Infosäk, kultur och mänskligt fel

Jonathan Mikaelsfjord 1 oktober, 2019

Introduktion

En god säkerhetskultur på arbetsplatsen skapar trygghet och stabilitet

Informationssäkerhet är en av de frågor som fortsätter att växa i samhället, vilket syns bland annat i det ständigt ökande behovet av personal med särskild kompetens inom området. Fler och fler organisationer inser vikten av att arbeta med informationssäkerhet eftersom informationstillgångar ofta är, tillsammans med den egna personalen, en av de mest kritiska tillgångarna för företag och organisationer. Därmed bör organisationerna med all rätt lägga största vikt på frågor som ämnar att skydda och bevara dessa tillgångar.

Informationssäkerhet handlar om att säkerställa att all information inom en organisation hanteras på ett säkert sätt i syfte att förhindra att informationen förstörs, förvrängs eller stjäls. Inom informationssäkerhet används ofta tre grundprinciper: Confidentiality, Integrity och Availability. Med dessa vill organisationer uppnå att informationen;

  • enbart delas där den är tänkt att delas och enbart med de som är behöriga att motta informationen (confidentiality);
  • ska vara skyddad på så vis att den inte kan ändras, förvanskas eller förstöras av obehöriga (integrity);
  • ska vara möjlig att nå och använda när behov uppstår (availability).

För att förbättra informationssäkerheten inom organisationer genomförs oftast, som ett av stegen i processen, en riskanalys för att identifiera brister och sårbarheter. Till dessa brister kopplas sedan åtgärder som kan vara antingen av teknisk eller organisatorisk typ.

De tekniska åtgärderna kan, bland annat, innebära installation av brandväggar, antivirusprogram och implementering av krypteringsmetoder med mera. Dessa system måste ofta installeras i den miljö de ska verka i, det vill säga så implementeras de på ett sätt som inte stör verksamheten. Användaren märker oftast inte att hen har ett antivirus eller en brandvägg installerat i sitt nätverk då dessa arbetar i bakgrunden. Därmed kan det sägas att tekniska åtgärder som arbetar i bakgrunden och inte kräver någon interaktion av den genomsnittlige användaren ofta inte skapar något extraarbete eller extra steg som måste genomföras i processen. Dessa typer av lösningar är i grunden utformade för att vara just passiva hjälpmedel och sköta sådana uppgifter som användaren själv inte klarar av.

Organisatoriska åtgärder innebär dock ofta motsatsen, mer ansvar läggs på användaren och mer steg i deras arbete införs för att hjälpa användaren att upprätthålla ett lämpligt beteende som gynnar informationssäkerheten. Dessa organisatoriska åtgärder kan till exempel vara olika regler eller rutiner som ska följas.

I en organisation följer principen att desto mer rutiner och regler som införs, desto mer ansvar och förväntan läggs på användaren. Desto mer ansvar som läggs på användare desto högre blir även sannolikheten att skuldbeläggandet flyttas från det sociotekniska systemet till den enskilda användaren. Detta leder i sin tur till att varje incident, där användaren på något sätt är inblandad, benämns ha orsakats av ”mänskliga faktorn” även känt som ”human error”.

Denna typ av tillvägagångssätt där användare tilldelas mer och mer ansvar genom nya rutiner, regler och krav kan leda till att det skapas en säkerhetskultur där skuldbeläggande blir en central funktion. En sådan kultur bör undvikas i allra högsta grad då den inte medför något värde för organisationen utan snarare orsakar mer skada än nytta. Personal som ingår i en sådan kultur blir rädda för bestraffning och undanhåller hellre information om incidenter eller misstag istället för att rapportera in den. Detta fenomen kan i längden skapa och leda till mycket allvarligare situationer i framtiden, jämfört med de incidenter som undanhålls (Boysen II, 2013).

Organisationer ska istället sträva efter att skapa en så kallad rättvis säkerhetskultur, ”Just Culture”, där det är tydligt vilket ansvar användaren/personalen har men även vilket ansvar organisationen har.

I en ”Just Culture” uppmuntras och stärks personalen till att delta i ett proaktivt säkerhetsarbete på arbetsplatsen (Boysen II, 2013). Förhållningssättet kring ”Just Culture” flyttar även fokus från skuldbeläggande av enskilda användare till frågor kring system-/organisationsdesign och den kontext som incidenterna inträffar i (Boysen II, 2013).

Informationssäkerhet och Human Error

Kaspersky Labs genomför årligen en undersökning där de frågar företag om de upplevt någon informationssäkerhetsincident under de senaste 12 månaderna. De företag som under 2018 haft en eller flera incidenter ombads besvara vilka typer av incidenter dessa varit. Av alla dessa typer av incidenter var mänskligt fel den tredje största typen av incidenter, under 2017 rapporterade företagen som tillfrågades att av de incidenter de upplevt så berodde 29% av dessa på mänskligt fel (Schwab & Poujol, 2018). Enligt samma källa så sjönk den siffran till 27% under 2018. I en annan undersökning genomförd av företaget BakerHostetler så bedömdes mänskligt fel stå för 24% av samtliga upptäcka informationssäkerhetsincidenter (BakerHostetler, 2016) vilket bekräftar det resultat som Kaspersky Labs uppnådde.

Det som dock inte framgår i undersökningarna är vad dessa mänskliga fel beror på. Snarare kategoriseras mänskligt fel enbart som en orsak till incidenter, vilket gör att analysen av incidenternas uppkomst stannar av. I dessa fall nöjer sig organisationer med att lägga skulden på användaren genom att identifiera att incidenten var sprungen ur ”mänskligt fel”.

Detta är ett felaktigt resonerande då incidenter där användaren omedvetet gör ett misstag inte borde klassas som en orsak till en händelse utan snarare som en del av ett olycksförlopp, det vill säga om det inte står klart att illvilligt agerande varit inblandat. Det kan nämligen lika väl vara ett teknisk fel som påverkar användaren och som därmed begår ett misstag vilket leder till en incident.

Genom att se mänskliga fel som en del i ett längre olycksförlopp så måste även organisationerna utgå ifrån att varje människa vill göra rätt för sig och alltid genomför sina uppgifter efter bästa förmåga i de givna förutsättningarna samt med syftet att uppnå det resultat som verksamheten ställt krav på.

Med detta synsätt blir det klart att användares beteende inte förändras nämnvärt över tid, förutsatt att de inte är helt nya på en arbetsplats och att verksamheten inte förändras drastiskt. Detta vardagliga beteende ger i de flesta fall ett lyckat resultat för användarna. Det vill säga gör de vanligen sitt jobb och uppnår förväntat resultat men i vissa fall kan en incident uppstå trots att användarens beteende inte förändrats.

Hur kommer det sig då att samma beteende över tid kan ge olika resultat? Den enda slutsatsen som kan dras är att det är flera faktorer och olika kontext som bidrar till att förändra resultatet, inte enbart den enskilde användarens beteende.

En incident som uppstår på grund av ”felaktigt beteende” från användarens sida beror inte enbart på användaren utan flertalet faktorer, som till exempel:

  • Vilken uppgift genomförde användaren när incidenten inträffade?
  • Hade uppgiften i sig förändrats nyligen i samband med organisationsförändringar, effektiviseringar eller automatiseringar?
  • Var användaren under tidspress?
  • Visste användaren att hen agerade fel under tiden som uppgiften utfördes?
  • Fanns det ”genvägar” som användaren lärt sig använda för att kringå extra arbetsbelastning/extra steg som införts i processen som säkerhetsåtgärder – i så fall varför var dessa möjliga att göra och varför kände användaren att hen behövde ta ”genvägar”?
  • Krävdes det särskild kunskap från användarens sida för att kunna hantera informationen på ett säkert sätt?
  • Fick användaren veta att särskild kunskap krävdes för att hantera informationen på ett säkert sätt?

Som ni märker finns det många faktorer som behöver utredas vidare vid incidenter när aspekten som benämns som ”human error” är inblandad. Det finns mycket att vinna på att faktiskt ta reda på hur kontexten som incidenten uppstod i såg ut och vilka faktorer som bidrog till utfallet. Genom att vidare analysera incidenter där mänskliga misstag varit inblandade kan en organisation hitta ny kunskap kring vilka faktorer hos dem som leder till att deras användare begår misstag. Denna kunskap kommer väl till pass inom organisationernas arbete med verksamhetsutveckling.

Informationssäkerhet, ETTO och Human Factors

Organisatoriska åtgärder anpassas inte, som tidigare nämnts, på samma vis som tekniska åtgärder, de anpassas ofta utefter aktuell organisations behov men sällan anpassas de utefter människorna i organisationen. I samband med införandet av extra steg i en process eller en extra arbetsbelastning, för att genomföra samma uppgift som tidigare med oförändrat resultat, så skapas det en kognitiv intressekonflikt hos användaren. Studier har visat att effektivitet och noggrannhet (som säkerhet är) har en relation där de tar av varandra. Det vill säga om effektiviteten ökar, så minskar noggrannheten och om noggrannheten ökar så minskar effektiviteten. Detta samband benämns som ”Efficiency – Thoroughness Trade-Off” (ETTO) – principen (Hollnagel, 2009). Målet är inte att öka den ena aspekten mer än den andra, utan att hitta den specifika balans mellan effektivitet och noggrannhet som passar bäst i den givna situationen. I och med införandet av organisatoriska åtgärder så som regler och rutiner vilka ofta innebär extra arbete eller extra kunskap så läggs mer och mer tyngd på noggrannhet vilket påverkar effektiviteten negativt. Det i sin tur betyder att användaren antingen kommer att uppnå samma eller sämre resultat jämfört med tidigare men även en högre arbetsbelastning eller en ökad tidspress.

Detta ska sättas i perspektiv med tekniska åtgärder som användaren ofta inte alls märker av, om det inte är till exempel införande av tvåstegsverifiering vid inloggning eller liknande. Med det sagt så ska tekniska och organisatoriska åtgärder ses som lika viktiga i arbetet mot högre informationssäkerhet. Det kan till och med argumenteras för att organisatoriska åtgärder är viktigare än tekniska i och med att felaktigt beteende till och med i vissa fall kan kringgå tekniska skyddsåtgärder (International Organization for Standardization, 2013).

Ett sätt att ta ETTO-principen i beaktning är att utforma informationssäkerhetsåtgärder utifrån ett Human Factors-perspektiv. Human Factors är en tvärvetenskaplig disciplin inom forskning och företagsvärlden som fokuserar på att analysera mänsklig interaktion med diverse artefakter (verktyg, datorer, regler, policy, andra människor, fordon, mjukvaror, organisationer osv) utifrån ett helhetsperspektiv av design-, ingenjörs-, lednings- och teknologiska principer (Salvendy, 2012). Human Factors begreppet likställs med Ergonomi som inbegriper både fysisk, kognitiv och organisatorisk ergonomi. Målet inom Human Factors är att utforma tjänster, organisationer, uppgifter, verktyg med mera utefter den individ, och dennes förutsättningar, som är tänkt ska utföra uppgiften. Det vill säga forma uppgiften och verktygen utefter människan och målet, inte tvärtom. På så sätt uppnås möjligen balansen mellan effektivitet och noggrannhet enklare.

Informationssäkerhet, Safety I och Safety II

Inom säkerhetsbranschen talas det ofta om perspektiven Safety I och Safety II. Safety I definieras som det traditionella sättet att se på säkerhet, det vill säga att analyserna utgår ifrån att identifiera alla möjliga risker som något kan utsättas för (proaktiv) samt kartlägga de incidenter som redan inträffat (reaktiv) i syfte att skapa åtgärder som implementeras i systemet eller organisationen för att hindra att något inträffar igen eller att en identifierad risk inte inträffar över huvud taget (Hollnagel, 2014). Fokuset för Safety I är därmed allt som kan gå fel och orsaka en skada, vilket i sin tur begränsar sig till att analysera enbart en bråkdel av en organisations verksamhet med tanke på att det vanligtvis inte inträffar några incidenter. Genom Safety I går analytikern därmed miste om att analysera och utvärdera den absoluta majoriteten av verksamhetens aktiviteter eftersom synsättet enbart fokuserar på tidpunkter då något gått fel alternativt försöker kartlägga vad som kan gå fel (Hollnagel, 2014). Inom informationssäkerhet är detta perspektiv det mest dominerande, bland annat på grund utav att praktiker tolkat och tillämpar ISO 27001 på detta vis.

Safety II handlar om att utgå ifrån perspektivet att det inte är några extraordinära händelser/aktiviteter som orsakar incidenter utan snarare handlar det om olika kombinationer av vardagshändelser som leder till oförutsedda konsekvenser (Hollnagel, 2014). I och med detta perspektiv så viktas ”det som går fel” och ”vardagliga aktiviteter/det som går rätt” lika, vilket betyder att båda delarna analyseras till lika stor del (Hollnagel, 2014). I och med att Safety II fokuserar både på att;

  • identifiera det som gått fel för att förhindra att det inträffar igen och;
  • på att identifiera samt förstärka de aspekter som gör att vardagliga processer lyckas; så handlar det i mycket om att effektivisera processer för att skapa en säkrare verksamhet.
Secify-focus-of-safety

EUROCONTROL, som arbetar för en gemensam styrning av europeiskt luftrum, presenterar i ett av sina white papers en visuell graf som visar skillnaden mellan säkerhetsperspektivens (Safety-I och Safety-II) fokus (EUROCONTROL, 2013).

Safety II perspektivet har ännu inte vunnit mark inom området informationssäkerhet men det finns tydliga vinster i att applicera det inom området. Dels för att identifiera sårbarheter och brister men även för att identifiera de styrkor som bidrar till ökad informationssäkerhet, vilket skulle stärka utformningen av både tekniska och organisatoriska åtgärder. Det skulle i teorin leda till både säkrare och effektivare processer i informationssäkerhetsarbetet.

Sammanfattning

En stor del av alla informationssäkerhetsincidenter som inträffar runtom i världen beror enligt företag och organisationer på mänskliga fel och misstag (”human error”) (Schwab & Poujol, 2018), (BakerHostetler, 2016) men det upplevs vara få av dessa organisationer som utreder varför deras användare begår misstag eller hanterar information på fel sätt. Istället klassas det som en orsak i sig till informationssäkerhetsincidenter vilket medför att dessa misstag inte analyseras närmre, trots att det finns mycket kunskap att vinna.

Slutsats 1

Människor ses som en orsak till incidenter eller en svaghet och vidare analys av incidenter där mänskligt agerande varit inblandat hindras av detta synsätt då analytikern härleder incidentens orsak till människan och inte längre. Genom att börja se människans agerande och människan i sig som enbart en del i systemet, en del av hela organisationen, kan ny kunskap utvinnas vilket kan påverka informationssäkerheten positivt.

Informationssäkerhetsområdet står inför stora utmaningar vad gäller att öka möjligheten att anpassa organisatoriska åtgärder utefter de människor som påverkas av åtgärderna utan att negativt påverka människornas effektivitet. Ett sätt att bemöta denna utmaning skulle vara att utgå ifrån ett Safety II perspektiv och använda sig av designinriktade arbetssätt enligt området Human Factors för att skapa informationssäkerhetshöjande åtgärder som är anpassade utefter kontexten de förs in i, användarna som kommer i kontakt med dem och de mål som appliceras.

Slutsats 2

I dagsläget införs organisatoriska informationssäkerhetsåtgärder som anpassas till den aktuella organisationen men inte själva användarna som påverkas av åtgärden. Detta kan medföra problem så som förlorad effektivitet eller ökad arbetsbelastning hos användarna. Vilket i sin tur kan leda till att vissa ”tar genvägar”, ignorerar rutiner eller åtgärden. Genom att ta ETTO-principen i beaktning och applicera ett Safety II-perspektiv kan ny kunskap kring vad som ökar sannolikheten för lyckade processer genereras. Denna kunskap kan sedan utgöra grunden i vidare analysarbete med Human Factors-perspektiv. Dessa analysarbeten ska inneha fokuset att identifiera, producera och implementera informationssäkerhetssåtgärder, både tekniska och organisatoriska, som är passande i den kontexten åtgärderna ska användas i och som gör det enklare och effektivare för användarna att agera så rätt som möjligt.

För att kunna införa Safety II perspektiv i en organisation så krävs det även att kulturen i organisationen reflekterar dessa tankesätt. En rättvis kultur (Just Culture) kan bidra till en effektivare implementering av Safety II-perspektivet. Det ska dock påpekas att ”Just Culture” inte bör ses som det sista steget vad gäller organisationskultur utan bör vidareutvecklas och över tid kanske även förändras till något annat, beroende på vad som är passande i aktuell organisation. Det ska ses som ett steg i rätt riktning.

Slutsats 3

En rättvis kultur (Just Culture) i en organisation där informationssäkerhetsarbetet och dess processer vidareutvecklas med hjälp av Human Factors-metoder enligt Safety II-principer tror jag ger upphov till färre och mindre allvarliga informationssäkerhetsincidenter jämfört med en organisation där en kultur av skuldbeläggande premieras samt där allt ansvar läggs på användaren genom rutiner, regler och krav.

Referenser

BakerHostetler. (2016). Data Security Incident Response Report. Houston: BakerHostetler.

Boysen II, P. G. (2013). Just Culture: A Foundation for Balanced Accountability and Patient Safety. The Ochsner Journal 13, 400-406.

EUROCONTROL. (2013). From Safety-I to Safety-II: A White Paper. Bryssel: EUROCONTROL.

Hollnagel, E. (2009). The ETTO Principle: Why things that go right sometimes go wrong. Farnham: Ashgate.

Hollnagel, E. (2014). Safety I and Safety II: The Past and Future of Safety Management . Farnham: Ashgate.

International Organization for Standardization. (2013). ISO/IEC 27002 – Information technology – Security techniques – Code for practice for information security controls. Genève: International Organization for Standardization, International Electrotechnical Commission.

Salvendy, G. (2012). Handbook of Human Factors and Ergonomics. Hoboken: John Wiley & Sons, Inc.

Schwab, W., & Poujol, M. (2018). The state of industrial cybersecurity 2018. München: PAC, A CXP Group Company.

Jonathan Mikaelsfjord
Senaste inläggen av Jonathan Mikaelsfjord