• Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

Att peka ut människan som den svagaste länken i cybersäkerheten är en stor felbedömning

”Människan är den svagaste länken i cybersäkerheten”, hävdar många. Men är det hållbart att skylla alla de säkerhetsintrång som företag råkar ut för i dag på människor, eller bör vi i stället fokusera på teknik som uppenbarligen inte passar mänskligt beteende. Det skriver Martin Kramer Martin J. Kraemer, security awareness advocate hos KnowBe4.

-

Få ämnen är så omdebatterade som it-säkerhetskulturen – eller bristen på sådan – hos företag och privatpersoner. Ja, olika medier är faktiskt fulla av nyheter, åsikter och information om it-säkerhet, hackning, nätfiske, ransomware, lagstiftning och mycket annat. Och om man, som jag, följer med i dessa nyheter finns det ett konstaterade man stöter på väldigt ofta: ”människan är den största säkerhetsrisken inom it-säkerhet” – och det resonemanget är inte helt taget ur luften.

Studier visar att människor är inblandade i 70–90 procent av alla it-säkerhetsintrång, vilket innebär att mänsklig närvaro är den vanligaste faktorn när hackare och cyberbrottslingar lyckas leta sig in i företags system. Ändå anser jag att det är ett stort misstag att kalla människan för ”den svagaste länken”.

Det är inte människor som misslyckas med tekniken, det är tekniken som misslyckas med människor.

Vi skyller på varandra i stället för på tekniken

Människor gör misstag. Och ja, det händer oss alla, för av naturen litar vi på folk, vi har det ofta stressigt på jobbet och ibland är vi ouppmärksamma. Vi gör misstag, så är det bara. Och tyvärr gör det oss till den vanligaste måltavlan för cyberbrottslingar.

Men betyder det att vi bär skulden?

Och är det rimligt att peka finger när vi gör misstag i vår digitaliserade värld, eller borde vi snarare titta på tekniken som sviker oss och tillåter oss att göra sådana misstag? Jag anser att vi måste sätta människan i centrum för tekniken i mycket större utsträckning än vad vi gör nu.

Människan i centrum för tekniken

Det kan tyckas paradoxalt att ”den mänskliga faktorn” kritiseras så hårt i it-säkerhetsbranschen, för utan människor skulle det inte finnas någon teknik eller något värdeskapande, inga affärer, inga konsumenter – ja, ingen bransch. Det är därför som människan måste vara den viktigaste faktorn inom it-säkerhet och det är därför som det är uppenbart att tekniken är bristfällig när det gäller att fungera i samspel med människor. Tekniken måste helt enkelt byggas upp med människan i centrum.

I stället för att betrakta människor som en säkerhetsbrist i våra system måste vi utforma systemen för de människor som arbetar i dem. Vi måste titta på användarnas arbetsflöden för att förbättra användbarheten, så att tekniken blir mer utformad efter mänskliga beteendemönster. Det är bara då som människor kan ha en bra it-säkerhetskultur.

Och ärligt talat, om ett enda klick från en ouppmärksam anställd är allt som krävs för att få en hel organisation ur kurs, vad säger det om kvaliteten på dessa system? I en sådan situation skulle det vara en fullständig felbedömning att lägga skulden på den enskilda medarbetaren, men det är ändå ofta precis vad som händer.

Och det är en mycket olycklig trend.

Det är en sak att tänka på konsekvenserna av intrånget för företaget, som kan förlora pengar och värdefulla uppgifter, men det är en helt annan sak att tänka på konsekvenserna för den enskilda person som blev katalysator för säkerhetsbristen.

När cyberskammen slår till

När ett säkerhetsintrång inträffar på ett företag handlar det i de allra flesta fall om en anställd som har lurats att klicka på en länk som skickats av en cyberbrottsling – vilket på god svenska kallas för nätfiske (phishing).  Och då blir det problem. För nu har cyberbrottslingarna tillgång till företagets data och det kan få ödesdigra konsekvenser.

Och då kommer cyberskammen. För vem är dum nog att falla för ett nätfiskemejl? kanske man tänker. Och vad händer om det får ekonomiska konsekvenser, slutar med uppsägningar eller ett nedlagt företag? Konsekvenserna av ett litet misstag kan vara extremt tunga, och för vissa anställda kan skuldkänslorna vara förödande.

Jag anser att detta på många sätt inte bara är en attack mot ett företag, utan i lika hög grad en attack mot offret som blir lurat och sedan får skulden.

Att skuldbelägga individen bromsar utvecklingen

Förutom de uppenbara konsekvenser som ett sådant brott kan få för en individ finns det en annan mycket allvarlig nackdel med att skylla på individen: det bromsar den tekniska utvecklingen. Om man skyller på den anställde kommer teknik som har visat sig vara felaktig eller osäker inte att optimeras och utvecklas i den takt som behövs.

Att frånta tekniken allt ansvar för misstag och i stället för att skylla på människan har konsekvensen att tekniken stagnerar och inte förbättras.

Så ja, det är odiskutabelt att människan är den vanligaste faktorn vid IT-säkerhetsöverträdelser, men det betyder inte att människan är den svagaste länken. Däremot innebär det att den största risken för svenska företag är cyberbrottslingarnas systematiska attacker mot människor i kombination med teknik som inte tar hänsyn till människor.

Martin Kramer, KnowBe4

Det är därför nödvändigt att utveckla tekniska försvarsmekanismer och processer som stöttar de människor som använder dem i stället för tvärtom. Och det är nödvändigt att rusta medarbetarna på rätt sätt genom utbildning så att de kan försvara sig mot externa cyberhot. Det är det enda sättet att få bort måltavlorna från ryggarna på de svenska medarbetare.

REKLAMSAMARBETE

The Clean Feed – en podcast om hur vi gör Internet lite säkrare 

Besedo är ett svenskgrundat kunskapsföretag, inriktat på att öka kvalitet, kundnytta och värde för företag som har användargenererat innehåll på webben. Bland kunderna i...

FLER NYHETER

Kombinationen av AI och ransomware måste möta motstånd

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.I dagsläget skapar inte AI främst nya cyberhot utan förstärker redan befintliga hot. Tekniken...

REKLAMSAMARBETE

Cybersäkerhetslagen: ”Små företag måste agera nu”

Med cybersäkerhetslagen tar Sverige viktiga kliv framåt för att skydda kritisk infrastruktur och samhällsfunktioner från cyberhot. Antalet sektorer som omfattas ökar och det är...

Datamulor kan frakta information åt Försvars­makten

Ny teknik gör att det går att använda allt fler informationskällor inom militär ledning, och mängden information som kan hämtas in ökar rekordsnabbt. Samtidigt...

REKLAMSAMARBETE

”Generativ AI är fullkomligt avgörande för effektiv cybersäkerhet – både nu och i framtiden”

Den 13 juni, klockan 9.30, bjuder Aktuell Säkerhet och SentinelOne in till ett frukostwebinar om hur du kan använda generativ AI för effektivare cybersäkerhet,...

Kaspersky Lab stänger ner sin verksamhet i USA

Handelskammaren menar att det föreligger en nationell säkerhetsrisk i att Ryssland ska kunna använda Kasperskys mjukvara för att spionera. Detta efter att de genomfört...

Utredning kring en förbättrad process för säkerhetsprövningar får tilläggsdirektiv

En särskild utredare har fått i uppdrag att bland annat överväga vilka krav som ska ställas på ett underlag vid en säkerhetsprövning, bedöma om...

REKLAMSAMARBETE

Ny hotaktör med fokus på ryska mål observerad – sprider sig nu till andra delar av världen

Kaspersky Lab skriver i sin rapport att gruppen använder sig av ett sofistikerat cyberspionageverktyg som används för övervakning, datainsamling och exfiltrering via Microsoft Graph,...

Granskning: Snowflake-attacken exempel på oroande trend inom cyberhot

Ett stort antal cyberattacker och dataintrång har präglat nyhetsflödet under 2024 – både i Sverige och globalt. Ett av de största angreppen upptäcktes i...

Efter kriget i Ukraina: Cyberrevanschism

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Ryssland har tagit rejält med stryk i kriget även om de ryska styrkorna lärde...

Ryssland laddar för OS i Paris med påverkanskampanj 

– Jag tror nästan säkert att vi kommer att få se rysk inblandning i sommar-OS. Allt sedan 2016 då Ryssland förbjöds att tävla under...

Han blir ny affärsområdeschef för Security hos Enaco

Rickard Hammarberg kommer närmast från en tjänst inom affärsutveckling hos Caverion. Med sin omfattande kunskap och expertis kommer Rickard att spela en central roll...

Regeringen har presenterat ny nationell säkerhetsstrategi

– När regeringen tillträdde för snart två år sedan var det med ett tydligt mandat att ta tag i Sveriges inre och yttre säkerhet....

Ny generaldirektör för IMY

Eric Leijonram är för närvarande chefsjurist på Finansinspektionen. Han har en bakgrund från bland annat domstol, Regeringskansliet och Kriminalvården. Utöver detta har Eric Leijonram...

Offentliga sektorn måste lära sig att hantera cyberattacker

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Sedan början av 2024 har flera svenska organisationer fallit offer för cyberattacker utförda av...

ASIS-sommarmingel med historiskt säkerhetsföretag

Jessica Fixelius bjöd på en kort presentation av Pinkerton som grundades i USA redan 1850 av Allan Pinkerton som världens första privatägda detektivbyrå. Företaget...

Uppdrag att utveckla samverkan med civilsamhället i det brottsförebyggande arbetet

– Brottsligheten måste bekämpas och förebyggas med hela samhällets samlade förmåga. Det civila samhällets organisationer erbjuder viktiga insatser på området och bidrar med erfarenheter...