Skreddarsydd kunnskap i kampen mot cyberkrim

Den andre sluttrapporten frå Datatilsynets sandkasse for kunstig intelligens slår to fluger i eitt smekk, og kan vere eit viktig steg på vegen både for betre beredskap mot cyberkriminalitet og for betre personvern i arbeidslivet.

Oppslag om hackerangrep kjem stadig hyppigare. Opplev vi ei cyberkriminalitetsbølgje? Mykje tyder dessverre på at det heller er snakk om ei havnivåstigning. Oslo kommune vurderer risikoen for cyberangrep som langt større enn jordskjelv, vassmangel og pandemiutbrudd. Historia har ofte vist at når ein kjempar mot store truslar, blir prinsipp vi elles held høgt plassert i baksetet.   

Personvernvenleg profilering

Secure Practice er eit norsk firma som tilbyr tenester for informasjonstryggleik. I fjor var dei med i den regulatoriske sandkassa for ansvarleg kunstig intelligens, der dei saman med Datatilsynet utforska ei ny teneste firmaet utviklar og ønsker å få på marknaden. No er sluttrapporten frå prosjektet klar.

portrett m.jpgKjernen i tenesta Secure Practice vil tilby, byggjer på erkjenninga av at menneskelege feil ofte er medverkande når hackerane lukkast. Å gi tilsette god opplæring i trygg passordhandtering, teikn på phishing og andre cybertruslar reduserer faren for hacking. Og jo meir skreddarsydd denne opplæringa er etter kunnskapsnivået, nettvanane og motivasjonen for kvar enkelt tilsett, jo meir effektiv vil den vere. Det er berre ein hake ved det. All informasjonen som trengs for å vite kva som fungerer på akkurat deg – kven skal ha tilgang til den? Er det muleg å få til personvernvenleg profilering?

Målet skal ikkje heilage middelet

– Gode svar gjer no at vi trygt kan vidareutvikle og tilby innovative verktøy som hjelper folk og verksemder til å unngå svindel og hacking, seier Erlend Andreas Gjære, dagleg leiar i Secure Practice.

bjørn arild gram 300x300.jpg– Digitale angrep mot både offentlege og private aktørar er sterkt aukande. Systematisk arbeid med informasjonssikkerheit og personvern er derfor særs viktig. Det er spennande at Datatilsynet bidreg til utviklinga av nye verktøy basert på innovativ teknologi – samtidig som dei tilsettes personvern blir teke vare på, seier kommunal- og distriktsminister Bjørn Arild Gram.

I arbeidslivet er det særleg sårbart å drive med profilering. Dersom målingane av dei enkeltes interesser for og kunnskap om cybersikkerheit blir sendt vidare til arbeidsgjevaren, er det ein risiko for at det kan påverke løn og karriereutviklinga elles. Og sjølv om cyberkriminalitet er ein reell og stor trussel for norske verksemder, er det fortsatt viktig at målet ikkje heilager nokon middel i kampen mot kriminaliteten.

20211025_Datatilsynet_Kari_015.jpg– Dette sandkasseprosjektet handla om å bygge ei løysing som tek vare på arbeidstakaranes personvern. Profilering av arbeidstakarar er i utgangspunktet problematisk, på grunn av det ujamne maktforholdet mellom arbeidsgjevar og arbeidstakar, seier Kari Laumann, programeigar for Datatilsynets sandkasse.

Kunden har ikkje alltid rett (til å få det hen vil)

Eitt tiltak går ut på å sikre, at Secure Practice slepp å utlevere opplysningar om tilsette til arbeidsgjevarane, sjølv om dei – altså kunden – skulle be om det.

Kaja_600x600.jpg– Ved å ha god dialog om tekniske og juridiske tiltak, kom sandkassa fram til at kartlegginga av dei tilsette ikkje er å rekne som overvaking av deira bruk av elektronisk utstyr. Det er eit viktig bidrag til å forstå nasjonale reglar for personvern i arbeidslivet, som vi finn i e-postforskrifta, seier fagdirektør Kaja Breivik Furuseth, som har leia prosjektet frå Datatilsynets side.

I sandkassa har dei også tydd til fokusgrupper, for å finne ut korleis tenesta bør vere utforma for at brukarane i størst muleg grad skal ha tillit til den. Gjennom fokusgruppene fekk sandkasseprosjektet verdifull innsikt frå arbeidstakarperspektivet. Blant anna blei det diskutert kva slags informasjon arbeidtakar treng for å kunne stole på løysinga og kva slags type data som kjennes greit å dele for å få tilpassa opplæring i cybersikkerheit.

– Det løner seg definitivt å starte personvernarbeidet tidleg, og vi er takknemlege for samarbeidet med Datatilsynet i sandkassa, seier Gjære, som trur fleire kan ha nytte av prosjektrapporten, enten ein jobbar med informasjonstryggleik, personvern eller produktutvikling og innovasjon i verksemder.