Säkerhetskultur

Exempel på hur man kan arbeta för att minska riskbeteenden

Publicerat: 
2016-02-15

På Näringslivets Säkerhetsdelegations årsseminarium som hölls den 4e februari i år, berörde flera talare hur anställdas beteenden påverkar säkerheten inom företag. Till exempel så talade Lars Korsell, forskare på Brå, om infiltration. Han nämnde bl.a. fem sätt att infiltrera: förvärv av befintliga företag, bilda nytt bolag, utpressning, kapning av bolag och insider [1].

På samma årsseminarium visade Jan Persson, koncernsäkerhetschef på SEB, filmer som tagits fram i utbildningssyfte, med handling som bygger på verkliga händelser. Handlingen berör till exempel bedrägerier som möjliggörs av personal som av olika skäl, ofta beteenderelaterade, tummar på rutiner och kontroller. Största hoten är enligt SEB: cyber crime, kriminella grupper med värvning av insiders samt social engineering [2].

Både Korsell och Persson målar upp en bild av hur utomstående på olika sätt manipulerar andra att begå misstag, att ge ifrån sig information eller kontroll, genom att utnyttja brister i beteenden och rutiner.

För att få en insikt i vad en människa kan bli utsatt för kan vi hämta exempel från statlig underrättelseverksamhet som bedrivs runt om i världen. Tore Forsberg, före detta chef för Säpos kontraspionage,  berättar att sovjetisk underrättelsetjänst ofta inhämtade information genom personlig kontakt, genom smicker och utdelad uppskattning, men även genom direkt ersättning. Vanligt var att bygga upp ett förtroende och förhållande för att på så sätt förmå en person att lämna ut hemlig information [4]. Detta är en hotbild som stämmer väl överens med den presenterades av Korsell och Persson [1,2] och som Torbjörn Britz beskriver i sin bok om Social Engineering, dvs manipulation av personer, att få dem att utföra något som inte nödvändigtvis ligger i deras intresse, eller att på något sätt dela med sig av hemlig information. Social Engineering bedöms alltså som nämnts tidigare, vara ett av de största hot SEB ser idag. Det finns alltså slående likheter mellan den verklighet ett företag befinner sig i rörande informationssäkerhet i form av hot och angreppssätt,  och statlig underrättelseverksamhet.

Britz hävdar att den svagaste länken inom säkerhetsområdet är och förblir människan och vårt beteende [5]. Därför borde det vara av stor nytta att regelbundet arbeta med att förbättra säkerheten genom att ständigt arbeta med just människor och beteenden. Detta kan göras till exempel genom att regelbundet, i grupp, arbeta med olika fall och baserat på dessa arbetar fram regler och riktlinjer. Att arbeta i grupp inom företaget kan dessutom bidra till en god förståelse för säkerhetsarbete och en acceptans för framtagna regler.

Fall att arbeta med kan vara av olika typer och här följer några exempel.

Det är inte ovanligt att på tåg höra personer, ofta i chefsposition, diskutera högt och ljudligt så att de flesta i vagnen hör vad som sägs. Det har förekommit att personer på detta sätt diskuterat marginal på produkter, kommande offerter och ännu ej offentliggjorda affärer och strategier.

I ett annat fall, också det på tåg, loggar en person in på sin dator. Förmodligen omedvetet, bokstaverar hon högt och ljudligt, tecken för tecken, det lösenord hon just knappar in. På locket på hennes dator kan man läsa hennes namn, företag hon jobbar på samt datorns id. Hon har också lösenord nerskrivet på små lappar.

Dessa två situationer beskrivna ovan är verkliga händelser.

Det finns också åtskilliga berättelser från spionvärlden där pubar och restauranger använts för att inhämta information, bygga upp infiltration och rekrytera spioner. Restaurang Tennstopet i Stockholm nämns ofta både som rekryteringsplats och plats att tjuvlyssna på [6,7]. Tennstopet är ett känt tillhåll för journalister, vilket torde vara en intressant grupp ur underrättelsesynpunkt. Idag skulle man kunna diskutera om krogar som frekventeras av IT-folk eller höga chefer skulle kunna tjäna samma syfte. En viktig del i scenariot är förekomst av alkohol i kombination med att en känsla av att en restaurang på något sätt är en säker plats, att det är hemma.

Baserat på denna typ av scenarion, skulle man kunna komma fram till regler av typen:

  • Diskutera aldrig arbetsuppgifter på offentliga platser.
  • Publicera aldrig jobbrelaterad information på sociala medier.
  • Lösenord får inte skrivas ner på papper.
  • Datorer och annan utrustning får inte märkas med information annat än företag, id-nummer och företagets telefonnummer.
  • Dela aldrig information med personer som inte är i direkt behov av den. Det inkluderar vänner och bekanta.
  • Alkohol får inte förtäras i samband med att känslig information diskuteras eller hanteras.
  • Tala inte om dina lösenord för någon som kontaktar dig, inte ens support.

En annan risk är hemlig information som glöms kvar på olämplig plats eller stjäls. För att åter igen anknyta till statlig underrättelsetjänst kan vi se på ett uppmärksammat fall som handlade om en officer på MI5 som för några år sedan glömde kvar en portfölj med hemlig information på ett tåg. Det var det fjärde fallet av borttappade papper för MI5 det året [8]. Denna typ av risk högst relevant för många företag. Mycket information flyttas på papper, datorer, USB-minnen med mera och man skulle kunna ifrågasätta om det verkligen behövs.

Att som i detta exempel med MI5, utgå från ett externt fall och använda det som grund för diskussionen, kan medföra att risker man aldrig tänkt på förut uppdagas. Att enbart utgå från sådant som hänt i det egna företaget gör att man kan missa att förhindra något som aldrig inträffat förut. Förbättringsarbete baserat på denna typ av förlustscenarion skulle kunna resultera i regler och riktlinjer som:

  • Bär inte på information i onödan. En pärm, dator eller ett USB-minne  kan tappas, kopieras eller stjälas. Minimera risken helt genom att inte ta med dig information du inte behöver, eller eliminera risken helt genom att inte ha med dig information alls.
  • Kontrollera att White boards är suddade och att det inte finns kvarglömda dokument kvar innan du lämnar ett konferensrum.
  • Information som transporteras ska vara krypterad.
  • Lås datorn när du lämnar den.
  • Använd aldrig sleepmode på datorn, stäng av den helt.

Beroende på verksamhet kan man till exempel även beakta möjligheten att man är avlyssnad och då kunna komma fram till följande direktiv:

  • Använd företagets epostlösningar och lagring för jobbändamål, inte något annat system. Maila till exempel inte över dokument till din privata webmail i syfte att kunna ladda ner den på din privata surfplatta och komma åt den överallt.
  • Använd inte publika okrypterade W-lan, till exempel på kaféer eller flygplatser.

Exemplen på fall, regler och rekommendationer ovan är inte tänkt att vara något som är generellt rätt för alla verksamheter. Det är exempel på regler man skulle kunna komma fram till genom att beakta verkligheten man verkar inom, genom att arbeta som personer med stor erfarenhet av underrättelseverksamhet: att bygga upp en säkerhetskultur, rätt beteenden, regelverk, rutiner och arbetssätt samt att förutsätta att den information ni hanterar faktiskt är viktig och eftertraktad av andra.

 

Referenser

[1] Näringslivets Säkerhetsdelegations (NSD) årsseminarium, 2016-02-04. Föredrag av Jan Persson, Koncernsäkerhetschef SEB.

[2] Näringslivets Säkerhetsdelegations (NSD) årsseminarium, 2016-02-04. Föredrag av Lars Korsell, Jur.Dr, forskare på Brå.

[3]. Mitchell Pat, Isaacs Jeremy (producenter), Cold War, Episode 21 ”Spies”, 1998. Intervjuer med Generallöjtnant Oleg Kaluging, f.d. chef för KGB:s kontraspionage.

[4] Johansson Fredrik, Hansson Kristoffer, 2005. P3 Dokumentär - Stig Bergling. Sändes på Sveriges Radio P3 den 6e juni 2005. Intervju med bland annat Tore Forsberg, f.d. chef för Säpos rotel för kontraspionage.

[5] Britz Torbjörn, 2012. Social Engineering – Ett beteendebaserat hot, TUK Förlag AB

[6] Forsberg Tore, Grigorjev Boris, 2006. Spioner Emellan, Bokförlaget Efron & Dotter.

[7] Svahn Clas, 2008. Historien om en svensk spionjägare, Dagens Nyheter 2008-10-02. Artikel om Tore Forsberg, Säpo. 

[8] http://news.bbc.co.uk/2/hi/uk_news/1064917.stm

Skribent(er): 
Anders Karlsson

Att etablera säkerhetskultur – hur gör man?

Publicerat: 
2015-10-30

Informationssäkerhet uppnås i stor utsträckning genom att organisationer har förmågan att skapa förutsättningar för en säkerhetskultur hos alla delar av verksamheten. Effekterna av en väl förankrad säkerhetskultur är flera, i synnerhet:

  • Riskerna för säkerhetsincidenter beroende på okunskap eller slarv minskar avsevärt, och dessutom reduceras även konsekvenser för verksamheten. Ledtiderna vid incidenter minskar eftersom personal agerar i ett tidigare skede, vilket innebär att effekterna inte hinner bli omfattande.
  • Värdet i att säkerhetsåtgärder införts har tydligt motiverats inom alla delar av verksamheten, vilket i grunden krävs för påverkan av attityder avseende säkerhet. På detta sätt är det lättare att höja säkerhetsnivån i ett senare skede, om hotbilden exempelvis förändras.

Upprättade säkerhetsåtgärder avseende operativa risker må vara effektiva i teorin, men är i praktiken fruktlösa om de inte efterlevs. Hur inför man då ett grundläggande säkerhetstänkande? Utbildning av personal är den självklara vägen att gå för att ta de första stegen mot att skapa förutsättningar för en god säkerhetskultur. Utbildning ingår dessutom i de högst prioriterade förbyggande åtgärderna som avsatts inom säkerhetsbudgeten för de flesta organisationer 1. Vad är då avgörande med ett sådant upplägg och helt enkelt framgångsfaktorer som bör ingå för att nå fram med denna ambition?

 Redogör för de kostnader brister i säkerhetskultur inneburit historiskt. Flertalet händelser av exempelvis dataintrång inom bank, myndighet, och t.o.m. säkerhetsföretag vittnar om detta. Hur hade de kunnat undvikas med en tillräckligt god säkerhetsmedvetenhet? Vilka risker finns förknippade med den bransch man befinner sig i? Vilka blir de kortsiktiga och långsiktiga effekterna för en verksamhet, hur påverkar det anseendet och verksamhetens personal? Hög igenkänning hos målgruppen och en tydlig koppling till sammanhanget krävs för mottaglighet för ditt budskap.

 Redogör för konsekvenser som bottnar i enkla misstag eller ren okunskap. Vad kan (och har) de lett till, vilka interna rutiner avseende säkerhet har negligerats, och hur hade ett strukturerat säkerhetsarbete påverkat utgången? Rutiner finns av en anledning, men om man inte påminns om varför, så är det lättare att ens beteende följer ett invant mönster. Man gör som man alltid gjort, utan att egentligen tänka igenom varför.   

 Förmedla vilka mindre åtgärder som drastiskt minskar risker i det dagliga arbetssättet, exempelvis för att förhindra att affärskritisk information hamnar i orätta händer, eller till och med förloras. Små steg avseende förändring är att föredra eftersom för stora avsteg ifrån vårt nuvarande arbetssätt är något vi generellt drar oss för. Risken är då stor att en strävan efter förändring misslyckas på grund av en orimligt satt ambitionsnivå.    

 Väck tankarna på det faktiska värdet i den information som hanteras inom organisationen. Hanteras den utifrån sitt affärskritiska värde? När bilagor skickas i mail, i samtal på väg till arbetet, eller på affärsresa och den bärbara datorn innehåller sekretessbelagda kundavtal?  Genom att få upp ögonen för sina dagliga förehavanden är det mycket enklare att inse vad man kan förbättra och de risker det är nödvändigt att få upp ögonen för.

 Befäst säkerhetsmedvetenheten du skapat genom att repetera budskapet, med jämna mellanrum. Varför inte låta kreativiteten flöda och utforma en säkerhetsfrågesport internt som väcker tävlingsinsikten, eller skapa utskick med nyheter inom säkerhetssfären? För att etablera en god säkerhetskultur är en utbildning som punktinsats en bra start, men inte tillräckligt för hållbarhet över tid.

Det tar tid och det krävs engagemang för att etablera en säkerhetskultur, men ansträngningarna leder till en höjd säkerhetsnivå, ger konkurrensfördelar, och stärker verksamhetens varumärke. Frågan är om du vidtagit de nödvändiga åtgärder som krävs för att skydda din verksamhets tillgångar?

Referenser

1. http://www.pwc.com/gx/en/issues/cyber-security/information-security-surv...

Skribent(er): 
Filip Crona