• Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

Att peka ut människan som den svagaste länken i cybersäkerheten är en stor felbedömning

”Människan är den svagaste länken i cybersäkerheten”, hävdar många. Men är det hållbart att skylla alla de säkerhetsintrång som företag råkar ut för i dag på människor, eller bör vi i stället fokusera på teknik som uppenbarligen inte passar mänskligt beteende. Det skriver Martin Kramer Martin J. Kraemer, security awareness advocate hos KnowBe4.

-

Få ämnen är så omdebatterade som it-säkerhetskulturen – eller bristen på sådan – hos företag och privatpersoner. Ja, olika medier är faktiskt fulla av nyheter, åsikter och information om it-säkerhet, hackning, nätfiske, ransomware, lagstiftning och mycket annat. Och om man, som jag, följer med i dessa nyheter finns det ett konstaterade man stöter på väldigt ofta: ”människan är den största säkerhetsrisken inom it-säkerhet” – och det resonemanget är inte helt taget ur luften.

Studier visar att människor är inblandade i 70–90 procent av alla it-säkerhetsintrång, vilket innebär att mänsklig närvaro är den vanligaste faktorn när hackare och cyberbrottslingar lyckas leta sig in i företags system. Ändå anser jag att det är ett stort misstag att kalla människan för ”den svagaste länken”.

Det är inte människor som misslyckas med tekniken, det är tekniken som misslyckas med människor.

Vi skyller på varandra i stället för på tekniken

Människor gör misstag. Och ja, det händer oss alla, för av naturen litar vi på folk, vi har det ofta stressigt på jobbet och ibland är vi ouppmärksamma. Vi gör misstag, så är det bara. Och tyvärr gör det oss till den vanligaste måltavlan för cyberbrottslingar.

Men betyder det att vi bär skulden?

Och är det rimligt att peka finger när vi gör misstag i vår digitaliserade värld, eller borde vi snarare titta på tekniken som sviker oss och tillåter oss att göra sådana misstag? Jag anser att vi måste sätta människan i centrum för tekniken i mycket större utsträckning än vad vi gör nu.

Människan i centrum för tekniken

Det kan tyckas paradoxalt att ”den mänskliga faktorn” kritiseras så hårt i it-säkerhetsbranschen, för utan människor skulle det inte finnas någon teknik eller något värdeskapande, inga affärer, inga konsumenter – ja, ingen bransch. Det är därför som människan måste vara den viktigaste faktorn inom it-säkerhet och det är därför som det är uppenbart att tekniken är bristfällig när det gäller att fungera i samspel med människor. Tekniken måste helt enkelt byggas upp med människan i centrum.

I stället för att betrakta människor som en säkerhetsbrist i våra system måste vi utforma systemen för de människor som arbetar i dem. Vi måste titta på användarnas arbetsflöden för att förbättra användbarheten, så att tekniken blir mer utformad efter mänskliga beteendemönster. Det är bara då som människor kan ha en bra it-säkerhetskultur.

Och ärligt talat, om ett enda klick från en ouppmärksam anställd är allt som krävs för att få en hel organisation ur kurs, vad säger det om kvaliteten på dessa system? I en sådan situation skulle det vara en fullständig felbedömning att lägga skulden på den enskilda medarbetaren, men det är ändå ofta precis vad som händer.

Och det är en mycket olycklig trend.

Det är en sak att tänka på konsekvenserna av intrånget för företaget, som kan förlora pengar och värdefulla uppgifter, men det är en helt annan sak att tänka på konsekvenserna för den enskilda person som blev katalysator för säkerhetsbristen.

När cyberskammen slår till

När ett säkerhetsintrång inträffar på ett företag handlar det i de allra flesta fall om en anställd som har lurats att klicka på en länk som skickats av en cyberbrottsling – vilket på god svenska kallas för nätfiske (phishing).  Och då blir det problem. För nu har cyberbrottslingarna tillgång till företagets data och det kan få ödesdigra konsekvenser.

Och då kommer cyberskammen. För vem är dum nog att falla för ett nätfiskemejl? kanske man tänker. Och vad händer om det får ekonomiska konsekvenser, slutar med uppsägningar eller ett nedlagt företag? Konsekvenserna av ett litet misstag kan vara extremt tunga, och för vissa anställda kan skuldkänslorna vara förödande.

Jag anser att detta på många sätt inte bara är en attack mot ett företag, utan i lika hög grad en attack mot offret som blir lurat och sedan får skulden.

Att skuldbelägga individen bromsar utvecklingen

Förutom de uppenbara konsekvenser som ett sådant brott kan få för en individ finns det en annan mycket allvarlig nackdel med att skylla på individen: det bromsar den tekniska utvecklingen. Om man skyller på den anställde kommer teknik som har visat sig vara felaktig eller osäker inte att optimeras och utvecklas i den takt som behövs.

Att frånta tekniken allt ansvar för misstag och i stället för att skylla på människan har konsekvensen att tekniken stagnerar och inte förbättras.

Så ja, det är odiskutabelt att människan är den vanligaste faktorn vid IT-säkerhetsöverträdelser, men det betyder inte att människan är den svagaste länken. Däremot innebär det att den största risken för svenska företag är cyberbrottslingarnas systematiska attacker mot människor i kombination med teknik som inte tar hänsyn till människor.

Martin Kramer, KnowBe4

Det är därför nödvändigt att utveckla tekniska försvarsmekanismer och processer som stöttar de människor som använder dem i stället för tvärtom. Och det är nödvändigt att rusta medarbetarna på rätt sätt genom utbildning så att de kan försvara sig mot externa cyberhot. Det är det enda sättet att få bort måltavlorna från ryggarna på de svenska medarbetare.

REKLAMSAMARBETE

Informationssäkerhet måste skapas längs hela leverantörskedjan

I en tid av ökad digitalisering och allt mer komplexa hotbilder är kontroll av leverantörskedjor kritiskt för att skydda samhällsviktig verksamhet. Eftersom dagens tekniska...

FLER NYHETER

Lär av brandsäkerhet – it-säkerhet är mer än bara nästa cyberangrepp

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Historiskt har cybersäkerhet betraktats som ett ansvarsområde för it-avdelningen. Men med åren har vi...

REKLAMSAMARBETE

Kurs i NIS2 förbereder företag för kommande cybersäkerhetskrav

Från tisdag till torsdag vecka 6 och vecka 11 erbjuds två tredagars distanskurser med fokus på det kommande NIS2-direktivet, som väntas bli lag i...

UNDERSÖKNING: Kunskapsbrister bromsar AI-utvecklingen

I en ny global undersökning som presenteras i samband med Ciscos event Cisco Live EMEA, uppger 80 procent av respondenterna att de har bra...

REKLAMSAMARBETE

6 Reasons to choose Milestone XProtect

In today’s dynamic world, basic video recording barely scratches the surface of what your security system needs. You require a vigilant security posture, capable...

Ny undersökning granskar säkerhetsrisker med Deepseek och andra AI-modeller

Cisco beskriver processen och resultaten i en ny bloggpost. Forskarna har använt sig av prompter från Harmbench, ett standardiserat ramverk för att automatisera simulerade cyberattacker för...

Presto byter vd

Staffan Pehrson har lång erfarenhet från olika branscher och har haft ledande befattningar på företag som Ericsson, Nefab och Anticimex.– Jag är ödmjuk inför...

REKLAMSAMARBETE

”Vi delar syfte – stärka Sveriges förmåga att hantera komplexa säkerhetsutmaningar”

Hallå där Pernilla Hörnfeldt, Mötesplats Samhällssäkerhet, i år är ni med som sponsor av Säkerhetsgalan som går av stapeln den 30 september i Stockholm...

Avarn och Postnord lanserar nytt konccept för larmuttryckningar

– Larmet inkommer till larmoperatörerna, som vidarebefordrar det till våra utryckningsväktare, som åker ut till platsen för att säkerställa att laddboxen och fordonet återfår...

Cisco öppnar Point of Presence i Sverige

– Många av våra svenska kunder är verksamheter som redan kommit långt på sin molnresa och är globala organisationer. De kräver bästa möjliga säkerhetsnivå...

Grönt datacenter invigt i Eskilstuna

– Vi vill maximera samhällsnyttan per megawatt genom att bygga ekosystem. Vår första site som nu lanseras i Eskilstuna är ett ekosystem där energi...

IMY godkänner förslag om nya regler för registerkontroller i kommuner

Utredningen Utökade registerkontroller vid anställning i kommun föreslår utökade möjligheter för kommuner att kontrollera uppgifter om tidigare brottslighet för personer som utför vissa insatser i hemmet...

Svensk innovation stärker säkerheten på Wembley Stadium 

CRD Protections produkter var de enda som uppfyllde Wembleys och the FAs nya, hårda kravställningar, efter våldsamheterna under EURO 2020. Affären är en i...

Ny CIO hos Seriline

– Jag är mycket glad att få bli en del av teamet på Seriline och ser med spänning fram emot vad vi tillsammans kan...

TCS levererar AI till den europeiska flyg- och försvarsindustrin

Leveranscentret har som syfte att underlätta AI-driven transformation och främja innovation inom flygplansdesign, tillverkning och underhållsprocesser för TCS kunder i Europa. Detta omfattar bland...

Det är inte bara dina data som skadas av en hackerattack – det gör dina anställda också

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Alla som har blivit utsatta för bedrägeri, stöld, överfall eller en cyberattack känner till...

Sveriges första militära satellit uppskjuten i rymden

Rymdens roll som en strategisk och operativ domän blir tydligare för allt fler aktörer, inklusive Nato och EU. Satelliten, GNA-3, opereras av Försvarsmakten och är...

Cybersäkerhetskollen: Sex av tio företag brister i säkerhetsarbete

Förutom att Cybersäkerhetskollen 2024 visar på allvarliga brister i cybersäkerhetsarbetet hos en majoritet av de samhällsviktiga verksamheterna, visar mätningen också att endast 8 av 120 deltagande...