Din IT-säkerhet är inte bättre än människorna som ska arbeta i den. “På vissa företag är det här en horror show.”
Vad stör sig människor mest på när det gäller IT-säkerhet?
– Det korta svaret är ‘allt’, men framförallt är det lösenord och andra åtgärder för identifikation, säger Matti Suominen, Head of product cyber security på Nixu Corporation.
– På vissa företag är det här en horror show, men även om det är bättre hos en del kan alla relatera till det. Det finns alltid en god tanke bakom de här systemen – att det ska vara säkert och att man lätt ska kunna identifiera vem som har gjort vissa åtgärder. Men det måste fungera i vardagen annars skapas irritation.
Kräver man att människor ska komma ihåg långa lösenord som ska bestå av både siffror, specialtecken och små och stora bokstäver – och som ska bytas varje månad, och som inte får vara lika de gamla – ja då blir det revolt.
– Människor blir irriterade när de måste lägga en massa tid på att fixa med lösenord, och all den tiden minskar dessutom företagets produktivitet.
I en undersökning av det amerikanska mjukvaruföretaget Fico 2018 svarade 81 procent av 2 000 vuxna att de “inte såg behovet av alla onödiga säkerhetsprocedurer.”
Sämre i teorin kan bli bättre i praktiken
Men hur löser man då problemet? Enligt Matti är det viktigt att komma ihåg att det som låter säkrast i teorin inte alltid är det i praktiken.
– Om du tvingar människor att ändra lösenord ofta, vilket kan låta bra i teorin, så kommer de att byta till lättare och lättare lösenord. De kan till och med börja skriva upp dem på en post it-lapp och sätta på skärmen, för att ha en chans att komma ihåg dem. Då är det bättre att säga ‘ok, välj ett riktigt bra lösenord och kom ihåg det’, för även om det är sämre i teorin blir det bättre i praktiken.
Det var just denna insikt som fick Bill Burr att krypa till korset 2017. Det var nämligen han som skapade riktlinjerna för “säkra” lösenord när han jobbade på National institute of standards and technology i USA 2003. Ni vet, lösenorden som måste bestå av siffror, versaler, gemener och någon symbol.
Han insåg alltså, nästan 15 år senare, att hans lösenord var så svåra att komma ihåg att folk skapade för enkla varianter. Resultatet blev ironiskt nog att Burrs lösenord i praktiken blev osäkrare. Idag rekommenderar man istället ofta att du skapar en ”mening” eller en ”bild” som är orimlig, men samtidigt logisk nog att komma ihåg. Precis som man jobbar med minnesteknik.
Till exempel, om du sätter samman orden ”banan, hus, raket, podcast” och skapar dig en minnesbild som föreställer en podcast-ikon i din mobil som visar ett hus format som en banan som flyger som en raket mot rymden. För några år sedan kom denna illustration som smart och tydlig beskriver denna lösenordsteknik och varför den är både enklare och säkrare.
Säkerhet utan krångel för användaren
Överhuvudtaget menar Matti Suominen att det bästa sättet att få medarbetarna att acceptera säkerhetskraven är att göra dem rimliga.
– Alla förstår att det krävs väldigt strikta system om det handlar om militära hemligheter, men att applicera samma säkerhetsnivå för allting, blir i slutändan kontraproduktivt. Personligen tycker jag att teknik som avläsning av fingeravtryck är jättebra eftersom de skapar säkerhet utan krångel för användaren. Gör inte livet svårare för de anställda än det måste vara.
Vill du läsa mer om våra olika säkerhetslösningar?
Till SäkerhetLiknande artiklar vi tror skulle intressera dig:
Så lägger du grunden till företagets IT-säkerhetsarbete
Text: Karin Aase