Pressemeddelelse, It og samfund

Nyt etisk kodeks mangler konkret indhold

Et fælles etisk kodeks for test af it-sikkerheden er blevet præsenteret af en række væsentlige aktører. Men retningslinjerne burde slå fast, at it-sikkerhed er ledelsens ansvar, siger Niels Bertelsen, formand for PROSA – Forbundet af It-professionelle.

PROSA efterspørger mere konkrete retningslinjer i det etiske kodeks for test på it-sikkerhedsområdet, som blandt andre Center for Cybersikkerhed, Dansk Erhverv, Dansk Industri, Danske Regioner, Digitaliseringsstyrelsen, Erhvervsstyrelsen, IT-Branchen og KL og SMVdanmark har sendt ud torsdag morgen.

- Det er positivt, at organisationerne vil beskytte medarbejderne, når it-sikkerheden skal testes. PROSA havde dog gerne set mere konkrete retningslinjer. Kodekset burde slå fast, at it-sikkerhed er ledelsens ansvar og ikke medarbejdernes, siger Niels Bertelsen, formand i PROSA.

PROSA efterspurgte allerede i 2019 i en kronik i Information mere konkrete etiske retningslinjer på området efter en række uheldige sager, hvor blandt andet brugen af skjult kamera i testsituationen var blevet oplevet som grænseoverskridende af en ansat.

- Helt konkret burde et forbud mod at bruge skjult kamera være en del af retningslinjerne. Det kan være voldsomt at være udsat for, siger Niels Bertelsen.

I stedet indeholder retningslinjerne en blødere formulering: ”Vær enige om mål og midler”.

- Men hvis medarbejdere skal blive enige med deres chef om, hvad de vil stille op til i en testsituation, så ved vi jo godt, hvem der har det sidste ord der, siger Niels Bertelsen.

Kodekset er afsendt af Akademikerne, Center for Cybersikkerhed, Dansk Erhverv, Dansk Industri, Danske Regioner, Digitaliseringsstyrelsen, Erhvervsstyrelsen, HK, KL, IT-branchen og SMVdanmark.

Det etiske kodeks’ 6 principper for sikkerhedstest lyder således:

  • Vær enige om mål og midler
  • Test organisationen, ikke medarbejderen
  • Indhold og brug af case-materiale
  • Giv dig til kende i tilfælde af konflikter
  • Videregiv viden om kriminelle handlinger
  • Sørg for ansvarlig datahåndtering