Informationssäkerhet, säkerhetskultur och mänskligt fel

Informationssäkerhet är en av de frågor som fortsätter att växa i samhället, vilket syns bland annat i det ständigt ökande behovet av personal med särskild kompetens inom området. Fler och fler organisationer inser vikten av att arbeta med informationssäkerhet eftersom informationstillgångar ofta är, tillsammans med den egna personalen, en av de mest kritiska tillgångarna för företag och organisationer. Därmed bör organisationerna med all rätt lägga största vikt på frågor som ämnar att skydda och bevara dessa tillgångar.

Informationssäkerhet handlar om att säkerställa att all information inom en organisation hanteras på ett säkert sätt i syfte att förhindra att informationen förstörs, förvrängs eller stjäls. Inom informationssäkerhet används ofta tre grundprinciper: Confidentiality, Integrity och Availability. Med dessa vill organisationer uppnå att informationen;

  • enbart delas där den är tänkt att delas och enbart med de som är behöriga att motta informationen (confidentiality);
  • ska vara skyddad på så vis att den inte kan ändras, förvanskas eller förstöras av obehöriga (integrity);
  • ska vara möjlig att nå och använda när behov uppstår (availability).

För att förbättra informationssäkerheten inom organisationer genomförs oftast, som ett av stegen i processen, en riskanalys för att identifiera brister och sårbarheter. Till dessa brister kopplas sedan åtgärder som kan vara antingen av teknisk eller organisatorisk typ.

De tekniska åtgärderna kan, bland annat, innebära installation av brandväggar, antivirusprogram och implementering av krypteringsmetoder med mera. Dessa system måste ofta installeras i den miljö de ska verka i, det vill säga så implementeras de på ett sätt som inte stör verksamheten. Användaren märker oftast inte att hen har ett antivirus eller en brandvägg installerat i sitt nätverk då dessa arbetar i bakgrunden. Därmed kan det sägas att tekniska åtgärder som arbetar i bakgrunden och inte kräver någon interaktion av den genomsnittlige användaren ofta inte skapar något extraarbete eller extra steg som måste genomföras i processen. Dessa typer av lösningar är i grunden utformade för att vara just passiva hjälpmedel och sköta sådana uppgifter som användaren själv inte klarar av.

Organisatoriska åtgärder innebär dock ofta motsatsen, mer ansvar läggs på användaren och mer steg i deras arbete införs för att hjälpa användaren att upprätthålla ett lämpligt beteende som gynnar informationssäkerheten. Dessa organisatoriska åtgärder kan till exempel vara olika regler eller rutiner som ska följas.

I en organisation följer principen att desto mer rutiner och regler som införs, desto mer ansvar och förväntan läggs på användaren. Desto mer ansvar som läggs på användare desto högre blir även sannolikheten att skuldbeläggandet flyttas från det sociotekniska systemet till den enskilda användaren. Detta leder i sin tur till att varje incident, där användaren på något sätt är inblandad, benämns ha orsakats av ”mänskliga faktorn” även känt som ”human error”.

Denna typ av tillvägagångssätt där användare tilldelas mer och mer ansvar genom nya rutiner, regler och krav kan leda till att det skapas en säkerhetskultur där skuldbeläggande blir en central funktion. En sådan kultur bör undvikas i allra högsta grad då den inte medför något värde för organisationen utan snarare orsakar mer skada än nytta. Personal som ingår i en sådan kultur blir rädda för bestraffning och undanhåller hellre information om incidenter eller misstag istället för att rapportera in den. Detta fenomen kan i längden skapa och leda till mycket allvarligare situationer i framtiden, jämfört med de incidenter som undanhålls (Boysen II, 2013).

Organisationer ska istället sträva efter att skapa en så kallad rättvis säkerhetskultur, ”Just Culture”, där det är tydligt vilket ansvar användaren/personalen har men även vilket ansvar organisationen har.

I en ”Just Culture” uppmuntras och stärks personalen till att delta i ett proaktivt säkerhetsarbete på arbetsplatsen (Boysen II, 2013). Förhållningssättet kring ”Just Culture” flyttar även fokus från skuldbeläggande av enskilda användare till frågor kring system-/organisationsdesign och den kontext som incidenterna inträffar i (Boysen II, 2013).

Informationssäkerhet och Human Error

Kaspersky Labs genomför årligen en undersökning där de frågar företag om de upplevt någon informationssäkerhetsincident under de senaste 12 månaderna. De företag som under 2018 haft en eller flera incidenter ombads besvara vilka typer av incidenter dessa varit. Av alla dessa typer av incidenter var mänskligt fel den tredje största typen av incidenter, under 2017 rapporterade företagen som tillfrågades att av de incidenter de upplevt så berodde 29% av dessa på mänskligt fel (Schwab & Poujol, 2018). Enligt samma källa så sjönk den siffran till 27% under 2018. I en annan undersökning genomförd av företaget BakerHostetler så bedömdes mänskligt fel stå för 24% av samtliga upptäcka informationssäkerhetsincidenter (BakerHostetler, 2016) vilket bekräftar det resultat som Kaspersky Labs uppnådde.

Det som dock inte framgår i undersökningarna är vad dessa mänskliga fel beror på. Snarare kategoriseras mänskligt fel enbart som en orsak till incidenter, vilket gör att analysen av incidenternas uppkomst stannar av. I dessa fall nöjer sig organisationer med att lägga skulden på användaren genom att identifiera att incidenten var sprungen ur ”mänskligt fel”.

Detta är ett felaktigt resonerande då incidenter där användaren omedvetet gör ett misstag inte borde klassas som en orsak till en händelse utan snarare som en del av ett olycksförlopp, det vill säga om det inte står klart att illvilligt agerande varit inblandat. Det kan nämligen lika väl vara ett teknisk fel som påverkar användaren och som därmed begår ett misstag vilket leder till en incident.

Genom att se mänskliga fel som en del i ett längre olycksförlopp så måste även organisationerna utgå ifrån att varje människa vill göra rätt för sig och alltid genomför sina uppgifter efter bästa förmåga i de givna förutsättningarna samt med syftet att uppnå det resultat som verksamheten ställt krav på.

Med detta synsätt blir det klart att användares beteende inte förändras nämnvärt över tid, förutsatt att de inte är helt nya på en arbetsplats och att verksamheten inte förändras drastiskt. Detta vardagliga beteende ger i de flesta fall ett lyckat resultat för användarna. Det vill säga gör de vanligen sitt jobb och uppnår förväntat resultat men i vissa fall kan en incident uppstå trots att användarens beteende inte förändrats.

Hur kommer det sig då att samma beteende över tid kan ge olika resultat? Den enda slutsatsen som kan dras är att det är flera faktorer och olika kontext som bidrar till att förändra resultatet, inte enbart den enskilde användarens beteende.

En incident som uppstår på grund av ”felaktigt beteende” från användarens sida beror inte enbart på användaren utan flertalet faktorer, som till exempel:

  • Vilken uppgift genomförde användaren när incidenten inträffade?
  • Hade uppgiften i sig förändrats nyligen i samband med organisationsförändringar, effektiviseringar eller automatiseringar?
  • Var användaren under tidspress?
  • Visste användaren att hen agerade fel under tiden som uppgiften utfördes?
  • Fanns det ”genvägar” som användaren lärt sig använda för att kringå extra arbetsbelastning/extra steg som införts i processen som säkerhetsåtgärder – i så fall varför var dessa möjliga att göra och varför kände användaren att hen behövde ta ”genvägar”?
  • Krävdes det särskild kunskap från användarens sida för att kunna hantera informationen på ett säkert sätt?
  • Fick användaren veta att särskild kunskap krävdes för att hantera informationen på ett säkert sätt?

Som ni märker finns det många faktorer som behöver utredas vidare vid incidenter när aspekten som benämns som ”human error” är inblandad. Det finns mycket att vinna på att faktiskt ta reda på hur kontexten som incidenten uppstod i såg ut och vilka faktorer som bidrog till utfallet. Genom att vidare analysera incidenter där mänskliga misstag varit inblandade kan en organisation hitta ny kunskap kring vilka faktorer hos dem som leder till att deras användare begår misstag. Denna kunskap kommer väl till pass inom organisationernas arbete med verksamhetsutveckling.