Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
Få ämnen är så omdebatterade som it-säkerhetskulturen – eller bristen på sådan – hos företag och privatpersoner. Ja, olika medier är faktiskt fulla av nyheter, åsikter och information om it-säkerhet, hackning, nätfiske, ransomware, lagstiftning och mycket annat. Och om man, som jag, följer med i dessa nyheter finns det ett konstaterade man stöter på väldigt ofta: ”människan är den största säkerhetsrisken inom it-säkerhet” – och det resonemanget är inte helt taget ur luften.
Studier visar att människor är inblandade i 70–90 procent av alla it-säkerhetsintrång, vilket innebär att mänsklig närvaro är den vanligaste faktorn när hackare och cyberbrottslingar lyckas leta sig in i företags system. Ändå anser jag att det är ett stort misstag att kalla människan för ”den svagaste länken”.
Det är inte människor som misslyckas med tekniken, det är tekniken som misslyckas med människor.
Vi skyller på varandra i stället för på tekniken
Människor gör misstag. Och ja, det händer oss alla, för av naturen litar vi på folk, vi har det ofta stressigt på jobbet och ibland är vi ouppmärksamma. Vi gör misstag, så är det bara. Och tyvärr gör det oss till den vanligaste måltavlan för cyberbrottslingar.
Men betyder det att vi bär skulden?
Och är det rimligt att peka finger när vi gör misstag i vår digitaliserade värld, eller borde vi snarare titta på tekniken som sviker oss och tillåter oss att göra sådana misstag? Jag anser att vi måste sätta människan i centrum för tekniken i mycket större utsträckning än vad vi gör nu.
Människan i centrum för tekniken
Det kan tyckas paradoxalt att ”den mänskliga faktorn” kritiseras så hårt i it-säkerhetsbranschen, för utan människor skulle det inte finnas någon teknik eller något värdeskapande, inga affärer, inga konsumenter – ja, ingen bransch. Det är därför som människan måste vara den viktigaste faktorn inom it-säkerhet och det är därför som det är uppenbart att tekniken är bristfällig när det gäller att fungera i samspel med människor. Tekniken måste helt enkelt byggas upp med människan i centrum.
I stället för att betrakta människor som en säkerhetsbrist i våra system måste vi utforma systemen för de människor som arbetar i dem. Vi måste titta på användarnas arbetsflöden för att förbättra användbarheten, så att tekniken blir mer utformad efter mänskliga beteendemönster. Det är bara då som människor kan ha en bra it-säkerhetskultur.
Och ärligt talat, om ett enda klick från en ouppmärksam anställd är allt som krävs för att få en hel organisation ur kurs, vad säger det om kvaliteten på dessa system? I en sådan situation skulle det vara en fullständig felbedömning att lägga skulden på den enskilda medarbetaren, men det är ändå ofta precis vad som händer.
Och det är en mycket olycklig trend.
Det är en sak att tänka på konsekvenserna av intrånget för företaget, som kan förlora pengar och värdefulla uppgifter, men det är en helt annan sak att tänka på konsekvenserna för den enskilda person som blev katalysator för säkerhetsbristen.
När cyberskammen slår till
När ett säkerhetsintrång inträffar på ett företag handlar det i de allra flesta fall om en anställd som har lurats att klicka på en länk som skickats av en cyberbrottsling – vilket på god svenska kallas för nätfiske (phishing). Och då blir det problem. För nu har cyberbrottslingarna tillgång till företagets data och det kan få ödesdigra konsekvenser.
Och då kommer cyberskammen. För vem är dum nog att falla för ett nätfiskemejl? kanske man tänker. Och vad händer om det får ekonomiska konsekvenser, slutar med uppsägningar eller ett nedlagt företag? Konsekvenserna av ett litet misstag kan vara extremt tunga, och för vissa anställda kan skuldkänslorna vara förödande.
Jag anser att detta på många sätt inte bara är en attack mot ett företag, utan i lika hög grad en attack mot offret som blir lurat och sedan får skulden.
Att skuldbelägga individen bromsar utvecklingen
Förutom de uppenbara konsekvenser som ett sådant brott kan få för en individ finns det en annan mycket allvarlig nackdel med att skylla på individen: det bromsar den tekniska utvecklingen. Om man skyller på den anställde kommer teknik som har visat sig vara felaktig eller osäker inte att optimeras och utvecklas i den takt som behövs.
Att frånta tekniken allt ansvar för misstag och i stället för att skylla på människan har konsekvensen att tekniken stagnerar och inte förbättras.
Så ja, det är odiskutabelt att människan är den vanligaste faktorn vid IT-säkerhetsöverträdelser, men det betyder inte att människan är den svagaste länken. Däremot innebär det att den största risken för svenska företag är cyberbrottslingarnas systematiska attacker mot människor i kombination med teknik som inte tar hänsyn till människor.

Det är därför nödvändigt att utveckla tekniska försvarsmekanismer och processer som stöttar de människor som använder dem i stället för tvärtom. Och det är nödvändigt att rusta medarbetarna på rätt sätt genom utbildning så att de kan försvara sig mot externa cyberhot. Det är det enda sättet att få bort måltavlorna från ryggarna på de svenska medarbetare.