av Roar Thon

«Gå utenom sa bøygen» Sitatet er fra Henrik Ibsens Peer Gynt og kan forstås som et utrykk for at mennesker ofte viker unna for det vanskelige i livet. Det er mange forhold i livet det kan være vanskelig å håndtere, også for de som arbeider med sikkerhet. Jeg kommer tilbake til det om litt.

del 1 om e-post og informasjonssikkerhet skrev jeg litt om fire tiltak som må bli bedre om vi skal redusere risiko knyttet til e-post.   

  • Forbedre de teknologiske tiltakene som identifiserer og luker ut «farlige» e-poster
  • Redusere antallet brukere som blir lurt av innholdet i «farlige» e-poster
  • Akseptere at vi likevel kommer til å bli lurt
  • Forbedre de teknologiske tiltakene og rutinene som hindrer/reduserer skaden når vi blir lurt

I denne delen vil jeg fokusere på å redusere antallet som blir lurt av innholdet i «farlige» e-poster. Det er jo ikke mangel på tiltak det står på. Veldig mange i arbeidslivet er gitt informasjon og forhåpentligvis kunnskap om risikoen knyttet til e-post. Det finnes gode råd tiltak og det finnes også mindre vellykkede råd tiltak. Men en av de gjennomgående utfordringene er å vite hvilke metoder og tiltak som fungerer best, avhengig av målgruppe og hensikt med tiltaket.

I undersøkelsen om nordmenns sikkerhetskultur, foretatt av Norsk senter for informasjonssikring (NorSIS) mener 61,1% at de kan bedømme hva som er sikkert/usikkert på nett. 23,5% føler seg usikre på om de kan vurdere hva som er sikkert/usikkert. Rapporten oppsummerer blant annet med at nordmenn stoler på sine egne evner, men er skeptiske til andre mennesker intensjoner.  Kanskje er det bra at vi er litt skeptiske til det som skjer på nett? 

Det norske selskapet CLTRe har akkurat offentliggjort noen funn basert på undersøkelser gjort hos deres kunder.

CLTRe sier at det nesten ikke er forskjell i sikkerhetskultur mellom kvinner og menn. Samtidig har alder en betydning. Høy alder gir bedre sikkerhetskultur. (Dette er funn i seg selv som kanskje er verdig et eget blogginnlegg) 

Ingen av funnene jeg trekker frem er spesielt knyttet til e-post sikkerhet, men er likevel relevante. Selv om mange nordmenn mener de er i stand til å vurdere hva som er sikkert eller ikke, er e-post fortsatt den mest vellykkede måten å «angripe» oss på. Så da er vi kanskje ikke alltid like gode til å vurdere hva som er sikkert?

Ingen går gjennom livet uten å bli lurt

Ofte velger vi sikkerhetsfolk en veldig konkret måte å informere om risikoen på. Vi viser frem akkurat den e-posten for å fortelle om at denne må alle passe seg for. Det er viktig med eksempler. Men problemet er at det finnes uante varianter av e-poster. En e-post består av tekst, bilder, vedlegg og linker som bare begrenses av kompetansen og kreativiteten til avsender. Vi må kanskje dykke dypere hos mennesket enn bare å vise/snakke om den enkelte skumle e-post. Vi må kanskje ta tak i det «lettlurte» mennesket?

Det er her vi støter på Bøygen. For en av de ting som er vanskelig og ubehagelig for mange av oss, inkludert meg selv, er hvordan vi skal forholde oss til at vi som mennesker ofte er lettlurte?

Noen ganger tror jeg er vi sikkerhetsfolk er ukomfortable med å kalle en spade for en spade. Noen argumenterer med at vi ikke skal kalle brukerne for lettlurte eller naive. Det kan jo fort oppfattes som fornærmede eller som om brukerne er mindre intelligente. Det er de jo absolutt ikke.

Det er ingen som går gjennom livet uten å bli «lurt». Ingen! Likevel tror jeg det er mulig å redusere antall ganger man blir lurt i livet. Derfor er det interessant at CLTRe ser alder som interessant faktor. Kanskje kan livserfaring være en faktor som gjør at man er mindre lettlurt? Men det er nok ikke så enkelt som det.

Er ikke nødvendigvis sant fordi det står på nettet!

Det er jo ikke sant bare fordi det er i media, står i avisen, på nettet, eller i en e-post. Men ytre og indre forutsetninger kan endre på hvordan vi tolker situasjoner. Som mennesker er vi jo eksperter på å finne det som bekrefter det vi selv allerede «vet». (Kanskje er det det jeg selv gjør når jeg skriver dette innlegget?)

For meg handler det mye om hvordan vi som sikkerhetsfolk kommuniser. Jeg bruker selv ordet naiv ofte. Men jeg forsøker så ofte og tydelig som jeg kan og inkludere meg selv i den kategorien. Det er for meg en forskjell i å rette en pekefinger mot andre og si at «slik er dere».  Noe annet er det å slå ut med hendene og si at slik «er vi». For jeg er like naiv og lettlurt. Men som alle andre er jeg oftest situasjonsbetinget naiv og lettlurt.

Det er når avsenderen av «falske e-poster» virkelig utnytter omstendighetene, at de lykkes. Det er jo perfekt timing når den nye runden med «pakke på posten» mailene traff Norge i forrige uke. Det er jo snart jul. Folk venter på pakker! Mens e-postene, layout og metoden er velkjent. Vi har jo sett det før, mens adventstiden gjør at vi lettere blir et offer. Uten at vi er dumme av den grunn.

Skal vi virkelig gjøre mennesker mer skeptiske?

Spørsmålet er hvordan vi bedre kan gjøre noe med folks høye tillitsnivå på nett? Jeg har ikke svaret klart for meg. Kanskje finnes svarene i måleresultatene til NorSIS, CTRLe og andre. Men kanskje er det like viktig å stille spørsmålet om vi bevisst skal forsøke å endre mennesker til å bli mer skeptiske? Er det positivt for samfunnet?

Nordmenns høye tillit til sine omgivelser er veldig positivt og bidrar til at vi lever i det samfunnet vi har i dag. Tillit kan være en sosial styrke, men baksiden av tillit er at vi kan være lette å lure. I møtet med andre krefter som har en betydelig større vilje til å bruke kyniske og manipulerende metoder er ikke nødvendigvis tillit den beste forsvarsmekanismen. Likevel bør ikke enkeltindivider som blir offer for nettsvindel stemples som naive eller dumme. De som gjør dette mot oss er profesjonelle aktører. På riktig tidspunkt og med den rette svindelmetoden vil vi alle bli lurt. Uansett hvor skeptiske og «smarte» vi måtte være.

Kanskje burde vi gjøre som bilbransjen i enda større grad. De har produsert tekniske løsninger i biler som over tid har ført til gode sikkerhetstiltak som å varsle, hjelpe, eller overta i situasjoner som er farlige for oss. Situasjoner som ofte er skapt av sjåføren selv.

Vi må nok leve med risikoen knyttet til e-post. Men vi bør likevel forbedre de teknologiske og de menneskelige sikkerhetstiltakene. Det har liten hensikt å gjøre det ene uten å gjøre det andre. Men kanskje i dette tilfellet skal vi lene oss mer på de teknologiske tiltakene enn å forsøke å få folk til å bli mer kyniske og skeptiske. Kanskje har det en større verdi at vi forblir litt godtroende og har høy tillit til hverandre?

Eller kanskje det bare er meg som er påvirket av adventstiden?