Det här är en opinionstext. Åsikter som uttrycks är skribentens egna. Nyligen publicerade Myndigheten för Samhällsskydd och Beredskap, MSB en rapport över de IT-incidenter som rapporterats in till dem under 2023. Incidenterna delas upp i fyra grupper beroende på grundorsak; misstag, systemfel, angrepp respektive naturhot. Av rapporten framgår att mindre än 20 procent av händelserna […]
Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
Nyligen publicerade Myndigheten för Samhällsskydd och Beredskap, MSB en rapport över de IT-incidenter som rapporterats in till dem under 2023. Incidenterna delas upp i fyra grupper beroende på grundorsak; misstag, systemfel, angrepp respektive naturhot. Av rapporten framgår att mindre än 20 procent av händelserna är kopplade till en yttre hotaktör. De vanligaste orsakerna är enligt dem snarare egna misstag (ofta i samband med ändringar i IT-miljön) och systemfel (som ofta hade kunnat undvikas genom ändringar i IT-miljön). Uppenbarligen är vi väldigt duktiga på att ställa till det på egen hand i våra verksamheter, utan ”hjälp” utifrån. Har vi råd med det? Våra misstag underlättar dessutom för våra hotaktörer.
Jag tycker det är dags att vi lär oss mer om vad som egentligen ligger bakom mänskligt felhandlande, så att vi kan bygga bort brister och stärka våra barriärer. Sammanfattningsvis vill jag påstå att säkerhet behöver byggas på ett gott kvalitetsarbete och att mycket handlar om att ge människor goda förutsättningar för att göra sitt jobb.
Det är intressant att vårt sätt att använda begreppet ”den mänskliga faktorn” för att beskriva hur en olycka kunde ske, är diametralt mot hur begreppet ”Human Factors” används i engelskspråkiga sammanhang. Där syftar det till att öka möjligheten för medarbetarna att lyckas, genom att utveckla och anpassa lösningar och produkter efter människans förutsättningar.
Nedanstående bild är hämtad från teorier inom ”safety”, teorier som är väl så användbara även inom cyber- och informationssäkerhetsarbetet. Den syftar till att förklara vad som kan ligga bakom det vi rubricerar som mänskligt felhandlande. Vill man lära sig av det som inträffat och förhindra återupprepande behöver man se bortom symptomen och finna grundorsakerna.
Först kan vi dela upp mänskligt felhandlande i oavsiktligt (grön ruta) respektive medvetet felhandlande (svart ruta). Kanske bör inte den röda rutan med ”ont uppsåt” vara med i bilden för det är ju knappast ”felhandlande” som våra hotaktörer och insiders ägnar sig åt. Rutan finns dock här för att vidga perspektivet.
Om vi fokuserar på den vänstra halvan så kan det oavsiktliga felhandlandet delas upp i grupperna ”rätt tänkt men fel handlat” (lila) respektive ”fel tänkt” (turkos).
Att det blir fel fast vi mycket väl vet hur vi borde agera känner vi nog igen. Vi glömmer saker, slarvar, gör saker vi inte borde ha gjort respektive glömmer att göra det som ska göras. För att komma åt dessa typer av mänskligt felhandlande behöver vi öka användbarheten, minska störningarna, skapa arbetsro och ge tillräckligt med tid för uppgifternas genomförande. Checklistor och ett extra par ögon kan bidra till att öka säkerheten. Det är intressant att denna typ av fel oftast begås av de erfarna, dvs mer utbildning är inte en lösning. Det går inte heller att utbilda bort en dålig design.
De mänskliga felhandlanden som beror på att någon tänkt fel, avhjälps lättast genom att säkerställa att ledningssystemets skriftliga stöd är lätt att hitta, korrekt och användbart för att stötta när arbetsuppgifter ska genomföras. När policys och instruktioner är på plats gäller det att utbilda i hur jobbet ska göras.
Den grupp av mänskligt felhandlande som inryms i den orange rutan är än mer intressant, dvs de medvetna avsteg som görs med goda intentioner. Jag tror vi alla gör avsteg emellanåt. Ibland tar vi bara de upptrampade genvägar som finns i verksamheten, ibland har vi inte tid att vara så omsorgsfulla som vi borde. I praktiken kan det innebära att vi kanske hoppar över en patchning, vi kanske stryker en planerad test eftersom att hålla deadline har högre prioritet. Kanske känns processen för ändringshantering omotiverat krånglig så vi kortsluter ett par moment. Om något extraordinärt har skett blir det eventuellt nödvändigt att göra avsteg (exempelvis att klippa av vajern på E22) men emellanåt känns avsteg nödvändiga på grund av vardagliga omständigheter (kanske en tajt möteskalender eller sjuka barn) och i värsta fall så tillhör regelbundna avsteg kulturen på arbetsplatsen. För att minska denna kategori av mänskligt felhandlande behöver man göra medarbetarna medvetna om de aktuella hoten och dess eventuella konsekvenser. Det räcker dock inte, för man måste också minska anledningarna att ta genvägar och öka incitamenten för att göra rätt. Det gäller att följa upp och öka risken för upptäckt men framför allt att positivt förstärka de beteenden man vill se mer av.
Idag ser jag att företag försöker stärka sin säkerhet upp genom medvetenhetsträning och säkerhetsutbildning. Jag hoppas det nu framgått med tydlighet att det inte räcker. Användbarhetsaspekterna, förutsättningarna för arbetsuppgifternas genomförande, det skriftliga stödet, incitamenten och en god säkerhetskultur behöver också vara på plats.
Det är också viktigt att se till hela systemlivscykeln då människor är involverade i varje fas. Förutom att människorna använder produkten så är det människor som samlar in behoven, formulerar kraven, designar och konstruerar, testar och implementerar och slutligen skrotar produkten. I alla steg behöver medarbetarna goda förutsättningar och goda incitament.
Förutom att misstag kan leda till stillestånd i verksamheten med allt vad det innebär i form av uteblivna intäkter och skadat anseende, så kan bristande kvalitets- och säkerhetsfokus i arbetet leda till att man bygger in latenta fel och sårbarheter som i förlängningen kan utnyttjas av en aktör med ont uppsåt. Låt oss inte göra det så enkelt för dem. Det har vi inte råd med.
Statens haverikommission har sedan länge utrett större händelser i samhället med syfte att öka lärandet. I deras utredningsmetodik ingår att se till hela systemet och samspelet människa-teknik-organisation. Det är nog dags att vi anammar ett liknande förhållningssätt vad gäller mer omfattande informations- och cybersäkerhetsincidenter. Vi behöver kunna se bortom tekniken och utröna vad som egentligen låg bakom det inträffade. Syftet med en grundorsaksutredning är kunna förhindra ett återupprepande och att dela med sig av lärdomar.
Vi behöver lära oss av andras erfarenheter för vi har inte råd att göra dem alla själva.
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
