27 september 2013

Vilka följer inte säkerhetsreglerna - och varför?

Det finns utmärka regler för informationssäkerhet. Men de måste följas för att de ska fungera. Nu ska FOI studera vilka som inte följer reglerna och varför.

Inom säkerhetskritiska verksamheter, som Försvarsmakten eller kärnkraftverk, följs oftast reglerna om informationssäkerhet. Men i annan privat och offentlig verksamhet så följs de sällan, om nu användarna överhuvudtaget känner till dem.

Därför har FOI fått i uppdrag av MSB att under fyra år kartlägga säkerhetsmedvetande i svenska företag och organisationer, ett forskningsprojekt som görs i samverkan med statsvetare, beteendepsykologer och företagsekonomer.

– Vår del i forskningen är att djupdyka i frågan om vad som får folk att följa regler och bestämmelser, och att hitta orsaker till att de inte gör det, berättar Teodor Sommestad, förste forskare vid FOI.

Projektet startar med att en enkät sänds ut till företag och enskilda personer. Svaren ska bland annat användas för att undersöka hur stark kopplingen är mellan allmän företagskultur och informationssäkerhetskultur och om människors efterlevnad av regler hänger samman med deras hotbild och den informationssäkerhetskultur de lever i.

Tidigare metastudier visar på några tydliga tendenser. En är att folk faktiskt tror att de följer reglerna.

– Frågar man människor i en organisation om de följer reglerna svarar de ofta ja. Frågar man säkerhetsavdelningen skakar de bara på huvudet, säger Teodor Sommestad.

En annat är att it-hoten nonchaleras eftersom de sällan riktas mot en själv.

– Många anser att de inte behöver skydd eftersom de inte jobbar med något hemligt. Men i it-världen skyddar man ofta någon annan, inte sällan arbetsgivaren. Så när barnen får tanka ner en film på jobbdatorn, utsätter man alla på kontoret för fara.

En tredje är att människor kräver rationella regler som ses som meningsfulla och ger en rimlig arbetsinsats.

– Här faller ett tungt ansvar på säkerhetsavdelningarna, som ibland är dåliga på att förklara problemen, många gånger väljer de standardförklaringar som de inte själva har tänkt igenom. Jag är säkerhetsexpert och kan se hur man ibland är onyanserat sträng i vissa avseenden, men släpphänt i andra.

Om fyra år, när projektet är över, hoppas Teodor Sommestad att FOI ska ha bra koll på hur man kan få datoranvändarna att arbeta säkrare.

– Det kommer antagligen inte att vara genom att skriva detaljerade beskrivningar. Istället kommer det troligen att handla om att påverka användarna syn på världen så att de prioriterar säkerheten.