Nyhet -
Vilka följer inte säkerhetsreglerna - och varför?
Det finns utmärka regler för informationssäkerhet. Men de
måste följas för att de ska fungera. Nu ska FOI studera vilka som inte följer
reglerna och varför.
Inom säkerhetskritiska verksamheter, som Försvarsmakten
eller kärnkraftverk, följs oftast reglerna om informationssäkerhet. Men i annan
privat och offentlig verksamhet så följs de sällan, om nu användarna
överhuvudtaget känner till dem.
Därför har FOI fått i uppdrag av MSB att under fyra år kartlägga
säkerhetsmedvetande i svenska företag och organisationer, ett forskningsprojekt
som görs i samverkan med statsvetare, beteendepsykologer och företagsekonomer.
– Vår del i forskningen är att djupdyka i frågan
om vad som får folk att följa regler och bestämmelser, och att hitta orsaker
till att de inte gör det, berättar Teodor Sommestad, förste forskare vid FOI.
Projektet startar med att en enkät sänds ut till företag och
enskilda personer. Svaren ska bland annat användas för att undersöka hur stark
kopplingen är mellan allmän företagskultur och informationssäkerhetskultur och
om människors efterlevnad av regler hänger samman med deras hotbild och den
informationssäkerhetskultur de lever i.
Tidigare metastudier visar på några tydliga tendenser. En är
att folk faktiskt tror att de följer reglerna.
– Frågar man människor i en organisation om de
följer reglerna svarar de ofta ja. Frågar man säkerhetsavdelningen skakar de
bara på huvudet, säger Teodor Sommestad.
En annat är att it-hoten nonchaleras eftersom de sällan riktas
mot en själv.
– Många anser att de inte behöver skydd eftersom
de inte jobbar med något hemligt. Men i it-världen skyddar man ofta någon
annan, inte sällan arbetsgivaren. Så när barnen får tanka ner en film på
jobbdatorn, utsätter man alla på kontoret för fara.
En tredje är att människor kräver rationella regler som ses
som meningsfulla och ger en rimlig arbetsinsats.
– Här faller ett tungt ansvar på
säkerhetsavdelningarna, som ibland är dåliga på att förklara problemen, många
gånger väljer de standardförklaringar som de inte själva har tänkt igenom. Jag
är säkerhetsexpert och kan se hur man ibland är onyanserat sträng i vissa
avseenden, men släpphänt i andra.
Om fyra år, när projektet är över, hoppas Teodor Sommestad
att FOI ska ha bra koll på hur man kan få datoranvändarna att arbeta säkrare.
– Det kommer antagligen inte att vara genom att
skriva detaljerade beskrivningar. Istället kommer det troligen att handla om
att påverka användarna syn på världen så att de prioriterar säkerheten.