Att lyssna på användarna ökar säkerheten

Informationssäkerheten är viktig i dagens samhälle, men de som är ansvariga brister i förståelsen för användarnas behov och också i respekt för deras arbete. Det här visar forskning vid Örebro universitet, som också föreslår mer användarvänliga säkerhetslösningar som ett sätt att höja säkerheten.

– En majoritet av alla säkerhetsincidenter orsakas av anställda, som inte följer säkerhetsregler. Samtidigt påverkas deras säkerhetsbeteende av deras professionella värderingar, de gör avkall på säkerheten för att kunna göra ett bra jobb.

Det säger Ella Kolkowska, som i sin doktorsavhandling i informatik vid Örebro universitet, studerat motsättningen mellan policy och regler för informationssäkerhet och hur de fungerar i praktiken. Hon har studerat hur informationssäkerheten fungerar på ett par sjukhuskliniker, behandlingshem för ungdomar och på universitetet.

– Det var när jag kom med i en grupp som studerade datasäkerheten vid universitetet för att utforma nya regler, som intresset väcktes för att forska på det här området.

Ingen frågade varför

Hon upptäckte att det inte fanns någon som frågat varför människor inte följer de regler som finns. Säkerheten innehåller kontrollmekanismer, säkerhetsåtgärder, disciplin och straff.

– När läkare vikarierar på en annan klinik på sjukhuset och går in i en patientjournal kan de få ett e-postmeddelande om ”misstänkt dataintrång”, vilket de uppfattar som både hotfullt och kränkande. På ungdomshemmet hade man skapat ett IT-baserat journalsystem, som inte gav tillräckligt utrymme för personalen att beskriva klienternas tillstånd tillräckligt utförligt och hittade man andra vägar, som kolliderade med säkerhetsreglerna.

Det här är exempel på att säkerhetsområdet hämtar sitt tänkande från teknik och militär, människan syns inte och användaren ett problem.

– Man ser människor som illvilliga, men människor vill väl, de vill göra ett bra arbete på ett effektivt sätt och jag redovisar hur man ska arbeta för att det ska gå att följa reglerna, säger Ella Kolkowska.

Användarvänligt

Det handlar om att få policydokumenten att fungera för användarna. Vad säger policydokumenten? Hur ska man göra? Vad får man inte göra? Genom intervjuer med dem som skapar föreskrifterna får man fram vilka mål och värderingar som ska finnas i policyn. Men man ska också intervjua användarna och dokumentera hur de arbetar i praktiken. I en ”complianceanalys”, alltså en analys av hur reglerna följs får man fram om reglerna fungerat eller inte. Blir resultatet ”non-compliance” får man undersöka varför det inte fungerade. Det kan vara fel på regelverket, men det kan också vara så att det fattas utbildning, att man måste rikta en speciell utbildning till användarna för att få säkerheten att fungera.

– Människor måste kunna känna sig trygga när de lämnar ut personliga uppgifter, betalar skatt eller handlar på internet och därför måste informationssäkerheten fungera. Med min metod går det att finna säkerhetslösningar som är användarvänliga och som höjer säkerheten, säger Ella Kolkowska.

Text: Lars Westberg