Av ren hjälpsamhet ger många medarbetare ut sina lösenord fast de inte borde. Ökade kunskaper om IT-säkerhet är i dag minst lika viktiga som anti-virusprogram och brandväggar, anser Pernilla Rönn, expert på informationssäkerhet.
Internet of things, ökad nättrafik på fler enheter, avancerad informationshantering och sofistikerat nätfiske – i digitaliseringens tidevarv ökar sårbarheten för dataintrång med blixtens hastighet. Pernilla Rönn, affärsområdeschef inom informationssäkerhet på teknikkonsultbolaget Combitech, varnar för att företagshoten kommer att bli ännu fler och avancerade i framtiden. Men det finns hopp.
– När medvetenheten om risker och hot ökar, minskar faran för intrång. Att förändra sitt säkerhetsbeteende inom IT är A och O, säger Pernilla Rönn.
Från början ville hon egentligen bli journalist. Det var mest av en slump som hon började plugga på systemvetarlinjen, en bred utbildning med både programmering, teknik och ekonomi på schemat. Eftersom ord som ”krypto”, ”hot” och ”risker” var något Pernilla gick igång på, sökte hon ett krypteringsjobb. Det var 1994 och sedan dess är hon hängiven säkerhetsfantast. Men skrivarådran har Pernilla trots allt haft användning av i konsultrollen – hon gillar att skriva utredningar och rapporter, ”att arbeta med verksamheten och inte bara tekniska lösningar är jätteroligt”.
Varför är IT-säkerhet ett så spännande område?
– I dag har fokus breddats från IT-säkerhet till informationssäkerhet som är ett stort område. Det innehåller mycket mer än teknik, till exempel processer, organisation och metodik. Därför är det lyxigt att jobba med de här intressanta frågorna. Jag befinner mig i kärnan av samhällsutvecklingen eftersom säkerhet behövs överallt.
Lever du själv som du lär?
– Jo, lite yrkesskadad är jag allt. Jag är restriktiv med vad jag lägger ut i sociala medier och alla mina lösenord är noggrant skyddade. Jag kollar efter bevakningskameror och klickar aldrig på länkar eller filer i mejl om jag inte är säker på vem avsändaren är.
Med ökade kunskaper höjs den generella säkerhetsnivån, visar testresultat som Combitech sammanställt. Och beteenden går att påverka med enkla medel.
Hur undersöker ni ett företags medvetenhet om de här frågorna?
– Vi kan till exempel ringa medarbetare och låtsas att vi är helpdesk som vill ha deras lösenord. Och folk går i fällan! Hela 80 procent gör det de inte borde – lämnar ut sitt lösenord. Vi kan även skicka phishingmejl och be mottagarna att avslöja sina användarnamn. Då får vi ett mått på hur medvetna medarbetarna är om säkerhet.
Trots alla varningar i media och att hoten numera är välkända, upprepas misstagen. Ofta beror det på att människor vill vara vänliga och hjälpa till. Garden sänks, vilket är förödande när uppsåtet är ont.
Pernilla Rönn poängterar att alla tester görs med respekt för individen och att Combitech efteråt berättar att detta är del i en utbildning på uppdrag av företaget. Meningen är att läroprocessen ska vara tankeväckande och förändra beteenden. Budskapet är att vem som helst kan göra misstag, och att alla kan förändra sitt förhållningssätt för att bli mer på sin vakt.
Har nätattackerna ändrat utformning?
– Numera kan de pågå under en lång period. I stället för att vara massiva är de uthålliga. Och kunskapsnivån hos de som attackerar är mycket högre än tidigare, ta till exempel det som hände storbankerna 2015. Det var en 16-årig kille som utarbetade cyberattacken från sängkanten i Växjö.
Hur ska företag värna sin IT-säkerhet?
– I dag måste säkerhetstänket ingå i företagens grundläggande processer.
Organisationen och dess tillgångar, risker och hot ska vara i centrum. Därifrån planerar och utvecklar man verksamhetssystemet för kontinuitet. En effektiv incidenthantering är A och O. Om företaget utsatts för en attack, måste man snabbt upp på banan igen för att kommunicera med omvärlden om vad som hänt. Informations- och säkerhetsfrågorna behöver sätta sig i hjärnan hos alla på företaget.
Bör vi tänka IT-säkerhet även som privatpersoner?
– Samhället är enormt sårbart och människor förstår ofta inte hur exponerade de faktiskt är på nätet. Följer man till exempel en person på Facebook i några dagar får man en god uppfattning om vanor och vad personen gillar. Tekniska säkerhetslösningar räcker inte hela vägen. Alla tjänar på att öka sin medvetenhet om hot och risker!
80 procent lämnar ut sitt lösenord när vi låtsas vara helpdesk.
Pernilla Rönn
Ålder: 46
Familj: Man och två döttrar. ”Inga husdjur, trots att barnen tjatar.”
Bor: Centralt i Växjö
IT-misstag: ”Aldrig! Jo förresten, jag glömde att låsa skärmen en gång. Då hittade en kollega på bus. Efter det glömmer jag inte att låsa…”
Gränsen i sociala medier: ”Semesterbilder är okej. Men jag publicerar inte något om min hälsa eller om barnen.”
Favoritwebbsida: ”Jag är lite av en shopaholic. Det blir mest kläder och skor när jag handlar på nätet.”
Pernillas fem bästa råd för ökad IT-säkerhet:
- 1. Identifiera företagets värden och satsa på att skydda dem digitalt. Tänk på att ju mer vi kopplar upp oss på nätet, desto mer sårbara blir vi.
- 2. Se till att ha teknisk övervakning och detektera incidenter. Företagets incidenthanteringsprocess måste fungera, så att medarbetarna vet hur de ska göra när något händer.
- 3. Den svagaste länken är de anställda. Skapa en kontinuerlig medvetenhet om hot och risker.
- 4. Var extra försiktig med din IT-hantering när du reser. Använd insynsskydd på datorn och var observant på omgivningen när du pratar i mobilen.
- 5. Glöm inte bort att använda säkerhetsinställningarna på sociala medier. Begränsa dina incheckningar.
Text: Elisabeth Krogh
Foto: Peter Jönsson


