe adfærd, som demonstrerer den konkrete forandring før og efter en intervention er implementeret.
 
Interaktionsdesign er en konstruktiv og kreativt orienteret disciplin som designer interaktive, digitale produkter der understøtter menneskelig interaktion og kommunikation.

Kommentarer

Idé-besvarelser for denne challenge (45)

"A learning game for building digital security culture

Learn. Change. Track. PLAY!
Creating a culture of IT security is a challenge for SMEs with little or no technical staff and limited organisational knowledge about threats, risks and best practices. Play IT Safe! is a learning game concept for improving employee awareness and strengthening security culture in the workplace, through exercises and and group tasks.

A big number of security breaches come in the form of email. This solution prompts people to pay more attention when an email from an unknown sender includes links or attachments, and tests them to identify who the sender is.

Det er ikke blot medarbejdernes færden på arbejdscomputeren der udgør en trussel; En virus kan overføres imens en telefon er sat i laderen i computeren. Forestil f.eks. dette scenario: En medarbejder sidder derhjemme og kommer helt ubevidst til at åbne noget, som ikke er hensigtsmæssigt, og hans/hendes computer bliver infiltreret. Hvis vedkommende så vælger at oplade sin telefon gennem computeren kan denne virus, helt uvidende for medarbejderen, blive overført til telefonen.

Lack of backup, lack of antivirus, lack of update of applications, lack of firewall – or problematic setup of firewall, insecure passwords. The problem with all of this (except the last one) is essentially: non-behaviour.

SMVs often do not have an IT-department. Security issues are handled by an employee with many other (often production-related) responsibilities, or not at all. While bigger companies can apply systemic solutions to systemic problems, this is often not a possibility for SMVs.

A big number of security breaches come in the form of email. This solution prompts people to pay more attention when an email from an unknown sender includes links or attachments, and tests them to identify who the sender is.

Når advokater, revisorer, ejendomsmæglere og andre professioner, der er underlagt Hvidvaskloven, tager nye kunder ind, er de forpligtet til at indhente kopi af pas, kørekort, sundhedskort eller lignende.

I mange tilfælde foregår denne indhentning over e-mail. Hvis en hacker får adgang til en af de involverede e-mail-konti, vil vedkommende dermed have adgang til dokumenter, der kan benyttes til identitetstyveri, og som er svære at ugyldiggøre.

"The biased behaviour towards an anonymous digital actor makes you act as if your actions are invisible. Raising awareness on this makes you apply for that needed agency in order to intervene the archeology age of digital behaviour.

"New way of dealing with weak and reused passwords based on the insights from the user perspective and behavioral sciences.

Creating and remembering new passwords as well as having to reset them regularly creates heavy behavioural costs. People tend to reuse passwords if the system doesn’t remember the already used passwords, or find easy solutions to update them by changing one element of it (for example, a number). People tend to get very annoyed when prompt to come up with a new password.

I en verden hvor IT kriminalitet er stigende, er det vigtigt at medarbejderne i den pågældende virksomhed forstår vigtigenheden af it sikkerhed, samt får en forståelse af hvor galt det kan gå ved at trykke på en forkert mail.

Et projekt en virksomhed kunne gennemføre for at øge interessen og samtidig gøre sine medarbejdere klogere indenfor it sikkerhed ville være følgende:

By developing a compliance standard based on the 6 major behavioural problems identified in the report “danskernes informationssikerhed”, a tool mitigating the behavioural problems can be created. We believe we can improve awareness and drive increased self-management of cyber-security risks by implementing a user-rating which is updated daily. The user-rating can accumulate into a company rating, which can be used to address company risks, and identify which of the 6 major behavioural problems requires the most attention internally in the company.

"For det første skal der kikkes på hvilket server system der bruges, her skal det krypteres osv.

Men eller for den enkelte kunne det være to/tre trinsgodlendelse fra app, sms, USB pin mm. Samt at vi går væk fra tanken om passwords vi kam huske. Altså alle får en lille USB som genererer og lagrer koderne til de forskellige login.

Så koderne ikke er lagret på noget der har forforbindelse til nettet, men en USB pin.
Samt bygge videre på et mere sikkert system med finger aftrygslæser."

Min ide er at lave et automatiseret backup system som gør det muligt at sætte en række mapper op til at blive taget backup af. Når først brugerne har valgt hvilket mapper som der skal tages backup af (kan vælge alle) vil der med faste mellemrum blive taget backup ved at programmet på brugernes maskine komprimerer alle mapper og filer som skal tages backup af. denne komprimeret bliver sendt til en server, som enten kan stå lokalt eller i skyen, serverne har en entrypoint som gemmer backuppen og de X sidste backups.

1. Personligt login til alle medarbejdere.
2. Grundig instruks i ikke at udlevere hverken små eller store informationer til ukendte.
3. Ingen personlige kodeord, kodeord/logins genereres på ny hver månede.
4. Kun adgang til virksomhedens netværk efter hvad den enkelte medarbejder har behov for.
6. Ingen private/eksterne filer på lokalt netværk.
5. Brug kun intern/lan netværk til at udveksle filer imellem medarbejdere.
6. Hyr et specialiseret firma til at gennemgå it sikkerheden for firmaet. - Og efterlev deres instrukser.

Som det står i rapporten fra /Kl.7 så er det svært for de fleste at huske mange passwords. Især hvis passworded samtidig skal være stærkt og derfor indeholder både tal, bogstaver og må ikke være en simpel sætning. En effektiv løsning er en password manager, men dette koncept er både svært at forstå, og ikke alle har tillid til denne løsning.

Som et alternativt, kan medarbejderne bruge denne password generator. Her kan de generere stærke passwords, ud fra sætninger, og ved at sætte sætningen ind i generatoren kan de få igen få passworded - uden at skulle logge ind.

"We suggest, that the IT training becomes embedded in the employees daily life, by implementing simulations directly in their email clients.

Employees should not be forced to sit in a dozen of seminars, while forgetting the information received after an hour.

Et program/app der kører sideløbende med OS og forhindrer de mest gængse menneskelige fejl, ved at advare om risikabel adfærd. Programmet skal ikke udelukke sider og links, blot fremhæve faresignalerne. Et scenarie kunne være:

Jamen for Cyper sikkerhed. Jo firewall er en rigtig god start med en fuldført opsætning af firewall. Hvilken kendte porte skal have adgang og hvilken ukendte porte der ikke har betydning for medarbejdernes arbejde bør lukkes. Det kan være facebook da det er et stort element hacker prøver at nå ud til deres offer. En troværdig udbyder som tilbyder VPN. VPN er også et godt redskab til at surfe sikkert og krypteret til nettet. Selfølgelig er der jo udbyder der ike lige er kompatible med VPN så det kan måske forstyrre.

IT-Usikkerhed bunder dels i design- og brugeroplevelses-problemer i de programmer, vi bruger, og dels i forståelsen (eller mangel på samme) af den digitale verden blandt medarbejdere, der ikke har IT som deres fagområde.

Udfordringen kræver adfærdsforandring i almindelighed, og dét kræver funktionelle forståelsesrammer. Vi har også brug for IT-afdelinger, der leverer en bedre service til medarbejderne.

"Alle med CVR nummer skal forpligtes til at tage et IT sikkerhedskursus for firmaet og medarbejdere.
Staten etablerer en smiley ordning (efter samme koncept som fødevareindustri) som viser hvilket niveau de enkelte firmaer har. Kunder og leverandører kan også se firmaernes niveau. At stile efter et så højt niveau som muligt gavner dermed forretningen. Firmaer som klarer sig godt får en Elite Smiley."

Ved at have løbende foredrag, workshops og benytte sig af vidensdeling mellem alle ansatte. De ansatte skal løbende testes i deres nye viden, når de mindst venter det. Men det skal ikke være en skræmme-kampagne eller foregå som en form for eksamen - for det er netop der, når panikken rammer, at fejlene sker.

When lawyers, accountants, real estate agents and other professionals that need to comply with Hvidvaskloven (≈ the Money Laundering Act) take on a new case, they are required to request copies of passports, driver's licenses or similar identifying documents for all involved parties.

In many cases, this process is done by sending e-mails back and forth. Should a hacker gets access to an involved e-mail account, they would end up with access to documents that can be used for identity theft and are difficult to invalidate.

Dine medarbejdere gør det ikke med vilje, men hvis de har muligheden, er det kun et spørgsmål om tid før de utilsigtet får trykket og installeret malware gemt i en mail. Begræns derfor dine medarbejdere, fjern lokale administratorrettigheder, også hos dine udviklere. Sørg for at alle dine sites, også dem på lokalt netværk er HTTPS. Godkend kun brugen af .exe filer og programmer der er kodesigneret af et certifikat som kun du eller nogle bestemte få kender password til.

Passwords are leaked daily from third-party sites. This is why i see it as a necessity that employees of danish companies start to use two-step verfication and change their passwords monthly. A useful website for seeing if your information has been leaked through third-party sites is https://haveibeenpwned.com.

"Our quite lazy routines on backing up files, not installing updated firewalls and never changing passwords is due to the bias of ‘now is better than later’ - it is simply too abstract to organize oneself when all you need is quick information or access right now to digital knowledge. This bias of abstraction also causes lack of awareness about the digital crimes (who is doing those, why and how often they happen).

"New official design guidelines for password creation forms based on insights from behavioural sciences:

1) Making IT security meaningful and tangible for employees.

2) Priming employees to create a unique password.

3) Nudging them towards creating stronger passwords with tools such as social comparison.

4) Providing assistance with creating and remembering passwords.

These steps have been shown to have positive effects in many different studies & contexts. This empirical basis and the design of the solution is presented in the PDF."

"Min erfaring er at Problemet er at brugerne er uvidende omkring deres færdes både fysisk men også i den digitale verden. En kæmpe angrebsvektor ikke Online hacking, Det er ofte via social Engineering, hvor man går efter specifikke personer i virksomheden, Og jeg ville mene at man i stedet for skulle prøve at Undervise medarbejderen i kursus, men ikke hvad god arbejdes sikkerhed er, Men bring en sikkerheds ekspert ind og hvis folk hvor nemt det er at hacke en computer via en e-mail, en live demonstration ville være en fantastisk ide.

Ansatte, som ikke gør regelmæssig brug af computere , vil kunne have godt af et kursus i adfærd på internettet.

Generelt synes jeg, at det vil være en nem og billig løsning, at holde kursus for de ansatte i IT sikkerhed, og adfærd på Internettet. Det behøver hverken at være langt, eller for teknisk for, at give god værdi for virksomheden. Mange af de sikkerheds brister som forekommer, kan løses med generelt kendskab til adfærd med IT og Internettet.

Obligatorisk brug af et Key pass app hvor alle koder lagres bag en krypteret mur der enten kun kan åbnes ved hjælp af touch ID. Appet kan derefter sættes til at finde komplicerede passwords, der derefter kan anvendes i systemet. App eksempler: KyPass og KeePass. Virker så vidt jeg ved til de fleste platforme.

"Medarbejderes ""kritisable adfærdsmønstre"" ved indtastning af oplysninger fremdrages ofte som et problem, der alene kan tilskrives manglende generel træning og årvågenhed hos medarbejderne. Som det imidlertid påpeges på side 15 i rapporten ""FOR-ANALYSE AF DANSKERNES INFORMATIONSSIKKERHED"" vil en ændret adfærd kræve ""en meget konkret handleregel for, hvad der gør en hjemmeside ”usikker” – og ikke mindst, hvad det konkret betyder. Danskerne mangler BÅDE en heuristik for at vurdere sikkerheden af en hjemmeside, og de mangler en generel forståelse af, hvad ”usikker” indebærer.""

En eller andet i mit store amerikanske firma har formået at indsætte EXT i “subject” feltet på alle eksterne e-mail som rammer Exchange Serveren. “Body” får også lige en rød “external e-mail” i toppen, så man ikke er i tvivl.

Det stopper en masse phishing.

Simpelt, smart.

"IT sikkerhed ligger ikke nært for os alle. Ofte er de sikkerhedsforanstaltninger der bliver implementeret på arbejdspladser uhensigtsmæssige for medarbejderne, og dette fører til non-compliance og sikkerhedshuller.
Problemet findes dog ikke hos medarbejderne selv, da de ikke er ansat til at være entusiastiske omkring IT; problemet findes hos udviklerne af sikkerhedssystemer.
Alle 6 udfordringer beskrevet i udfordringen kan løses med én lille ændring i mindset for udviklere af løsninger – at gøre IT sikkerhed til et designproblem, og løse det som et designproblem"

"Min tanke går på at sætte brugerne bag skærmende på en ikke informeret prøve.

Tage et stykke software, installere på et par af de maskiner som brugerne benytter i hverdagene, deaktivere deres sikkerhed på computeren, og lade deres kodeord blive gemt igennem det påtænkte software, for at senere at efterlade små hints til brugeren på personens konti (Fx. Arbejdsmail)

Først og fremmest skal der være sikkerheden på et højere plan:
1. Ingen admin rerettigheder, heller ikke til administratoren i hans daglige arbejde (Selvfølgelig skal h*n have en anden bruger med de.nødvendige rettigheder)
2. Undersøg brugerne, også når de stiller et spørgsmål om en mail du mener er"dum".
3. Hav en mailadresse, som brugerne kan sende mails de er i tvivl om til (så kan man fortælle om de er ok eller ej)
4. Undgå for alt i verden autorun på klienter
5. Lav lidt "sjov" undervisning.
6. Begræns adgang til shares til det mest nødvendige.

"Dette løsningsforslag adresserer adfærdsmønster 4) medarbejdere genbruger usikre passwords.

Der er opstillet en sammenligning mellem de andre adfærdsmønstre for, at klarlægge hvorfor netop dette dilemma er akilleshælen i moderne it-sikkerhed, og hvorfor nuværende løsninger som Password managers ikke er holdbart.

"We propose four behavioural bias based principles and strategies to promote collective consciousness on cyber security. In our proposal we address all the six behavioural errors mentioned in the challenge as a complex solution. We concentrated on the behavioural aspects of those errors since many of them have an IT related solution. Our strategy is in line with nudging principles. Solution 1 radically addresses the pain of creating and remembering the new passwords. Solution 2 again addresses the issue of weak and reused passwords by nudging approach.

The core idea is to minimize the 'human error'. We think that proper UI/UX architecture featurering gamification elements, fear-reward schemes, entertaining aspects can help employees to stay focussed whenever they are about to enter potentially delicate information online. The realization requires in an early stage primarily UI/UX measures and later on maybe third-party implementation. Central is, to keep the employee alert and focussed.

"Der findes allerede løsninger til hvert enkelte problem som er opstillet i rapporten, men da det næsten kræver expert viden for at løse alle disse problemer i vores expert samfund, skal der altså også en expert til dette :D

Min ide går i sin enkelthed ud på at man kobler nemid på alle Danske hjemmesider, og når man er logget ind, så modtager man en kode på sms som skal tastes inden man får den endelige adgang, i validerings forløbet, skal man så kunne synkronisere, nemid, adresse og tlf nummer.
Fordelen som jeg ser det er, man burde kunne undgå de nuværende bruger registreringer, da man jo får adgang til, de tilmeldte hjemmesider.
Den næste er man slipper af med de såkaldte computer-robotter og derved reduceres chancerne for spam.

"EOTM Secure

En nudging app der forbedrer IT sikker adfærd indenfor 6 specifikke områder.

En app som alle medarbejdere i en virksomhed melder ind på. Appen kommer med små hints i form af spørgsmål om it sikkerhed, password policies og ønsket adfærd i forhold til it sikkerhed i virksomheden. Alle konkurrerer med alle om at blive “den bedste til it sikkerhed” med månedens medarbejder el.lign. 

App’en kan også være et alarm signal som går ud til en gruppe eller alle medarbejdere hvis der er et aktuelt udbrud af et IT sikkerhedsmæssig vigtighed.

Blockchain kan beskrives som en fælles global, digital kassebog, der altid er opdateret med alle handler/transaktioner.

men det skal ikke nødvendigvis Blockchain, der er flere former ethereum,iota og mange flere
problemet med banker og it-systemer i dag er vel.

kan hackes. Og det bliver de, hele tiden
De udelukker mange fra den globale økonomi - f.eks. folk der ikke har penge nok til at have en bankkonto.
De er langsomme.
De tager sig betalt for deres service.
De fastholder dine data.