Informationssäkerhet och användbarhet

Ingen kedja är starkare än dess svagaste länk och när det gäller informationssäkerhet är den länken ofta människan - användaren. Otaliga är de historier där människor tappat hemliga USB-stickor på stan eller glömt datorer med känslig information på restauranger.

Informationssäkerhet och användbarhet

Informationssäkerhet och användbarhet 1920 1280 C.A.G

Ett annat vanligt bekymmer är för svaga lösenord och att samma svaga lösenord/kod används på flera ställen. Ytterligare ett exempel på när den mänskliga faktorn orsakat problem (av misstag) är den händelse som för ett par år sedan inträffade hos en svensk myndighet där betydligt fler personer än som var avsett kallades till ett möte. Resultatet blev vad som närmast kan liknas vid en fysisk Denial of Service-attack när 60 000 klienter samtidigt kom till kontoret.

I vissa fall handlar det förstås om rent slarv, eller kanske om bristande utbildning hos användarna i fråga, men många gånger skulle jag även säga att tekniken faktiskt inte är framtagen med användaren i fokus. Att hålla reda på många, bra, lösenord till exempel, är svårt! Jag har tidigare haft förmånen att arbeta en del med humancentrering och användbarhet och jag tycker det är ett väldigt intressant fält med stor betydelse även för säkerhetsområdet.

Hur får man människor och teknik att samspela på ett bra sätt i ett givet sammanhang och hur utvecklar man denna teknik? Hur inför man denna teknik på ett effektivt sätt och hur utbildar man användare? Vad krävs av organisationen i form av förändringar för att kunna utveckla, införa och använda användningsvärd teknik? Centralt i dessa frågeställningar ligger begreppen användbarhet och nytta i användning. Användbarhet definieras av standarden ISO 9241-11 som: ”Den utsträckning till vilken en specifik användare kan använda en produkt för att uppnå specifika mål, med ändamålsenlighet, effektivitet och tillfredsställelse, i ett givet användningssammanhang.”

 

Användbarhet tillsammans med informationssäkerhet
Varför är då användbarhet så viktigt i informationssäkerhetssammanhang? Jo för att det som är enkelt att göra, det gör man. Det ska vara lätt att agera på det säkra sättet och det ska upplevas som det arbetssätt som är effektivast och stödjer mig bäst i min uppgift! Som informations­säkerhets­nörd gäller det att förstå att säkerhet är sällan självändamålet med någons uppgifter och om olika säkerhetsmekanismer och säkerhetsregler ständigt sinkar arbetet och hindrar människor från att lösa sin uppgift, så kommer reglerna inte att följas. Vad som i teorin kan låta som hög säkerhet för verksamheten (det vill säga du har väldigt säkra system på plats) kan alltså i praktiken bli betydligt lägre för att systemen inte används, eller inte används såsom det var tänkt. Istället hittas alternativa arbetssätt, kanske i mindre säkra systemmiljöer eller att säkerhetsregler inte efterlevs. Måste man göra avkall på säkerheten för att kunna göra ett bra jobb gör många just det.

Ur ett säkerhetsperspektiv är det till exempel bäst att användare inte har administratörsrättigheter på sin enskilda dator då det underlättar för IT-administrationen att ha full kontroll på vad som är installerat på datorn och att antivirus, brandväggar etc. är uppdaterade. Samtidigt finns det faktiskt många som i sitt arbete behöver kunna ha en viss flexibilitet och kunna installera program på egen hand. Minns att jag en gång läst en historia från en högskola där IT-administrationen ville ta bort just alla administratörsrättigheter i nätverket, och personalen fick påpeka att det nog skulle bli lite svårt för dem att då fullgöra sin uppgift – att lära studenterna att administrera nätverk… En bättre väg här hade varit att istället för att rakt av strypa alla lärarnas rättigheter, komma fram till en lösning i dialog med dem. Kanske etablera ett separat utbildningsnät för undervisningen, eller försöka minska riskerna för incidenter genom ytterligare utbildning.

Att utgå från användaren och dennes primära uppgifter när man implementerar säkerhet och ny teknik borde vara självklart men är många gånger lättare sagt än gjort. Forskning visar också att användarmedverkan mot slutet av processen inte alltid får önskvärd effekt utan snarare spär på bilden av ett ”vi-och-dom-förhållande” mellan användare och utvecklare. Istället handlar det om att få med human- och användarperspektivet från början i beställnings­processen och att det sedan ska finnas med kontinuerligt. Att kunna göra det kräver i många fall att man utvidgar det traditionella systemutvecklingsparadigmet och inkluderar förståelse för sådant som MSI/HF/MTO, meningsskapande (sense making) och organisationskulturers betydelse.

Många gånger kämpar användbarhetsperspektivet lite i uppförsbacke när det kommer till systemutveckling men jag tror inte minst att vi som arbetar med informationssäkerhet skulle ha mycket att vinna på att frågan kom upp högre på dagordningen. Hade humanperspektivet varit i fokus så hade kanske lösenord aldrig blivit en etablerad metod för behörighetskontroll och okrypterade USB-minnen hade varit en raritet. När det gäller händelsen på en svensk myndighet så hade troligen mail­programmet fortfarande funnits, men kanske hade det haft en lite funktion som registrerade avvikande beteende och gav en varning – Vill du verkligen kalla 60 000 till det här mötet?

 

Vid pennan/ Helena Innergård, tekn. dr. och senior informationssäkerhetskonsult C.A.G Engvall Security

 

 

Kontaktperson

Annika Rogneby

+46 70 687 33 08

annika.rogneby@cag.se

X
X