Forebyggelsesindsatserne tager afsæt i, at borgernes digitale sikkerhed kan styrkes på forskellige måder og ikke alene, ved at borgerne skal gøre noget andet og mere, end de gør i dag. Borgernes digitale sikkerhed kan også styrkes ved, at andre aktører arbejder med at forebygge it-kriminalitet på nye måder.
1. Partnerskaber om nye måder at forebygge it-kriminalitet på.
Der kan med fordel dannes forpligtende partnerskaber mellem repræsentanter fra myndigheder, virksomheder og politi, som i fællesskab udvikler initiativer sammen, der har til formål at forebygge borgerrettet it-kriminalitet.
En række eksisterende netværk arbejder allerede på at øge borgeres digitale sikkerhed. Disse netværk skal udvikles og styrkes, så der også fremover findes stærke alliancer på tværs af myndigheder, virksomheder og politi.
I regi af disse forpligtende partnerskaber kan der bl.a. inviteres til konferencer eller gå-hjem-møder, hvor indsigter fra nærværende rapport præsenteres for en bredere kreds af professionelle aktører, der arbejder med forebyggelse af borgerrettet it-kriminalitet. I partnerskaberne kan der også afholdes workshops med relevante aktører med henblik på at udvikle fælles bæredygtige råd.
2. Erfaringsudveksling om it-kriminelles angrebsforsøg.
Flere af de myndigheder og virksomheder, der har deltaget i denne undersøgelse, efterspørger større mulighed for erfaringsudveksling om forsøg på angreb mod myndighedens eller virksomhedens it-infrastruktur.
I øjeblikket oplever mange myndigheder og virksomheder, at det er sårbart at dele erfaringer med brister på it-sikkerheden eller it-kriminelles forsøg på angreb mod myndighedens eller virksomhedens it-infrastruktur. For selvom der er villighed til og interesse for at dele erfaringer og gode råd, frygter mange myndigheder og virksomheder, at det kan have konsekvenser for deres kernevirksomhed. Frygten er, at myndigheden eller virksomheden vil blive opfattet som for dårligt rustet til at opretholde en tilstrækkelig grad af it-sikkerhed over for såvel borgere som medarbejdere. Af samme grund efterspørger flere virksomheder og myndigheder, at en fremtidig videndelingsplatform faciliteres af en neutral aktør. Ønsket er, at erfaringsudvekslingen om it-kriminelles angrebsforsøg både foregår internt og på tværs af myndigheder, virksomheder og politi.
3. Udvikling af best practice-principper for digital kommunikation.
Myndigheder og virksomheder ønsker, at deres digitale kommunikation til både borgere og egne medarbejdere er sikker. Ikke desto mindre er der behov for at kunne kommunikere nemt og effektivt, og det betyder i mange tilfælde, at it-kriminelle har mulighed for at efterligne myndigheders og virksomheders digitale kommunikation. Dette skal ses i sammenhæng med, at it-kriminelle generelt bliver bedre til at udvikle vellignende phishing og smishing.
Virksomheder og myndigheder efterspørger derfor hjælp til at udvikle den digitale kommunikation, således at it-kriminelle har sværere ved at efterligne indholdet. Det gælder f.eks. brugen af logoer, tekst og links, der skal udvikles til at understøtte en mere sikker digital kommunikation. Der kan desuden med fordel tænkes i nye sikre kommunikationsplatforme som erstatning for ‘åbne’ mailprogrammer. Her kan tekniske løsninger blive en løftestang for mere sikker digital kommunikation.
4. Awareness-kampagner.
Danske myndigheder udvikler løbende awareness-kampagner målrettet borgere med henblik på at styrke borgernes digitale sikkerhed. Disse awareness-kampagner kan med fordel lade sig inspirere af myndigheders og virksomheders erfaringer med awareness-kampagner for deres medarbejdere. Myndigheders og virksomheders awareness-kampagner har til formål at ‘træne’ medarbejderes evne til at genkende og rapportere phishing, f.eks. ved brug af en hackerknap eller konkurrencer.
Borgere og medarbejdere deler en række fælles vilkår ift. at håndtere henholdsvis borgerrettet og medarbejderrettet phishing. Bl.a. er både borgere og medarbejdere mennesker, der skal forholde sig til digital kommunikation i en travl hverdag. Men der er naturligvis også nogle vilkår, der er forskellige for borgere og medarbejdere ift. at håndtere borgerrettet og medarbejderrettet phishing. Derfor kan myndigheders og virksomheders tiltag i forbindelse med medarbejderrettet phishing ikke uden videre iværksættes til at styrke borgeres digitale sikkerhed. De kan dog tjene som inspiration til awareness-kampagner rettet mod borgere.
5. Sikre måder at opbevare passwords på.
Lækkede passwords samt for korte og usikre passwords er en lettilgængelig vej for it-kriminelle til at kompromittere borgeres digitale sikkerhed. Der er dermed et potentiale i at understøtte en sikker opbevaring af borgeres passwords gennem både teknologiske og adfærdsorienterede tiltag.
Derfor er der behov for at igangsætte nærmere undersøgelser af borgeres villighed til password-manager-programmer eller andre muligheder for sikker opbevaring. De eksperter, der er blevet interviewet til denne undersøgelse, peger enstemmigt på password-manager-teknologien som et godt og effektivt værktøj til at beskytte bor- geres adgangskoder. Denne undersøgelse fremhæver, at blot 10 pct. af borgerne anvender password-manager-programmer, og at ældre borgere generelt er skeptiske over for password-manager-teknologien og efterspørger muligheder for at op- bevare deres passwords fysisk. Til gengæld er unge mellem 18 og 39 år mere trygge ved password-manager og indstillede på at benytte teknologien.
6. It-kriminelle skal konfronteres med konsekvenserne.
Der er behov for at forandre it-kriminelles syn på deres ofre som ansigtsløse data- punkter. For så længe it-kriminelle ikke skænker deres ofre en tanke, og kriminalitetens konsekvenser for deres ofre føles uvedkommende for de it-kriminelle, er der ikke nogen ’moralsk stopklods’ for de it-kriminelle.
Derfor skal der skabes de rette rammer for, at it-kriminelle konfronteres med de konsekvenser, it-kriminaliteten har haft for deres ofre både psykisk og økonomisk. Indsatsen skal bidrage til at afholde tidligere it-kriminelle fra at ‘falde tilbage’ i en kriminel løbebane og kan med fordel foregå i samarbejde med aktører, der har erfaring med lignende indsatser.
Kilde: Digital risikoadfærd / Det kriminalpræventive råd