Säkrare datasystem om man lyssnar på medarbetarna

Risken för hackerattacker och bedrägerier kan minskas om riktlinjer för datasäkerhet utgår från svenska förhållanden och vardagen för de anställda. Det visar forskning vid Örebro universitet.

Marcus Gerdins forskning vid Örebro universitet handlar om att förstå varför anställda väljer att inte följa riktlinjer för informationshantering och datasäkerhet. Tidigare forskning har visat att medarbetarnas beteende är en av de största orsakerna till att exempelvis hackerattacker lyckas slå ut datasystem. Men det är svårt att följa regler som inte är anpassade till arbetet.

– För medarbetarna krockar vardagen ibland med anvisningarna om hur man ska hantera lösenord eller e-post. I vården ska en sjuksköterska eller läkare exempelvis lägga tid på patienterna så när informationssystemen tar tid skapas en värdekonflikt för medarbetaren, säger Marcus Gerdin, forskare i informationssäkerhet vid Örebro universitet.

Göra det bästa för medborgarna

Marcus Gerdin intervjuade anställda i en kommun och studerade hur de ser på anvisningar kring informationssäkerhet. Han upptäckte ett argument som förbises i forskningen och som sällan noteras i arbetet med informationssäkerhet: viljan hos kommunanställda att göra det bästa möjliga för brukarna i kommunen.

– De kommunanställda oroade sig inte för konsekvenserna för sitt eget jobb om de exempelvis klickade på en farlig länk. De tänkte snarare på konsekvenser för tredje part, alltså för brukare eller personer som är beroende av tjänsterna för att klara sig och överleva, förklarar Marcus Gerdin.

Kulturell anpassning krävs

I forskningen tolkas ”konsekvenser” som att den enskilde kan bli av med jobbet, att det kostar pengar för organisationen och liknande. Men de kommunanställda var i första hand oroliga för vad det skulle innebära för de personer de var satta att hjälpa. Om man vet det, kan policyn anpassas och bidra till säkrare informationshantering. Att mycket av forskningen på området kommer från USA påverkar också förståelsen för hur anställda har det på jobbet.

– I en annan kultur kan rädslan för att bli av med jobbet vara större, och då kan det vara effektivt att formulera en policy utifrån det. Men om den rädslan är mindre än omsorgen om dem man är satt att hjälpa är det bättre att ta fasta på de anställdas motivation för att få dem att hantera bluffmejl eller inloggningar på rätt sätt. Det får man bara reda på om man faktiskt utgår från de anställda, säger Marcus Gerdin.

Morot bättre än piska i Sverige?

– En stor fråga inom informationssäkerhet är om man ska använda piska eller morot. Men om man använder piska och straffar felaktiga beteenden leder det till ökad kontroll på arbetsplatsen. Det kan vara dåligt av andra skäl. Kanske passar det bättre att jobba med morötter på svenska arbetsplatser, frågar Marcus Gerdin.

Marcus Gerdins slutsats är att det finns brister i forskningen på området, som bygger på lånade beteendeteorier från andra forskningsfält och därför inte fullt ut förklarar varför anställda inte följer anvisningar om informationssäkerhet. Det är exempelvis vanligt att man inte mäter det man definierat som problem och att det påverkar forskningsresultaten.

Marcus Gerdin, forskare i informatik på Handelshögskolan vid Örebro universitet: 019-302251 (kopplad till mobil)