Varför ligger lösenorden under skrivbordsunderläggen?

Det finns vissa återkommande anekdotiska exempel inom informationssäkerhetsområdet som ska beskriva en situation eller ett problem. Vissa har jag säkert använt själv vid olika tillfällen. Men när man hört något litet för många gånger börjar i alla fall jag begrunda vad som är den egentliga innebörden i exemplet – vad vill man ha sagt? Och därefter funderar jag på vad effekten hos åhörarna, blir den verkligen den som eftersträvas?

Ett sådant återkommande exempel i presentationer, föreläsningar och utbildningar handlar om lösenord. Antingen genom att beskriva det hela som en personlig upplevelse eller en mer generell företeelse så säger vi (även jag har gjort det någon gång för länge sedan…) att användare haft lösenord på post it-lappar fästa vid skärmen eller under skrivbordsunderlägget. Samma exempel återkommer i tips för bättre säkerhet som här och här. Det är uppenbarligen en bild som säkerhetsmänniskor finner effektfull trots att skrivbordsunderläggen i ärlighetens namn numera är sällsynta.

Ofta berättas detta med ett överseende, eller ännu värre; ett smått föraktfullt, leende som låter påskina att medarbetarna inte förstår sig på alternativt inte bryr sig om säkerhet. Min erfarenhet är att detta är en helt felaktig uppfattning. I princip alla verksamheter som jag jobbat i, och inte minst inom vården, är de allra flesta medarbetare mycket engagerade i att göra ett bra jobb. Detta inkluderar även att följa de säkerhetsregler som finns. Att sedan lösenordshanteringen ändå kan vara litet si och så tror jag beror på flera faktorer.

En väsentlig elefant i rummet är att det är jobbigt att hantera lösenord på det sätt som sker nu. Sedan mitten av 90-talet har det utlovats single sign-on-lösningar men få har hittills skådat fungerande lösningar i verkligheten. Istället fortsätter det som förut med allt längre lösenord, olika lösenord i de allt fler applikationer som används på arbetsplatserna och med krav på byten var tredje månad. I en stressig arbetssituation kan jag inte annat än ha förståelse för att medarbetare söker genvägar. I vårt privatliv kan vi använda olika lösningar som automatgenererar hyfsat säkra lösenord men i arbetsmiljön är många kvar på ruta ett.

En annan faktor är kommunikationen om lösenord. När jag läser och hör hur reglerna för lösenordshantering kommuniceras med medarbetare är det sällan med någon motivation eller beskrivning av vari risken ligger om lösenordet är för kort eller används längre än ett kvartal. Detta tror jag är en mer generell problematik inom säkerhetsområdet.  Alltför ofta använder vi olika former av envägskommunikation och dessutom utan att ge tillräckligt bra förklaringar hur bristande tillämpningar av säkerhetsåtgärder påverkar kvaliteten och effektiviteten i verksamheten. Jag ser det hela framför mig som en våg där goda förklaringar gör säkerhetsåtgärden uppfattas som motiverad och krångligheten acceptabel.

krångel

Slutligen är ett problem att det tycks finnas mycket litet evidens om lösenord, hur långa de bör vara och hur ofta de bör bytas. Vi går på det som litet slängigt brukar kallas ”best practice” vilket kan tolkas som ”vi tror att det här det bästa sättet att göra det men har inga belägg för det”. Att beläggen är svaga gör vår egen argumentation svag vilket gör det svårare att övertyga andra vilket sannolikt är en förklaring till att vi hellre kör ut en oemotsagd regel än har en mer djuplodande diskussion om risker med verksamheten.

Jag tror inte medarbetare känner sig särskilt motiverade av den här typen av exempel hur ”dumma” andra medarbetare i samma situation är. Förmodligen kommer istället antingen en viss skamsenhet över att man inte själv heller alltid lyckas leva upp till de krångliga reglerna eller så fnyser man invärtes och tänker: ”det är ju lätt att säga när man inte vet hur det fungerar här och hur stressigt det är”. I båda fallen tappar den informationssäkerhetsansvarige kontakten med sin publik.

Sammantaget drar jag tre slutsatser av ovanstående. Att det inte är så konstigt att medarbetare gömmer lösenord under de imaginära skrivbordsunderläggen. Att vi måste hitta bättre fungerande säkerhetslösningar både i bemärkelsen att de fungerar effektivt mot beskrivna risker och i bemärkelsen att de går att använda på ett inte alltför tyngande sätt för medarbetare. Att vi måste bli bättre på att belägga de säkerhetslösningar vi föreslår med evidens istället för att hänvisa till ”best practice”. Med tanke på att behovet av informationssäkerhet kommer att öka alltmer måste vi kunna både för oss själva och för de organisationer vi verkar i visa att vågen är i balans; att de tyngande rutiner och åtgärder vi förordar är motiverade.

Varför lyssnar inte ledningen på mig?

Vad ska det första blogginlägget handla om? Det finns en uppsjö av intressanta frågor som bara ligger och väntar på att ventileras, alltifrån teoretiska frågor som vad informationssäkerhet egentligen är till hur man genomför en bra riskanalys i praktiken. Jag bestämde mig dock för en rivstart; att ta upp den så omtalade ledningsfrågan som i alla sammanhang framhålls som förutsättningen för att informationssäkerhetsarbetet ska lyckas. Ledningens engagemang ni vet…

Genom åren har jag träffat ett mycket stort antal informationssäkerhetsansvariga (med litet olika titlar). Den mest återkommande förklaringen till att säkerheten inte är så bra som man skulle vilja är att ledningen inte lyssnar, inte intresserar sig, inte förstår varför informationssäkerhet är så viktigt. Ledsna och irriterade säkerhetsmänniskor beskriver hur de ihärdigt försöker förklara för till synes oengagerade ledningar allt som borde göras, vilka risker som finns och vad lagstiftningen säger. Ibland lyckas den informationssäkerhetsansvarige faktiskt upprätta en relation med ledningen, hen kanske till och med får vara adjungerad i ledningsgruppen eller åtminstone vara en fast punkt på agendan en gång i kvartalet. I de mest lyckade ögonblicken inser ledningen att informationssäkerhet är en förutsättning för att organisationen ska kunna leverera det man har som mål på ett bra sätt. Ofta är dessa lyckosamma relationer, enligt min erfarenhet, mycket personberoende och med dagens snabba arbetsmarknad så riskerar de snabbt att upplösas.

Vad jag talar om är inte att lyckas med att få ledningen att besluta om att införa ett ledningssystem, vilket inte behöver vara så svårt – särskilt inte med en omedveten ledning som tror att det gäller att besluta några dokument så är det klart. Men att skapa en god säkerhetskultur där både ledning och medarbetare är engagerade i säkerhetsfrågor, vaksamma för nya risker och beredda att ständigt utveckla säkerhetsarbetet, det är något helt annat.

För att komma vidare tror jag att vi säkerhetsmänniskor måste omformulera frågan. Istället för att se ledningens bristande engagemang som grundad i att ledningen inte förstår vikten av säkerhet så tror jag att vi måste se på oss själva. Hur väl förstår vi verksamheten och dess säkerhetsbehov, vilka aspekter som är prioriterade för ledningen och hur vi få säkerhetsarbetet att stödja dessa prioriteringar? Informationssäkerhet har inget egenvärde utan måste ställas i relation till behoven i den verksamhet där man verkar där behov kan vara förmågan att leva upp till externa krav som lagstiftning men också så mycket mer.

Själv har jag träffat många ledningsgrupper både som anställd och som konsult. Framgången med att lyckas övertyga ledningarna om hur central informationssäkerhetsfrågan är har varierat och om jag försöker summera vad som funkat och vad som inte funkat i punktform ser det ut så här:

Funkar inte:

  • Detaljerade beskrivningar av tekniska problem och tekniska lösningar – ledningsgrupper har sällan den tekniska kompetensen så att de uppskattar detta.
  • Långrandig och överdrivet heltäckande rapportering – ledningen har ju anställt den informationssäkerhetsansvarige för att ha kompetens vilket också innebär kompetens att sålla fram det som relevant.
  • Att hämta alltför mycket av argumentationen ur lagstiftning – självklart inser alla ledningar att lagstiftning måste följas men det är liksom inte huvuduppgiften för verksamheten.
  • Att var alltför ängslig och ovillig att inse att riskhantering innebär att leva med vissa risker – informationssäkerhet skiljer sig inte från andra områden och en fungerande ledning tar alltid risker och kommer att göra det även när det gäller informationssäkerhet.
  • Att presentera risker och brister utan komma med förslag om åtgärder – denna typ av kommunikation gör ofta att ledningar går i baklås och är oförmögna att hantera problemet.
  • Att vara alarmistisk och försöka ”skrämma” ledningen till att vidta åtgärder – detta är det absolut sämsta sättet att kommunicera kring säkerhet och leder enligt min erfarenhet osvikligen till att ledningsgruppen stänger av och försöker undvika kontakt i fortsättningen.

 

Funkar:

  • Att försöka sätta sig i ledningens position och försöka förstå vad det är de vill veta – att känna till ledningens inriktning och kunna anknyta till den underlättar påtagligt kommunikationen.
  • Att försöka sätta sig in i vad ledningen kan och vet om informationssäkerhet och anpassa kommunikationen därefter – ofta utgår vi ifrån att de vi talar med vet mycket mer än vad de faktiskt gör. Om man respekterar de man pratar med och deras förförståelse av ämnet är det också mycket lättare att nå fram.
  • Att genomföra riskanalyser med ledningen – riskanalyser ger ledningsgrupper möjlighet att själva reflektera kring risker vilket gör att de får en egen relation till frågan.
  • Att alltid kommunicera specifikt om den egna organisationen och dess behov – ledningar har sällan tålamod med abstraktioner, däremot om det finns en uppenbar verksamhetsnytta i den egna organisationen blir ämnet mycket intressantare.
  • Att presentera hur brister leder till konkreta konsekvenser i verksamheten – de tekniska orsakerna är ofta ointressanta, däremot innebär konsekvenser i verksamheten också konsekvenser för ledningen vilket får dem att lystra.
  • Att göra ledningsgruppen beslutsför – ledningars funktion är att fatta beslut och att då ta fram väl underbyggda underlag om risker och åtgärder för att reducera dem som det går att fatta beslut om gör de flesta ledningar vänligt stämda.

 

Detta var några tankar kring ledningens engagemang. Bidra gärna med dina egna!