IT-sikkerhet er et stort bransjeproblem med mange fasetter. Et av de største problemene er ifølge mange de uvitende brukerne.
De bruker passord som er lette å gjette, de skriver dem ned, bytter sjeldent og oppgir dem til en ekstern ukjent person uten å blunke. Hvis de får en epost fra en ukjent adressat, eller fra en kjent person eller bedrift som ber dem oppdatere sin registrerte informasjon, så bruker de velvillig av sin tid for å hjelpe til.
Løsningen på dette brukerproblemet blir av de fleste regnet for å være brukeropplæring, men det er det ikke lengre samstemt enig om blant sikkerhetseksperter. Temaet er mer kontroversielt enn som så.
Stefan Gorling, en doktorgradsstudent ved Royal Institute of Technology i Stockholm i Sverige, mener at brukeropplæring i IT-sikkerhet er bortkastet tid.
- Jeg tror ikke at brukeropplæring vil løse sikkerhetsproblemer da sikkerhet alltid vil være et sekundert mål for brukerne, sier Gorling, ifølge Cnet News.
Han følger opp og mener at brukeren blir misbrukt av IT-avdelinger som en syndebukk for sin manglende evne til å gjøre jobben sin.
- Kan det være slik at brukeropplæring blir brukt som en måte til å dekke over vår mislykkethet? Er det ikke egentlig en måte å be dem om å gjøre vår jobb, spør Gorling retorisk.
Han mener at sikkerhetsspørsmålet hører hjemme i IT-avdelingen, ikke hos brukerne. De bør få fokusere på jobben sin istedenfor å måtte sitte å tenke på alt mulig rart av sikkerhetsproblematikk.
Den svenske sikkerhetseksperten viser til regnskapsavdelingene og mener at IT-avdelinger bør håndtere sikkerheten på samme måte som regnskapsavdelingen håndterer regnskapsføring og reiseregninger.
- Hvis sikkerheten skal fungere må den være en del av prosessen. Den må designes slik at den ikke kommer i konflikt med brukerens primære mål. Den vil aldri fungere hvis den kommer i veien, sier Gorling, ifølge CNet News.
På konferansen møtte Gorling mye motbør for sitt syn blant deltagerne i salen, men han fikk også støtte.
- Det er virkelig et mareritt. Brukeropplæring er totalt bortkastet tid. Det blir som å spikre gele på veggen. Det er ingen vits å forsøke å lære dem hva phising er, hva rootkits er, hva malware er og så videre. De er ikke interessert, de vil heller fokusere på å gjøre jobben sin, sier Martin Overton, en sikkerhetsekspert i IBM i Storbritannia.