Det finns vissa återkommande anekdotiska exempel inom informationssäkerhetsområdet som ska beskriva en situation eller ett problem. Vissa har jag säkert använt själv vid olika tillfällen. Men när man hört något litet för många gånger börjar i alla fall jag begrunda vad som är den egentliga innebörden i exemplet – vad vill man ha sagt? Och därefter funderar jag på vad effekten hos åhörarna, blir den verkligen den som eftersträvas?

Ett sådant återkommande exempel i presentationer, föreläsningar och utbildningar handlar om lösenord. Antingen genom att beskriva det hela som en personlig upplevelse eller en mer generell företeelse så säger vi (även jag har gjort det någon gång för länge sedan…) att användare haft lösenord på post it-lappar fästa vid skärmen eller under skrivbordsunderlägget. Samma exempel återkommer i tips för bättre säkerhet som här och här. Det är uppenbarligen en bild som säkerhetsmänniskor finner effektfull trots att skrivbordsunderläggen i ärlighetens namn numera är sällsynta.

Ofta berättas detta med ett överseende, eller ännu värre; ett smått föraktfullt, leende som låter påskina att medarbetarna inte förstår sig på alternativt inte bryr sig om säkerhet. Min erfarenhet är att detta är en helt felaktig uppfattning. I princip alla verksamheter som jag jobbat i, och inte minst inom vården, är de allra flesta medarbetare mycket engagerade i att göra ett bra jobb. Detta inkluderar även att följa de säkerhetsregler som finns. Att sedan lösenordshanteringen ändå kan vara litet si och så tror jag beror på flera faktorer.

En väsentlig elefant i rummet är att det är jobbigt att hantera lösenord på det sätt som sker nu. Sedan mitten av 90-talet har det utlovats single sign-on-lösningar men få har hittills skådat fungerande lösningar i verkligheten. Istället fortsätter det som förut med allt längre lösenord, olika lösenord i de allt fler applikationer som används på arbetsplatserna och med krav på byten var tredje månad. I en stressig arbetssituation kan jag inte annat än ha förståelse för att medarbetare söker genvägar. I vårt privatliv kan vi använda olika lösningar som automatgenererar hyfsat säkra lösenord men i arbetsmiljön är många kvar på ruta ett.

En annan faktor är kommunikationen om lösenord. När jag läser och hör hur reglerna för lösenordshantering kommuniceras med medarbetare är det sällan med någon motivation eller beskrivning av vari risken ligger om lösenordet är för kort eller används längre än ett kvartal. Detta tror jag är en mer generell problematik inom säkerhetsområdet.  Alltför ofta använder vi olika former av envägskommunikation och dessutom utan att ge tillräckligt bra förklaringar hur bristande tillämpningar av säkerhetsåtgärder påverkar kvaliteten och effektiviteten i verksamheten. Jag ser det hela framför mig som en våg där goda förklaringar gör säkerhetsåtgärden uppfattas som motiverad och krångligheten acceptabel.

krångel

Slutligen är ett problem att det tycks finnas mycket litet evidens om lösenord, hur långa de bör vara och hur ofta de bör bytas. Vi går på det som litet slängigt brukar kallas ”best practice” vilket kan tolkas som ”vi tror att det här det bästa sättet att göra det men har inga belägg för det”. Att beläggen är svaga gör vår egen argumentation svag vilket gör det svårare att övertyga andra vilket sannolikt är en förklaring till att vi hellre kör ut en oemotsagd regel än har en mer djuplodande diskussion om risker med verksamheten.

Jag tror inte medarbetare känner sig särskilt motiverade av den här typen av exempel hur ”dumma” andra medarbetare i samma situation är. Förmodligen kommer istället antingen en viss skamsenhet över att man inte själv heller alltid lyckas leva upp till de krångliga reglerna eller så fnyser man invärtes och tänker: ”det är ju lätt att säga när man inte vet hur det fungerar här och hur stressigt det är”. I båda fallen tappar den informationssäkerhetsansvarige kontakten med sin publik.

Sammantaget drar jag tre slutsatser av ovanstående. Att det inte är så konstigt att medarbetare gömmer lösenord under de imaginära skrivbordsunderläggen. Att vi måste hitta bättre fungerande säkerhetslösningar både i bemärkelsen att de fungerar effektivt mot beskrivna risker och i bemärkelsen att de går att använda på ett inte alltför tyngande sätt för medarbetare. Att vi måste bli bättre på att belägga de säkerhetslösningar vi föreslår med evidens istället för att hänvisa till ”best practice”. Med tanke på att behovet av informationssäkerhet kommer att öka alltmer måste vi kunna både för oss själva och för de organisationer vi verkar i visa att vågen är i balans; att de tyngande rutiner och åtgärder vi förordar är motiverade.