Ira Winkler var blant foredragsholderne under ISFs høstkonferanse i denne uken, hvor han anbefalte en spilllignende tilnærming når bedriften skal gjøre de ansatte mer bevisste på IT-sikkerhet. (Foto: Harald Brombach)

– Involver de ansatte i IT-sikkerheten

Sikkerhetsekspert anbefaler spilltilnærming for å øke bevisstheten.

STRÖMSTAD (digi.no): Ira Winkler regnes blant verdens mest innflytelsesrike sikkerhetsspesialister. Han er president i Information Systems Security Association og i selskapet Secure Mentem, hvor han også er blant gründerne. Tidligere har han vært sjef for sikkerhetsstrategi hos blant annet HP Consulting. I går besøkte han høstkonferansen til Norsk informasjonssikkerhetsforum (ISF), som denne uken arrangeres i Strömstad, Sverige.

Under et foredrag om hvordan man i en bedrift kan skape en sterk sikkerhetskultur, fortalte Winkler at svært mange bedrifter angriper dette på helt feil måte.

– Det handler om atferd, ikke om at man får et sertifikat etter et kurs. Det handler om at virkelige mennesker putter en USB-pinne inn i en fremmed pc. Det handler om hvordan de opptrer når de får en virkelig phishing-melding, sa han.

NSA

Winkler har blant annet vært ansatt av NSA som etterretnings- og datasystemanalytiker, for et par tiår siden. Mens han jobbet der kom ble det ansatt en person som het Kirk til etternavn. Vedkommende hadde først fått tre dagers opplæring i NSAs sikkerhetskultur. Da Winkler møtte vedkommende, spurte han om passordet hennes var «Captain». Ifølge Winkler har trolig svært mange som heter Kirk passordet «Captain» (det behøver vel ikke forklares, men ...).

Fru Kirk var svært overrasket over hvordan han kunne gjette dette. Ifølge Winkler var dette en smart person med universitetsutdannelse.

– Det var sikkerhetspersonalet som ikke hadde lært henne at dette var en dårlig idé. Bak enhver dum bruker står det en dum sikkerhetsansatt, som kommer med feil antakelser om brukerne, sa Winkler.

Ha la til at problemet med sikkerhetsfolk er at de antar at ting er allment kjent.

– Ikke anta at folk har denne kunnskapen, understreket Winkler.

Han fortalte deretter en annen fortelling fra NSA-miljøet, hvor en person hadde vært på besøk og fått en omvisning i en av datahallene til etaten. Under omvisningen ble personen litt sliten og følte behov for å lene seg på veggen. Tilfeldigvis traff han hovedbryteren til serverhallen og alt ble skrudd av.

– Hvorfor var det så lette å treffe bryteren? Hvor ofte stopper man opp og tenker over hvordan ting som dette skjedde?

Hva er så sikkerhetskultur?

– Kultur er samlingen av atferder. Kulturen fører til redusert eller økt skade etter uhell. God sikkerhetskultur fører til sparte penger, mener Winkler.

– Bevissthet handler derimot om å endre atferd. Det handler ikke om å gå gjennom en test og klare minst 90 prosent riktige. Det er trening. Å se på videoer om sikkerhet skaper ikke bevissthet, sa Winkler og hevdet at de fleste opplæringsprogrammer for bevissthetsendring feiler fordi de egentlig handler om trening, ikke bevissthetsendring.

– De fleste selskaper bruker ikke penger på bevissthet.

Å se på videoer om sikkerhet skaper ikke bevissthet Hvordan?

Winkler mener at det handler om å få IT-brukerne involverte, interesserte og til å tenke. Han anbefaler interaktive tilnærminger som også kan være underholdende.

– Spilltilnærming brukes på en rekke områder, som innen mosjon, markedsføring og lojalitetsprogrammer med rabatter og lignende. De forsøker alle å skape lojalitet til et varemerke, og det skjer frivillig, sa Winkler.

Hvordan kan dette overføre til IT-sikkerhet?

– Se etter de gode erfaringene i praksis og belønn folkene for dette. Men det er ikke et spill, og det må ikke være en engangsgreie, men noe som varer, sa Winkler.

Han understreker at ordningen må ha klart definerte mål, klart definerte belønninger og målene må være oppnåelige.

– Det er reglene som gjør spill som fotball eller golf interessante. Begrensningene skaper utfordringer, og det gjør spillene morsomme. Men man må også ha tilbakemelding om hvordan man gjør det, altså resultater, sa Winkler.

Om belønningen sa Winkler at den bør være basert kulturen i selskapet. Han fortalte at i Salesforce.com, hvor toppsjefen Marc Benioff skal være mer enn gjennomsnittlig opptatt av Star Wars, brukes ulike Star Wars-orienterte jakkemerker som belønning for oppnådde mål.

Winkler mener at man også bør gi belønning for at folk slutter med å gjøre uheldige ting, som å se på porno i arbeidstiden, men mest poeng til brukere som bidrar, for eksempel når de melder om et problem eller deler sine erfaringer med andre gjennom et foredrag eller et notat.

Vennlig

Winkler understreket at sikkerhetsansatte ikke må skremme brukerne fra å gjøre ting.

– Ikke vær Darth Vader, men en vennlig person som folk kan snakke med, sa han til deltakerne på konferansen. Mange av disse er ansvarlige for IT-sikkerheten på sin arbeidsplass.

– Vær avdelingen for hvordan, ikke for «nei», sa han. For brukerne kommer til å besøke Facebook på jobben uansett. Da er det bedre at de gjør det på en måte som er trygg, i alle fall for bedriften, for eksempel med smartmobilen over det det ikke fullt så godt sikrede WLAN-et.

Bedriftens superhelt

Dette er ganske i tråd med et lite stunt Buypass gjør for tiden. digi.no møtte salgssjef Trygve Daae og sikkerhets- og kvalitetssjef John Arild A. Johansen under konferansen. Sistnevnte har fått æren av å være modell for ny kampanjefigur i selskapet.

John Arild A. Johansen i Buypass med «Super-John».
John Arild A. Johansen i Buypass med «Super-John». Bilde: Harald Brombach

– Ved å gjøre sikkerhetssjefen til bedriftens superhelt, vil vi forsøke å ufarliggjøre dette med sikkerhet. For flest vil ikke ha noe med sikkerhet å gjøre, fortalte de to.

I hvilken grad kampanjen virker, vil kanskje vise seg. Men Johansen fortalte at Buypass allerede hadde fått mye oppmerksomhet for dette under konferansen.

Salgssjef Trygve Daae i Buypass vil både ufarligjøre og sette fokus på IT-sikkerheten i bedrifter.
Salgssjef Trygve Daae i Buypass vil både ufarligjøre og sette fokus på IT-sikkerheten i bedrifter. Bilde: Harald Brombach

Men han og Daae hadde også noen litt mer alvorlige ting å komme med. Blant annet kunne de fortelle at en rekke virksomheter i Stavanger-området, også relativt store aktører, lar de ansatte logge seg inn på Office 365 med bare brukernavn og passord. Med den senere tids passordtyverier, med over én milliard passord i det verste tilfellet, er det ikke usannsynlig at uvedkommende vil kunne logge seg inn på noen av disse kontoene. For svært mange bruker det samme passordet flere steder.

– Disse aktørene har ikke tenkt over sikkerheten. De har ikke innlogging med to faktorer. Det må i alle fall være en kode i tillegg. Det burde være standarden for alle, sa Daae. Han understreket dog at det også er stor forskjell på sikkerheten til ulike to-faktor-løsninger.

Daae nevner også at det finnes relativt store, norske nettsteder som lar brukerne logge seg på uten at sidene er krypterte. Buypass har også forsøkt å gi råd til en stor kunde som lar innloggingsskjemaet ligge på en ukryptert side. Innloggingsinformasjonen sendes likevel kryptert, men fordi siden ikke er sikret med et sertifikat, er det enkelt å forfalske den. Den aktuelle kunden har likevel ikke villet endre oppsettet.

    Les også:

Til toppen