Arbejd med medarbejdernes Cyber-vaner

af Tobias Andersen, IFCR

Et gennemgående tema inden for it-sikkerheden er medarbejdernes manglende forståelse for truslerne og til tider uhensigtsmæssige handlinger set ud fra et sikkerhedsperspektiv. For at korrigere for dette, vælger organisationer at implementere en lang række it-sikkerhedspolitikker og procedurer, som skal fortælle medarbejderne præcis hvilke handlinger de bør/skal foretage sig for at beskytte organisationen.

Men de lange og komplicerede politikker og procedurer har som oftest minimal gennemslagskraft bland medarbejderne, og hvorfor er dette tilfældet når nu sikkerhedsafdelingen har brugt flere uger på at udarbejde det helt rigtige regelsæt?

 

Læs artiklen: Manglende cyberhygiejne gør mange virksomheder sårbare over for cyberangreb 


Hvorfor virker vores politikker og procedurer ikke?
Og det er netop her problemet opstår, nemlig at sikkerhedsafdelingen har brugt flere uger på at udarbejde retningslinjerne til medarbejderne, som ikke har flere uger til at nærstudere politikker og procedurer når dagligdagen rammer.

Politikker og procedurer er ofte ikke tilpasset medarbejderne, som en del af deres arbejdsopgaver, men lever et selvstændigt liv af ekstra besværligheder for medarbejderne som f.eks. persondatabeskyttelse, verdensmålene, anti-bribery osv.

Medarbejderne drukner derfor ofte i information og krav, som overrumpler medarbejderne, hvorfor den naturlige reaktion er at ignorere kravene i videst muligt omfang.


Hvad er så problemet?
Problemet er basalt set, at vi designer politikker og procedurer til det som i den kendte bog ”Thinking fast and slow” (link) betegner som type 2 systemet, som er den efterrationaliserende del af mennesket, hvorimod medarbejderne arbejdsopgaver ofte styres af type 1, som er de autonome handlinger. Derfor er det på tide, at vi arbejder med at ændre konkrete vaner hos medarbejderne, for at øge gennemslagskraften i organisationen – så vores politikker og procedurer virker! Selvfølgelig ud fra en risikobaseret og pareto tilgang.

 

Hvordan fungerer en vane?
En vane er en ureflekteret gentagelse af adfærd eller en automatisk reaktion, som kan strække sig fra alt mellem at gribe en genstand der falder, til at oversætte tekst fra direkte fra dansk til engelsk. Basalt set består en vane af følgende fire elementer, i denne rækkefølge:

 

 

En person modtager et SIGNAL fra omverden om, at der skal foretages en bestemt HANDLING, hvorefter der skabes et BEHOV, som leder til en HANDLING og derefter opnås en BELØNNING.


Konkrete eksempler
Et af de bedste eksempler i vores tid på en vane, er trangen til at give mobiltelefonen uhensigtsmæssigt meget opmærksomhed, men det skyldes at netop designet udnytter disse mekanismer til fulde. Hver notifikation sender et SIGNAL til dig om at du skal give din telefon opmærksomhed, hvorefter der skabes et BEHOV, som får dig til at udføre en HANDLING og se på telefonen, og dermed få BELØNNINGEN i form af at få stillet nysgerrigheden. Jo flere gange en vane følger denne proces, jo sværere bliver det bryde vanens mønster, hvorfor flere interaktioner med telefonen skaber en ukontrollerbar vane.

Den største trussel for it-sikkerheden omkring dette, er mailkulturen i organisationer, som besværliggør medarbejdernes beredskab mod phishingmails. Modtagelse og besvarelse af de +50 e-mails de fleste af os modtager, følger samme flow og skaber herigennem en vane hos medarbejderne der hedder ”når jeg får en e-mail, skal jeg åbne den og svare tilbage hurtigst muligt”.

Når medarbejderen modtager e-mail nr. 51, som er en phishingmail, er det næsten fysisk umuligt for medarbejderne ikke at åbne e-mailen og se på indholdet, fordi denne handling nu er automatiseret af type 1 systemet.

 

Hvordan kan viden omkring vaner bruges til at højne it-sikkerheden?
Ved at inddrage basale indsigter omkring vaner er det muligt, at implementere tiltag som taler til medarbejdernes type 1-system, og som på sigt vil skabe stærke positive cyber-vaner, som medarbejderne udfører automatisk. Ligesom konceptet for Cyber Kill Chain (link) handler det om at påvirke én eller flere faser, for i dette tilfælde at ændre på adfærden. Derfor er første skridt at bruge tid på at forstå de vaner der eksisterer i organisationen, og bryde dem ned i de fire faser.

Når først vanen er defineret, vil næste skridt være at øge de elementer, som trækker medarbejdernes handlinger i en positiv retning og mindske dem som trækker medarbejderne i en negativ retning. Ændringer af vaner tager lang tid, og implementering af påvirkende elementer kræver mange forsøg og målinger af resultater. Et par eksempler herpå er følgende kendte problemstillinger.

Manglende indrapportering af phishingmails er et kæmpe problem, som gode cyber vaner kunne afhjælpe. Hos IFCR har vi arbejdet med phishingknappen som løbende sender SIGNAL i mailboksen til medarbejderen om, hvor nemt det er at indrapportere en phishingmail, og der gives en positiv feedback BELØNNING til medarbejderen automatisk.

 

Manglende efterlevelse af regelsættet er også et problem, hvor den ubehagelige opgave med sanktionering kan være en nødvendighed eller positiv feedback af efterlevelse. Påpegning af dårlig opførsel kan være med til at skabe en vane om at følge reglerne, da der gives BELØNNING ved at følge reglerne og straf ved at bryde dem, hvis det gøres på en ordentlig måde.

Så i 2020 bør organisationer arbejde med at få kortlagt og ændret de cyber vaner, som er den største risiko for organisationen og påbegynde arbejdet med de fire elementer i cyber vaner.