«Uten brukere hadde IT-systemene vært helt sikre,» sies det. Årets mørketallsundersøkelse fra Næringslivets Sikkerhetsråd gjør det også lett å peke på brukeren som det største sikkerhetsproblemet. Undersøkelsen viser nemlig at de mest utbredte hendelsestypene er relatert til virus, phishing og bedriftens ansatte. Alle disse tre kategoriene handler om folk.
Men en annen fersk undersøkelse viser at det trolig er for enkelt bare å peke på brukerne som problemet. Studien kommer fra Norsk Senter for Informasjonssikring (NorSIS) og beskriver den norske «cybersikkerhetskulturen». En av rapportens hovedkonklusjoner er at opplæringstiltakene vi benytter, ikke gir tilfredsstillende effekt per i dag.
Dette viser oss som jobber med IT og sikkerhet hvor veien videre bør gå: Alle IT-avdelinger må legge mer vekt på å forstå brukerne – hva de tenker og hvordan de oppfører seg. Vi må snakke med dem og lytte til hvilke utfordringer de har. Vi må – kanskje overraskende – undersøke hvorvidt sikkerhet oppleves som en hindring i deres hverdag.
Bakgrunn: – Kolossale mørketall for datakrim mot norske bedrifter
Frustrerte brukere gir økt risiko
Om virksomheten har regler som er vanskelige å etterleve i praksis, så slutter nemlig folk å bry seg om dem. Dette har vi sett både som forskere, rådgivere og i egen virksomhet. Vi har også sett jevnlig at IT-systemer som gir dårlige brukeropplevelser, skaper frustrasjon hos folk som heller omgår sikkerhetsreglene for å få gjort jobben sin.
Slike omgåelser medfører økt risiko, både på kort og lengre sikt.
Konsekvensene av uønskede sikkerhetshendelser er betydelige. I Mørketallsundersøkelsen spørres det om årsaker til den alvorligste hendelsen i rammede bedrifter. «Tilfeldigheter eller uflaks» er oppgitt i 74 prosent av svarene. Menneskelige feil, mangel på sikkerhetsbevissthet hos de ansatte og manglende etterlevelse av prosesser, følger på de neste plassene. Igjen; det handler om folk, og brukerne får skylda.
Mange arbeidsgivere sitter trolig med en følelse av at de har gjort det som gjøres kan. Men det å tilby medarbeiderne angivelig «sikre» systemer, er ikke det samme som at virksomheten har sikret informasjonen. Om vi tvinger ansatte til å lage kompliserte passord som må byttes ofte, vil de se seg nødt til å skrive passordet på en lett tilgjengelig huskelapp. Eller hva med fortrolig informasjon som folk skriver ut, lagrer på USB-minnepinner eller sender til en privat epost-konto? Vi kan aldri sikre oss 100 prosent med teknologiske sperrer, så da må vi forholde oss til folk uansett.
Er folk mottakelig for opplæring?
Vi tror ikke at noen er motstandere av sikkerhet. Tvert imot. Ingen ønsker å bli lurt eller svindlet, eller at deres arbeidsgiver skal rammes av dataangrep. Og dette er jo et godt utgangspunkt for sikkerhetsopplæring! Vi spør oss likevel om folk er mottakelige for opplæring, eller om de preges av et negativt forhold til bedriftens IT- og sikkerhetstiltak.
Folk flest er jo ikke like opptatt av IT-sikkerhet som oss. De ønsker derimot å gjøre jobben sin, og de forventer å ha moderne og fungerende IT-verktøy. Men hvordan oppleves IT-verktøyene? Og sikkerhetsreglene? Undersøkelsen til NorSIS peker på at mange bryter sikkerhetsregler bevisst eller er usikre på om de holder seg innafor. Vi har observert det samme.
Dersom folk synes reglene er vanskelige å etterleve i praksis, og systemer gir dårlige brukeropplevelser, blir de mindre positivt innstilt til sikkerhetsopplæringen vi tilbyr. Slike negative holdninger kan også lett spre seg på arbeidsplassen.
Vi må snakke med folk
Reglene våre må derfor være krystallklare, gi mening, og være understøttet av teknologi som funker i folks hverdag. Gode IT-systemer som oppfyller sikkerhetsregler uten at folk trenger å tenke på dem, kan både fjerne frustrasjon, gi gode brukeropplevelser og redusere risiko. Kanskje vil også noen regler være overflødige hvis vi bare setter oss ned og snakker med folk, forklarer og motiverer dem?
For, hvis vi bare er opptatt av teknologien som skal beskytte oss, preger dette hvordan vi som sikkerhetseksperter snakker med brukerne. Vi må alltid kommunisere med et klart språk uten tekniske floker, og slett ikke undervurdere effekten av øyekontakt. Folk trenger god hjelp til å forstå hvilke verdier de forvalter som digitale brukere, og hva de kan gjøre i praksis for å beskytte både sine egne og andres verdier.
Sikker praksis som felles mål
Skal arbeidsgivere få til dette, trenger de mer enn bare teknologi for å lykkes. Ikke minst er de avhengige av brukere som er positivt innstilt og dermed mottakelig for opplæring. Da må vi arbeide for å snu negative følelser hos folk, tilknyttet IT og sikkerhet.
Slik må vi hele veien arbeide med både mennesker og organisasjon, i samspill med teknologien, for å etablere sikker praksis blant alle ansatte. Målet er årvåkne medarbeidere som fanger opp risikosituasjoner, varsler og bidrar til at vi sammen kan avverge alvorlige sikkerhetshendelser. Slik kan vi oppnå at mennesket, som i dag kalles det svakeste leddet, i stedet blir en positiv IT-sikkerhetsfaktor for norske virksomheter.
Les også: Bare halvparten av storbedriftene frykter datalekkasjer