INFORMATIONS- SIKKERHED I DET OFFENTLIGE TRUSLER, SIKKERHEDSHÆNDELSER & FORSVAR KMD Analyse Juni 2016
OM KMD ANALYSE KMD Analyse udarbejder analyser om de digitale muligheder i det offentlige og private Danmark. KMD Analyse har blandt andet tidligere udgivet rapporterne Den digitale folkeskole vurderinger og holdninger fra elever og forældre, Socialt bedrageri i Danmark og Telemedicinsk behandling af KOL-patienter potentialer og barrierer. KMD Analyse samarbejder bl.a. med CEDI om udvikling af analyserne. Læs mere om KMD Analyse og hent rapporterne på www. kmd.dk/analyse KMD ER IT MED INDSIGT KMD er den største danskbaserede it-virksomhed, og hovedparten af KMD s forretning udspringer af egen softwareudvikling. I mere end 40 år har KMD arbejdet med udvikling, drift og vedligeholdelse af Danmarks største kommunale it-systemer. KMD udvikler og leverer i dag software- og serviceløsninger til kommune-, stats- og erhvervsmarkedet i Danmark. Systemerne håndterer eksempelvis udbetalinger af løn og sociale ydelser, og hvert år beregner og udbetaler KMD s softwaresystemer over 400 mia. kroner. Det svarer til cirka 20 pct. af Danmarks BNP. KMD s softwaresystemer håndterer også så forskellige områder som administration af skoler og forsyningsvirksomheder til afholdelse af folketingsvalg i Danmark. Senest er KMD gået i gang med at digitalisere de store velfærdsområder med ny velfærdsteknologi - fra folkeskole til hjemmepleje. KMD har en årlig omsætning på godt fem milliarder danske kroner og har omkring 3.200 ansatte. KMD er ejet af Advent International og Sampension. UDVALGTE TIDLIGERE UDGIVELSER FRA KMD ANALYSE: Digitalisering af ældreplejen Potentialer og holdninger, januar 2011 Kronisk sygdom En digital samfundsdiagnose, maj 2011 Det digitale valg Danskernes holdning til e-valg, september 2011 Socialt bedrageri i Danmark - Omfang, adfærd og holdninger, december 2011 Folkeskolens digitale tilstand Udfordringer og muligheder, januar 2012 Danskerne og velfærdsteknologien Holdninger til digitalisering af velfærden, juni 2012 Den digitale daginstitution - En temperaturmåling og vurdering af daginstitutionernes digitale tilstand og potentialer, januar 2013 Mødernes kanalstrategi Digitale potentialer ved kommunal mødepraksis, september 2013 Valg til Europa-Parlamentet og folkeafstemning om patentdomstolen 2014, maj 2014 Informationssikkerhed i det offentlige, april 2015 Det digitale samarbejdsrum, oktober 2015 FOR YDERLIGERE OPLYSNINGER, KONTAKT: Morten Langager Direktør, Kommunikation og Marketing M: mlr@kmd.dk KMD Analyse Maj 2016 2
INDHOLDSFORTEGNELSE 1. INDLEDNING 4 SUMMARY 4 2. INFORMATIONSSIKKERHED PÅ ARBEJDSPLADSEN 5 INFORMATIONSSIKKERHED ER EN NATURLIG DEL AF DEN DAGLIGE ARBEJDSGANG 5 INFORMATIONSSIKKERHEDEN PÅ OFFENTLIGT ARBEJDSPLADSER 6 3. SIKKERHEDSHÆNDELSER 7 UDFORDRET PRAKSIS FOR BESKYTTELSE AF FORTROLIGE DATA 7 BRUGERNAVN DELES OFTERE BLANDT UDFØRENDE MEDARBEJDERE 8 PRODUKTIVITETEN GÅR FORUD FOR INFORMATIONSSIKKERHEDEN 8 OFFENTLIGT ANSATTE OPLEVER KRITISKE SIKKERHEDSHÆNDELSER 9 ADMINISTRATIVE MEDARBEJDERE MEST UDSATTE FOR ANGREB VIA E-MAIL 11 HVER 10. MEDARBEJDER HAR KENDSKAB TIL ET GENNEMFØRT DIGITALT ANGREB PÅ DERES ARBEJDSPLADS 12 ANGREB PRIMÆRT FRA PROFESSIONELLE BAGMÆND 12 4. HVOR KOMMER TRUSLEN FRA? 13 MEDARBEJDERNE DEN STØRSTE TRUSSEL 13 5. PRIORITERING HOS LEDELSEN 14 6. OM ANALYSEN 15 3
1. INDLEDNING I denne rapport tager KMD Analyse temperaturen på informationssikkerheden i det det offentlige set fra medarbejdernes perspektiv. Hvilke typer af angreb oplever de ansatte? Hvilke foranstaltninger, bliver der taget på deres arbejdspladser? Lykkedes det angriberne at komme indenfor? Bliver der gjort nok for at forhindre angreb? Undersøgelsen bygger på en survey, som er gennemført online af KMD Analyse i perioden fra 15. februar til 23. februar 2016 med deltagelse af 1002 offentligt ansatte fra stat, regioner og kommuner (I det følgende omtalt som survey m/offentligt ansatte ). SUMMARY Undersøgelsen angiver, at 47 pct. af de offentligt ansatte har oplevet et eller flere interne brud på informationssikkerheden på deres arbejdsplads inden for de seneste 12 måneder. Næsten hver fjerde ansatte angiver, at det sommetider er nødvendigt at dele brugernavn og password til et system. Og lige over hver femte angiver, at de har adgang til fortrolige data, som der ikke arbejdsmæssigt er belæg for at have adgang til. 8 pct. oplyser, at de kender til en kollega, som har slået fortrolige forretningsdata op af nysgerrighed. 42 pct. af de offentligt ansatte har endvidere oplevet en eller flere eksterne sikkerhedshændelser på deres arbejdsplads inden for de seneste 12 måneder. Hver fjerde ansat tilkendegiver, at de selv eller nære kollegaer har været udsat for phising. 14 pct. angiver, at de selv eller nære kollegaer har været ramt af ransomware. 11 pct. angiver, at de har oplevet succesfulde angreb af forskellig karakter, såsom blokering af data via ransomware, blokering af hjemmesider via DDOS-angreb eller lækket data via hacking. Det mest hyppige succesfulde angreb er ransomware, som 4 pct. angiver deres arbejdsplads har været påvirket af. Størsteparten af de angreb, som offentligt arbejdspladser har været udsat for, har efter respondenternes vurdering været iværksat af professionelle bagmænd. Samtidigvis vurderes dog egne medarbejdere til at være den største trussel mod it-sikkerheden. Undersøgelsen tegner et billede af, at informationssikkerhed for størstedelen af de ansatte er en naturlig del af hverdagen, og hovedparten angiver, at deres arbejdsplads har iværksat en række sikkerhedsforanstaltninger. Men it-sikkerhed fylder ikke lige meget på alle arbejdspladserne. 41 pct. tilkendegiver, at de ikke er blevet undervist i informationssikkerhed og yderligere 6 pct. ved ikke, om de er blevet undervist. Altså godt halvdelen af de adspurgte. Undersøgelsen viser endvidere, at cirka en tredjedel af de ansatte tilkendegiver, at deres arbejdsplads ikke har en skriftlig sikkerhedspolitik (9 pct.) eller de ikke kender til den (21 pct.). Mere end hver tredje medarbejder giver udtryk for, at ledelsen bør prioritere informationssikkerheden højere på deres arbejdsplads. 4
2. INFORMATIONSSIKKERHED PÅ ARBEJDSPLADSEN INFORMATIONSSIKKERHED ER EN NATURLIG DEL AF DEN DAGLIGE ARBEJDSGANG Størsteparten af de offentligt ansatte angiver, at informationssikkerhed er en naturlig del af den daglige arbejdsgang på deres arbejdsplads. I hvilken grad er du enig i dette udsagn: På min arbejdsplads er informationssikkerhed en naturlig del af den daglige arbejdsgang? 2% 7% 18% 31% 38% 4% 0% 20% 40% 60% 80% 100% Slet ikke I ringe grad I nogen grad I høj grad I meget høj grad Ved ikke Som det fremgår af figuren, oplever størstedelen af de offentligt ansatte, at informationssikkerhed er en naturligt del af den daglige arbejdsgang. Således angiver 69 pct., at de i høj eller meget høj grad oplever, at informationssikkerhed er en naturlig del af den daglige arbejdsgang på deres arbejdsplads. Samtidig tilkendegiver næsten hver tiende ansatte dog, at informationssikkerhed slet ikke eller i ringe grad er en naturlig del af hverdagen. 5
INFORMATIONSSIKKERHEDEN PÅ OFFENTLIGT ARBEJDSPLADSER KMD Analyse har som led i undersøgelsen spurgt de offentligt ansatte om deres erfaringer med sikkerhedshensyn på arbejdspladsen. Hovedparten af de offentligt ansatte angiver, at deres arbejdsplads har iværksat en række sikkerhedsforanstaltninger. Med hensyn til informationssikkerhed, hvilke af følgende foranstaltninger har din arbejdsplads? Brugerrettighedsstyring (begrænsning af adgang til systemer eller data i relation til jobrolle) 82% 9% 9% Logning i it-systemerne af opslag i følsomme persondata 78% 7% 15% Ved brud på informationssikkerheden, ved jeg hvem jeg skal kontakte 76% 15% 8% En skriftlig politik 70% 9% 21% En klar forankring af ansvaret 58% 14% 29% Kryptering af mails og/eller mobiltelefoni 53% 23% 24% Jeg er blevet undervist i informationssikkerhed i løbet af min ansættelse 53% 41% 6% Afprøvning af sikkerhed (eks. via phishingforsøg eller telefonopringninger over for egne medarbejdere) 10% 53% 38% Jeg har deltaget i afprøvning fra min egen arbejdsplads side (eks. via phishing-forsøg eller telefonopringninger) 6% 82% 12% 0% 20% 40% 60% 80% 100% Ja Nej Ved ikke Som det fremgår af figuren, tilkendegiver et flertal af de offentligt ansatte, at de ved, hvem de skal kontakte ved sikkerhedsbrud (76 pct.), at deres arbejdsplads har en skriftlig politik (70 pct.) og at der er en klar forankring af ansvaret (58 pct.). Samtidig viser undersøgelsen, at de fleste arbejdspladser benytter brugerrettighedsstyring (82 pct.) og logning (78 pct.). Hvis man kigger på de mindre positive sider, så kan man udlede, at 41 pct. ikke er blevet undervist i informationssikkerhed og yderligere 6 pct. ikke ved, om de er blevet undervist. Det er altså knap halvdelen af de adspurgte. Når det gælder øvelser i forbindelse med it-sikkerhed viser tallene, at kun meget få medarbejdere kender til sådanne og endnu færre har deltaget aktivt. Man kan endvidere vende forhold som sikkerhedspolitik og forankring af ansvaret om. Cirka en tredjedel af de ansatte tilkendegiver, at deres arbejdsplads ikke har en skriftlig sikkerhedspolitik (9 pct.) eller de ikke kender til den (21 pct.). Det samme kan udlægges vedrørende en klar forankring af ansvaret og viden om, hvem man skal kontakte ved sikkerhedsbrud. Så selv om flertallet af medarbejdere tilkendegiver, at deres arbejdspladser har en række sikkerhedstiltag, så er der også større grupper, der ikke kan sige det samme eller mangler viden om det. 6
3. SIKKERHEDSHÆNDELSER De offentligt ansatte er, som led i undersøgelsen blevet adspurgt om interne og eksterne sikkerhedshændelser på deres arbejdsplads, såsom hacking og phishing-forsøg eller brud på korrekt adfærd i forbindelse med håndteringen af fortrolige oplysninger. UDFORDRET PRAKSIS FOR BESKYTTELSE AF FORTROLIGE DATA Knapt halvdelen af de offentligt ansatte har oplevet, at der er ageret uhensigtsmæssigt på deres arbejdsplads: Har du oplevet noget af følgende på din arbejdsplads inden for de seneste 12 måneder? (sæt gerne flere krydser) Det er sommetider nødvendigt at dele brugernavn og password til systemerne med mine kollegaer for at få tingene til at virke Jeg har adgang til fortrolige oplysninger, som jeg ikke har brug for i mit arbejde Jeg har kolleger, som ikke altid overholder reglerne om informationssikkerhed 17% 24% 21% Kolleger har slået fortrolige forretningsdata op af nysgerrighed Jeg overholder ikke altid de gældende regler om informationssikkerhed 8% 8% Min chef har bedt mig om at arbejde på en måde, der ikke lever op til politikken for informationssikkerhed 3% Ingen 53% 0% 10% 20% 30% 40% 50% 60% Som det fremgår af figuren, har 47 pct. af de offentligt ansatte efter eget udsagn oplevet en eller flere hændelser, der kompromitterer informationssikkerheden på deres arbejdsplads inden for de seneste 12 måneder. De hyppigste eksempler på sådanne hændelser angives at være deling af brugernavn og password mellem medarbejdere, hvilket knap hver fjerde af de adspurgte angiver at have oplevet. Tilsvarende oplyser mere end hver femte af de adspurgte, at de har adgang til fortrolige oplysninger, som de ikke har brug for i deres arbejde. Det er endvidere værd at bemærke, at 8 pct. oplyser, at de kender til en kollega, som har slået fortrolige forretningsdata op af nysgerrighed. 7
BRUGERNAVN DELES OFTERE BLANDT UDFØRENDE MEDARBEJDERE Medarbejdere med primært udførende opgaver føler sig i højere grad nødsaget til at dele brugernavn og password end deres primært administrative kollegaer: Andel af respondenter, der har delt brugernavn og password for at få tingene til at virke: Medarbejdere med primært administrative opgaver 19% Medarbejdere med primært udførende opgaver 27% 0% 10% 20% 30% 40% 50% 60% Som det fremgår af ovenstående figur, oplever 27 pct. svarende til hver fjerde af de primært udførende medarbejdere således, at de er nødt til at at dele brugernavn og password for at få tingene til at virke. Blandt de administrerende medarbejdere oplevet knap hver femte 19 pct. at det samme gør sig gældende. PRODUKTIVITETEN GÅR FORUD FOR INFORMATIONSSIKKERHEDEN I forbindelse med undersøgelsen er de offentligt ansatte, der har givet udtryk for, at de ikke altid overholder gældende regler om informationssikkerhed, blevet spurgt om årsagen til bruddet på informationssikkerheden. Et flertal af de adspurgte peger på, at når regler om informationssikkerhed ikke overholdes, skyldes det, at reglerne går ud over produktiviteten. Hvorfor overholder du ikke altid gældende regler om informationssikkerhed på din arbejdsplads? Sæt gerne flere krydser. Reglerne går ud over produktiviteten 70% Reglerne er for besværlige 37% Jeg er ikke blevet introduceret til og trænet i reglerne 18% Det gør mine kolleger heller ikke 13% Der ikke formuleret regler 8% Det gør min chef heller ikke 6% Jeg forstår ikke reglerne 1% Ved ikke 5% 0% 10% 20% 30% 40% 50% 60% 70% 80% 8
Som det fremgår af figuren, angiver hele 70 pct. af de offentligt ansatte, der har oplevet brud på informationssikkerheden, at det er sket, fordi reglerne går ud over produktiviteten. Endvidere mener 37 pct. at reglerne om informationssikkerhed er for besværlige, mens 18 pct. ikke er blevet introduceret til og trænet i reglerne på området. Andel af offentligt ansatte, der giver udtryk for, at de eller en nær kollega har oplevet en eller flere eksterne sikkerhedshændelser inden for de seneste 12 måneder 42% 58% 0% 20% 40% 60% 80% 100% Har oplevet mindst én sikkerhedshændelse de seneste 12 måneder Har ikke oplevet eller er bekendt med nogen sikkerhedshændelser inden for de seneste 12 måneder OFFENTLIGT ANSATTE OPLEVER KRITISKE SIKKERHEDSHÆNDELSER Besvarelserne fra de offentligt ansatte angiver, at deres arbejdspladser oplever flere former for digitale angreb. 42 pct. af de offentligt ansatte har oplevet en eller flere eksterne sikkerhedshændelser på deres arbejdsplads inden for de seneste 12 måneder 1. 1 Tallet er udregnet på baggrund af spørgsmålet Har du selv eller nære kollegaer oplevet følgende sikkerhedshændelser herunder mislykkede forsøg på angreb på din arbejdsplads inden for de seneste 12 måneder?. Konkret er det blevet beregnet, hvor mange respondenter der har svaret bekræftende på en eller flere af de anførte sikkerhedshændelser og hvor mange, der ikke har svaret bekræftende på en eneste sikkerhedshændelse. 9
Har du selv eller nære kollegaer oplevet følgende sikkerhedshændelser - herunder mislykkede forsøg på angreb - på din arbejdsplads inden for de seneste 12 måneder? Phishing via mail 23% 52% 25% Ransomware via mail 14% 58% 28% Hacking af arbejdspladsens webmail og/eller intranet 9% 64% 28% Hacking af arbejdspladsens offentlige hjemmeside 8% 66% 26% Bortkomst af it udstyr med sensitive informationer 7% 74% 20% Tyveri af it udstyr med sensitive informationer 7% 73% 20% Spionage software via mail 5% 64% 31% DDoS angreb (hjemmeside utilgængelig for omverden) 4% 67% 30% Phishing via telefonopkald 3% 73% 25% I Spionage det nedenstående software via ser USB vi på nøgle hvilke 1% konkrete sikkerhedshændelser, 75% som de offentligt ansatte har oplevet: 25% Andet 1% 57% 43% 0% 20% 40% 60% 80% 100% Ja Nej Ved ikke Som det fremgår af figuren, er de to største sikkerhedshændelser phishing og ransomware. Hver fjerde offentligt ansat har enten selv eller haft en nær kollega, der inden for de sidste 12 måneder har oplevet phishing via e-mail. 14 pct. angiver, at de selv eller nære kollegaer har været ramt af ransomware. De resterende kategorier af sikkerhedshændelser har under ti pct. af de offentligt ansatte oplevet på deres arbejdsplads inden for de seneste 12 måneder. Det er dog værd at bemærke, at næsten hver 10. medarbejder eksempelvis tilkendegiver, at deres arbejdspladser er forsøg hacket. Blandt de offentligt ansatte, som har oplevet andre typer af sikkerhedshændelser, angives virus som den hyppigste efterfulgt af hacking i generel forstand. En enkelt respondent har oplevet, at myndigheden har været tvunget til at tilbagekøbe et domænenævn, der blev misbrugt i forbindelse med udløb af registreringen. En observation er endvidere, at der er forholdsvis mange svar i ved ikke kategorien. 10
DDoS-angreb: Metode til at få hjemmesider til at blive utilgængelige ved at sætte computere til at lave mange opslag på hjemmesiden. Hacking: Angreb på hjemmesider, mailsystemer eller andre it-systemer, hvor angribere finder sikkerhedshuller, som muliggør, at de kan få uautoriseret adgang til de bagvedliggende systemer. Phishing: Forsøg på at lokke oplysninger om password, kontonummer eller andre oplysninger ud af offeret via f.eks. mails, SMS eller telefonopkald. Ransomware: Ondsindede programmer, som forhindrer virksomheden i at tilgå egne data og hvor der kræves betaling til angriberen for at låse data op igen. ADMINISTRATIVE MEDARBEJDERE MEST UDSATTE FOR ANGREB VIA E-MAIL Medarbejdere med primært administrative opgaver er mere udsat for cyberangreb via e-mail end deres kolleger, der primært har arbejde af udførende karakter, både hvad angår ransomware og phishing angreb. Andel af respondenter, der har været udsat for et it-sikkerhedsangreb via e-mail Phishing via e-mail 38% 17% Ransomware via e-mail 20% 10% 0% 10% 20% 30% 40% 50% 60% Medarbejdere med primært administrative opgaver Medarbejdere med primært udførende opgaver Som det fremgår af figuren, har 38 pct. af de primært administrative medarbejdere svarende til mere end hver tredje oplevet, at de eller en kollega har været udsat for ransomware via e-mail. Til sammenligning har knap hver femte 17 pct. af deres kollegaer med opgaver af primært udførende karakter oplevet at de eller en kollega har været udsat for et angreb. Tilsvarende har 20 pct. af de ansatte med opgaver af primært administrativ karakter oplevet, at de eller en kollega har været udsat for forsøg på e-mail phishing. Blandt de udøvende medarbejdere gør det samme sig kun gældende for 10 pct. 11
HVER 10. MEDARBEJDER HAR KENDSKAB TIL ET GENNEMFØRT DIGITALT ANGREB PÅ DERES ARBEJDS- PLADS Har du kendskab til, at det er lykkedes uvedkommende at gennemføre følgende angreb inden for de seneste 12 måneder? Sæt gerne flere krydser. Din arbejdsplads data har været blokeret via ransomware 4% Adgang til din arbejdsplads data via hacking Din arbejdsplads hjemmeside har været blokeret via DDOS-angreb Din arbejdsplads data er afgivet via phishing 3% 2% 2% 2% Andet 1% Ingen angreb 44% Ved ikke 45% 0% 10% 20% 30% 40% 50% 11 pct. af de ansatte angiver, at de har kendskab til succesfulde angreb af forskellig karakter på deres arbejdsplads, såsom blokering af data via ransomware, blokering af hjemmesider via DDOS-angreb eller lækket data via hacking. 89 pct. angiver, at der ikke har været noget succesfulde angreb, eller at de ikke kender til det. Som set tidligere i analysen, så er der en høj andel af ved ikke besvarelser. De ansatte har naturligt nok ikke det fulde overblik over, hvad der sker på deres arbejdsplads og det kan derfor være svært at udlede, hvor højt tallet egentlig er på gennemførte angreb på de offentlige arbejdspladser. Besvarelserne viser dog, at der med succes gennemføres digitale angreb på det offentlige Danmark. ANGREB PRIMÆRT FRA PROFESSIONELLE BAGMÆND Størsteparten af de angreb, som offentligt arbejdspladser har været udsat for, har efter respondenternes vurdering været iværksat af professionelle bagmænd. Har der efter din vurdering været tale om professionelle bagmænd ved de digitale angreb, din virksomhed har været udsat for? 45% 9% 46% 0% 20% 40% 60% 80% 100% Ja Nej Ved ikke 12
Ovenstående figur indikerer, at i det omfang at de offentligt ansatte har en klar idé om, hvem der står bag et digitalt angreb på deres arbejdsplads, så peges der fortrinsvis på professionelle bagmænd. Således vurderer 45 pct. af de offentligt ansatte, at der har været tale om professionelle bagmænd ved de digitale angreb, deres arbejdsplads har været udsat for. 4. HVOR KOMMER TRUSLEN FRA? De offentligt ansatte er som led i undersøgelsen blevet spurgt, hvor de mener truslen mod informationssikkerheden på deres arbejdsplads primært kommer fra. MEDARBEJDERNE DEN STØRSTE TRUSSEL Ifølge de offentligt ansatte er uopmærksomme medarbejdere og organiserede kriminelle de signifikant største trusler mod informationssikkerheden. Du bedes vurdere i hvilken grad nedenstående grupper udgør en trussel mod informationssikkerheden på din arbejdsplads? Uopmærksomme medarbejdere 6% 26% 40% 13% 5% 11% Organiserede kriminelle 23% 26% 16% 8% 4% 24% Udøvere af digitale drengestreger 15% 30% 22% 7% 2% 24% Fremmede magter 37% 22% 7% 4% 3% 28% Politisk motiverede aktivister Utilfredse kunder 31% 29% 1% 4% 2% 23% 34% 33% 12% 3% 1% 18% 0% 20% 40% 60% 80% 100% Slet ikke I høj grad I ringe grad I meget høj grad I nogen grad Ved ikke Som det fremgår af figuren, vurderer de offentligt ansatte, at uopmærksomme medarbejdere og organiserede kriminelle udgør de største trusler mod informationssikkerheden ifølge de offentligt ansatte. Således mener henholdsvis 18 pct. og 12 pct. af de adspurgte, at uopmærksomme medarbejdere og organiserede kriminelle i høj, eller i meget høj grad udgør de største trusler. Til sammenligning vurderer kun fire pct., at utilfredse kunder er den største trussel mod informationssikkerheden. 13
5. PRIORITERING HOS LEDELSEN De offentligt ansatte er blevet spurgt, hvorledes de vurderer ledelsens prioritering af tiltag, der skal styrke informationssikkerheden på arbejdspladsen. Flertallet af de offentligt ansatte mener, at ledelsens nuværende prioritering af informationssikkerheden er passende. Hvordan bør ledelsen på din arbejdsplads efter din mening prioritere tiltag, der kan styrke informationssikkerheden? De bør prioritere det meget mindre 0% De bør prioritere det mindre 1% De bør beholde nuværende prioritering 51% De bør prioritere det højere 25% De bør prioritere det meget højere 10% Ved ikke 14% 0% 10% 20% 30% 40% 50% 60% Kilde: CIO-survey af KMD Analyse Som det fremgår af figuren, mener 51 pct. at ledelsens nuværende prioritering af sikkerheden er passende. Dog mener 35 pct. - svarende til godt hver tredje - at ledelsen bør prioritere informationssikkerheden højere eller meget højere. Kun én pct. har angivet, at ledelsen bør prioritere området mindre end på nuværende tidspunkt. 14
6. OM ANALYSEN KMD Analyse har samarbejdet med konsulentfirmaet CEDI samt CERTA Intelligence & Security, der er en privat efterretnings- og sikkerhedsvirksomhed, om udarbejdelsen af analysen. Rapporten bygger på en survey, som er gennemført online af KMD Analyse med deltagelse af 1.002 offentligt ansatte fra stat, regioner og kommuner. Det gælder for alle deltagere i undersøgelsen, at de som en del af deres arbejde tilgår eller registrerer oplysninger om borgere i it-systemer. Undersøgelsen omtales i det foregående som survey m/offentligt ansatte. Analysen er gennemført som online-survey gennem UserNeeds Danmarkspanel i perioden fra den 15. februar til den 23. februar 2016. 55 pct. af respondenterne er ansat i en kommune. 23 pct. respondenterne er ansat i en region. 23 pct. respondenterne er ansat i Staten. Placeringen af arbejdspladser er fordelt således: Region Hovedstaden 33 pct. Region Sjælland Region Syddanmark Region Midtjylland Region Nordjylland Flere forskellige regioner 13 pct. 21 pct. 22 pct. 9 pct. 2 pct. Kønsfordelingen er 44 pct. mænd og 56 pct. kvinder. Aldersfordelingen er således: 18-34 år 9 pct. 35-49 år 50-65 år Over 66 år 40 pct. 48 pct. 3 pct. Der er i udvælgelsen af respondenter ikke taget yderligere højde for demografiske variable. 2 Tal kan overstige eller være under 100 pct. pga oprunding og nedrunding. 15