IT-säkerhet handlar inte om teknik av Per Lagerström

Det finns studier som pekar på att 97 procent av alla IT-attacker riktar in sig på att lura användare med någon typ av cyberpsykologi1. Bara det borde väl räcka som argument för att vi ska sluta se IT-säkerhet som en fråga om teknik, när det i själva verket handlar om oss människor. Om vår förmåga att stanna upp, tänka efter, fråga och rapportera när vi upptäcker något som verkar misstänkt. För lärande är inte ett event. Det är en process.  

Att antalet cyberattacker fortsätter att öka kommer nog inte som någon överraskning. Den som följer nyhetsrapporteringen kan regelbundet se nyheter om allvarliga dataintrång hos både företag, organisationer och offentliga aktörer. Ingen går säker.  

Den digitala sårbarheten har dessutom ökat till följd av distansarbetet under pandemin. 2021 ökade antalet attacker med 21 procent – en större ökning än under de fem föregående åren sammanlagt.2 Det verkar som om cyberattackerna nu lagt sig på en konstant högre nivå. Prognoser från Europeiska unionens cybersäkerhetsbyrå (Enisa) pekar på att alla typer av samhällsviktiga organisationer kommer att behöva satsa mer på cybersäkerheten som en del av digitaliseringen.3  

Den kanske viktigaste siffran för att förstå vad cyberattacker beror på, och hur vi ska skydda oss mot dem, är denna: Cyberkriminella lyckas fortfarande ta sig in i nätverken hos över 9 av 10 företag. Och studier visar att 9 av 10 lyckade attacker börjar med bristande säkerhetsförståelse hos enskilda medarbetare.4 Därför måste alla organisationer prioritera och stärka sina mänskliga brandväggar.  

IT-säkerhet funkar inte om inte alla medarbetare är medvetna om säkerhetsriskerna – fråga IT-experterna! Enkäter visar att hela 87 procent av säkerhets- och IT-experter håller med om att det helt enkelt inte går att bygga upp en fungerande IT-säkerhet utan att samtidigt utbilda all personal.5 Därför behöver alla typer av organisationer prioritera sina mänskliga brandväggar lika mycket som sina tekniska och satsa lika mycket på utbildningen av sin personal som på tekniska investeringar. Det är även viktigt att inte heller lämna över IT-säkerheten endast till säkerhetsexperterna.  

Att skapa en stark säkerhetskultur – i hela organisationen – är det bästa sättet att förebygga mänskliga misstag. Studier visar att regelbundna och effektiva utbildningar skapar en kultur där anställda bättre förstår sin del i organisationens säkerhetsarbete. Frågan är bara: Hur går man tillväga?? 
 

Organisationens IT-mognad avgör 
 
Att inse att en fråga är strategisk är en sak. Att veta hur man hanterar den långsiktigt är en annan. Och här finns inga ”quick fixes” att ta till. Att stärka informationssäkerheten handlar i grund och botten om att skapa en fungerande säkerhetskultur byggd på öppenhet. 
 

De flesta organisationer går igenom ett antal utvecklingsfaser i sitt säkerhetsarbete:   

  1. Förnekande  
    Många organisationer befinner sig fortfarande i en typ av förnekelse, en inställning om att ”så länge inget händer så behöver vi inte göra någonting”. 
  1. Reaktivt  
    Alltför många företag och organisationer inser att informationssäkerhet är viktigt – först när olyckan har inträffat. Incidenter leder alltid till aktivitet. Men det reaktiva förhållningssättet räcker inte.   
  1. Systematiskt  
    Vi ser att allt fler organisationer har informationssäkerheten som en del av sina ledningssystem.  Här har ISO27001 (om krav på informationssäkerhet) spelat en starkt pådrivande roll.  
  1. Proaktivt   
    När säkerhetstänket börjar bli en del av organisationens utvecklingsarbete så har man kommit en bra bit på väg. Säkerhet som läggs till i efterhand blir aldrig bra. Säkerhet som tänks in redan när nya system och arbetssätt sätts upp får en mycket bättre effekt.   
  1. En del av vardagen  
    Först när informationssäkerheten är en del av alla medarbetares vardag, när IT-säkerheten ”sitter i ryggmärgen”, kan man säga att en säkerhetskultur med möjlighet att påverka säkerhetsnivån i företaget på ett positivt sätt finns på plats. 

För att en organisation skall ha en möjlighet att ta de här stegen och skapa en fungerande säkerhetskultur, krävs också en öppenhetskultur. En organisationskultur som gör att alla medarbetare känner sig uppmuntrade att dela med sig av fel och misstag – även sådana de själva har gjort – och där den som rapporterar misstänkta fel och brister blir belönad, inte kritiserad och ifrågasatt. 
 


Att skapa en stark säkerhetskultur – i hela organisationen – är det bästa sättet att förebygga mänskliga misstag.


Stort mörkertal  
 
Även om vi ständigt möts av rapporter om det ökade antalet cyberattacker, så är mörkertalet fortfarande stort. De flesta organisationer som blir utsatta för till exempel ransomware väljer att inte kommunicera detta, i ett försök att skydda sitt varumärke. Det finns studier som pekar på att bara 10 procent av alla cyberattacker verkligen rapporteras.6 

Det är ett stort misstag. Flera exempel de senaste åren visar att organisationer som varit öppna med vad som drabbat dem tvärtom har stärkt sina varumärken. Såväl Coop som Kalix kommun och Norsk hydro har alla vunnit uppskattning och respekt för sitt sätt att kommunicera vad de varit med om. Deras arbete har även tjänat som ett riktmärke för andra att ta efter. Öppenhetskulturen behövs både inom och mellan organisationer samt inom branscher och över sektorsgränser. Utan en gemensam öppenhetskultur kommer vi som arbetar för ökad informationssäkerhet aldrig att ha en chans mot cyberkriminella – som ju hela tiden delar med sig av kunskap och erfarenhet i en hisnande fart.   

Beteendeförändrande lärande är nyckeln 
 
Nyckeln till framgång är att sluta se lärande och utbildning som event och börja se lärande som en process. Redan på 1880-talet beskrev Hermann Ebbinghaus den så kallade glömskekurvan och sedan dess har vi människor fortsatt att glömma bort nästan allt vi lär oss.7 


Det vill säga: om vi inte får chansen att repetera och reflektera.  
 

Många organisationer strävar efter att bli lärande organisationer och att skapa ett ”learning mindset”. Det är helt rätt tänkt – även när det gäller cybersäkerheten. De som lyckas med detta är de som i grunden klarar av att ställa om från event till process och som hittar fungerande metoder som både klarar av att vinna kalenderkriget och får med alla på tåget. Som ser till att designa sitt lärande enligt grundmetoderna spaced 8 och retreval 9. Som ger kunskapen tid att sjunka in och deltagarna en möjlighet att använda förvärvad kunskap i praktiken. 

Att skapa en fungerande säkerhetskultur handlar alltså inte om teknik utan om oss människor och vårt lärande. Och minst lika mycket om att lära om, som att lära nytt. Invanda beteenden och vanor sitter i och tar lång tid att förändra. Att se lärandet som en process och inte som ett event är den enda chansen att klara den förändringen.  


1 2022 Global Cybersecurity Awareness Training Study (ThriveDX)  

2 Verizon 2022 Data Breach Investigations Report  

3 https://www.enisa.europa.eu/news/cybersecurity-investments-in-the-eu-is-the-money-enough-to-meet-the-new-cybersecurity-standards  

4 2022 Global Cybersecurity Awareness Training Study (ThriveDX)  

5 2022 Global Cybersecurity Awareness Training Study (ThriveDX) 

6 IMY, rapport 2022:1, Anmälda personuppgiftsincidenter 2021 MSB, Cybersäkerhet i Sverige 2021 – i skuggan av en pandemi 

7https://en.wikipedia.org/wiki/Forgetting_curve  

8 https://en.wikipedia.org/wiki/Spaced_repetition  

9 https://www.retrievalpractice.org/why-it-works 


Per Lagerström är kommunikationsansvarig på Junglemap – ett företag som med hjälp av NanoLearning hjälper företag att bygga mänskliga brandväggar året runt.