DEBATT:
En feilslutning av dimensjoner
”Mennesket er det svakeste leddet i cyber-sikkerhet” påstår mange. Men er det holdbart å tilskrive mennesket de utallige it-sikkerhetsbruddene som virksomheter opplever i dag, eller skal vi snarere rette fokuset mot en teknologi som tydeligvis ikke støtter opp om menneskelig adferd?
Få temaer er så
omdiskuterte som virksomhetenes, så vel som privates, it-sikkerhetskultur – eller
mangel på det samme. Ja faktisk bugner all verdens medier over med kunnskap,
holdninger og nyheter om it-sikkerhet, hacking, phishing, ransomware,
lovgivning og mye mer. Og hvis man, som jeg, følger med på disse nyhetene, så
er det ett postulat som man veldig ofte støter på: «mennesket utgjør den
største sikkerhetsrisikoen innen it-sikkerhet» – og forestillingen er da heller
ikke tatt ut av løse luften.
Undersøkelser viser at mennesker er involverte i 70-90 prosent av alle it-sikkerhetsbrudd, og det betyr at menneskelig tilstedeværelse er den mest hyppig forekomne faktor, når hackere og cyberkriminelle skal finne veien inn i virksomhetenes systemer. Likevel mener jeg at å peke ut mennesket som «det svakeste ledd» er en feilslutning av dimensjoner.
Det er ikke mennesket som svikter teknologien, det er teknologien som svikter mennesket.
Det er ikke mennesket som svikter teknologien, det er teknologien som svikter mennesket.
Vi bebreider hverandre i stedet for teknologien
Vi mennesker gjør feil. Og ja, det skjer for oss alle sammen, for vi er tillitsfulle av natur, vi har det ofte for travelt, og enkelte ganger er vi uoppmerksomme. Feil skjer, og slik er det. Og dessverre gjør det oss til den mest flittig benyttete målskiven for it-kriminelle.
Men betyr det at vi bærer skylden?
Og gir det mening å peke på hverandre, når vi begår feil i vår digitaliserte verden, eller skal vi kanskje heller se på den teknologien som svikter oss og tillater disse feilene? Jeg mener at vi skal tenke mennesket mye mer inn i teknologien, enn hva vi gjør nå.
Mennesket i teknologiens sentrum
At «den menneskelige faktor» møter så hard kritikk i it-sikkerhetsbransjen virker paradoksalt, for uten mennesket var det ingen teknologi eller verdiskaping, ingen forretning og ingen forbrukere – ja, ingen bransje. Nettopp derfor må mennesket være den viktigste faktoren i it-sikkerhet, og derfor er det opplagt at teknologien er mangelfull, når det kommer til å fungere i samspill med mennesker. Teknologien må ganske enkelt bygges opp med mennesket i sentrum.
I stedet for at se mennesket som en sikkerhetsbrist i våre systemer, må vi innrette disse systemene etter menneskene som arbeider i dem. Vi må se på brukernes arbeidsganger for å høyne brukervennligheten slik at teknologien i høyere grad er innrettet etter menneskets handlingsmønstre, for kun på denne måten kan mennesker utvise god it-sikkerhetskultur.
Og ærlig talt – hvis ett klikk fra en uoppmerksom medarbeider er alt som skal til for å slå en hel virksomhet ut av kurs, hva sier så ikke det om kvaliteten til disse systemene? I en slik situasjon ville det være en fullkommen feilvurdering å plassere skylden på den enkelte medarbeider, men ikke desto mindre er det ofte det som skjer.
Og det er en ytterst uhensiktsmessig tendens.
Én ting er de konsekvensene som sikkerhetsbruddet vil få for virksomheten, som kan miste verdier og verdifulle data, noe helt annet er konsekvensene som det kan ha for det individet som ble katalysatoren for sikkerhetsbristen.
Og ærlig talt – hvis ett klikk fra en uoppmerksom medarbeider er alt som skal til for å slå en hel virksomhet ut av kurs, hva sier så ikke det om kvaliteten til disse systemene?
Når cyberskammen rammer
Når det skjer et sikkerhetsbrudd i en virksomhet, er det i de langt fleste av tilfellene snakk om en medarbeider som har blitt narret til å klikke på en lenke som er sendt av en it-kriminell – det som man på godt norsk kaller phishing. Og så begynner sirkuset. For nå har de it-kriminelle tilgang til virksomhetens data, og det kan ha fatale konsekvenser.
Og så kommer cyberskammen. For hvem er så dum at man faller for en phishingmail, kan man kanskje tenke. Og tenk hvis det får økonomiske konsekvenser, ender i oppsigelser eller i en stengt virksomhet. Konsekvensene av en liten feil kan være ytterst tungtveiende, og for enkelte medarbeidere blir skyldfølelsen ødeleggende.
Jeg mener at det på mange måter ikke bare er snakk om et angrep på en virksomhet, men i like høy grad om et overgrep mot det offeret som blir svindlet, for deretter bli bebreidet.
Bebreidelse av individet bremser utviklingen
Ut over de opplagte konsekvensene som et slikt overgrep kan ha for enkeltpersonen, er det også en annen svært alvorlig ulempe ved å bebreide individet – man bremser den teknologiske utviklingen. Hvis man gir medarbeideren skylden, blir teknologien, som har vist seg å være feilbarlig eller usikker, ikke optimalisert og utviklet etter behov.
Å fraskrive teknologien alt ansvar for feil, for i stedet bebreide mennesket, har derfor den konsekvensen at teknologien stagnerer og ikke blir bedre.
Så jo, det er udiskutabelt at mennesket er den mest hyppige faktoren innen it-sikkerhetsbrudd, men det betyr ikke at mennesket er det svakeste leddet. Derimot betyr det at den største risikoen som de norske virksomhetene står overfor, er de cyberkriminelles systematiske angrep på mennesket, kombinert med en teknologi som ikke tar høyde for mennesket.
Bare på den måten kan vi rive målskiven av ryggen til de norske medarbeiderne.
Derfor er det nødvendig å utvikle teknologiske forsvarsmekanismer og prosesser som støtter opp om menneskene som bruker dem, i stedet for det motsatte. Og det er nødvendig å utruste sine medarbeidere skikkelig gjennom opplæring, slik at de kan forsvare seg mot cybertrusler utefra. Bare på den måten kan vi rive målskiven av ryggen til de norske medarbeiderne.