Maria Bartnes er IT-sikkerhetsleder i SINTEF.
Erlend Andreas Gjære er forsker ved SINTEF IKT.
Av Maria Bartnes, IT-sikkerhetsleder, og
Erlend Andreas Gjære, forsker, begge i SINTEF
Hver femte datamaskin ble rammet av dataviruset Melissa i 1999. Viruset lå i en e-post merket «Important message» og spredte seg idet vedlegget ble åpnet. Også i dag, 17 år etter, er e-post den vanligste strategien for å angripe datasystemer.
Datasikkerhet har fått oppmerksomhet på mange arbeidsplasser nå i oktober, gjennom tiltaket «nasjonal sikkerhetsmåned» i regi av Norsk senter for informasjonssikring (NorSIS).
Til tross for utallige medieoppslag og opplæringskampanjer, går mange fortsatt i fella og åpner skadelige vedlegg fra fremmede. Så hvorfor er ikke kunnskapsspredning nok til å gjøre oss sikkerhetsbevisste som databrukere?
Følelser er med på å avgjøre om vi følger råd og regler for sikker IT-atferd, mener forskerne bak en britisk studie. Den bygger på intervjuer der arbeidstakere forteller om sitt forhold til IT-sikkerhet.
Oppleves som produktivitetshinder
Forskerne fant at vi ikke bare har ulik kunnskap om IT-risiko, men også ulik lyst til å følge regler for IT-sikkerhet. Noen er positivt innstilt. Andre har negative følelser. Ofte skyldes negativiteten at IT-sikkerhet oppleves som et produktivitetshinder.
Funnene gir grunn til å tro at generell opplæring kan skape mer irritasjon enn læring hos enkelte – stikk i strid med hensikten.
Hvem er du av disse? Ifølge tre britiske forskere kan arbeidstakere deles inn i disse 16 gruppene, alt etter hva slags forhold de har til IT-sikkerhet. Verstingene er de som befinner seg i de to nederste hjørnene. Illustrasjon: Knut Gangåssæter / SINTEF
Hvilken persontype er DU?
Forskerne bak studien plasserer oss som persontyper langs to akser: den ene sier i hvilken grad vi klarer å vurdere risiko tilknyttet IT, den andre hvilke holdninger vi har til IT-sikkerhet (se figur).
Medarbeidere som bidrar til sikker praksis, er i kvadranten oppe til høyre. De ønsker å gjøre «det rette» og forstår stort sett følgene av handlingene sine.
Vil gi «cowboyene» sparken
I motsatt kvadrant, nede til venstre, er de som forbinder datasikkerhet med noe negativt og som derfor ikke ønsker å etterleve reglene. De har også dårlig risikoforståelse. Verstingene i gruppen kalles cowboyer. De protesterer og gjør elendige valg. «Gi dem sparken», er rådet fra forskerne bak studien.
Negative følelser for datasikkerhet har også de nede til høyre. De er skumle nok. Ikke bare føler de at sikkerhet hindrer dem i å gjøre jobben sin. De har i tillegg kunnskap til å finne sine egne omveier. Uten nødvendigvis å ha onde hensikter, bryter de regler bevisst. Trolig sprer de følelsene og omveiene til flere.
Også de positive kan være et problem
Samtidig kan også positivt innstilte utgjøre en risiko. De oppe til venstre i figuren er nemlig «lovlydige», men forstår ikke alltid konsekvensen av hva de gjør. De overivrige vil straks følge instruksjoner i en typisk virus-e-post om «å sjekke gyldigheten av vedlagte faktura». Men de forstår ikke risikoen ved å åpne vedlegget.
Advarer mot mange og ubegrunnede regler
I en tenkt virksomhet uten IT-sikkerhetsregler, vil ansatte sannsynligvis ha nøytrale følelser til sikkerhet, men lite kunnskap om farene. Opplæring vil trolig virke her, særlig med ledere og mestere som forbilder. Slik kan det også være hvis en virksomhet med regler etablerer en felles forståelse for disse og gjør datatekniske omveier sosialt uakseptable.
Men hvis virksomheten har mange regler, og særlig om disse ikke begrunnes godt, kan reglene skyve ansatte – også ledere – nedover på holdningsaksen i figuren. Vi tror de utbredte, tvungne passordskiftene kan skape negative følelser. Virkningen kan også bli den samme når sosiale medier forbys i datasikkerhetens navn, mens produktivitetsmål egentlig ligger bak.
Positive ansatte styrker sikkerheten
Uavhengig av om forskernes persontyper beskriver deg og meg perfekt, betyr alt dette at følelser trolig truer IT-sikkerheten. Men samtidig er det altså grunn til å tro at arbeidsgivere gjør vondt verre om de har IT-sikkerhetsrutiner som truer følelsene og dermed gjør flere ansatte til risikofaktorer.
Hvis ledere vil ha ansatte som styrker IT-sikkerheten, tilsier våre erfaringer at virksomheten må ta både regler og teknologianvendelse opp til vurdering – samt gi god opplæring.
Artikkelen sto første gang i Dagens Næringsliv, lørdag 29. oktober 2016 og gjengis her med DNs tillatelse.
