Säkerhetskultur i fokus – Intervju med Dr. Eric Lang: ”Den anställde menar väl, men det skapar risk.”
Dr. Eric Lang, expert på beteendevetenskap och insiderprevention, samt medlem i SRI:s Advisory Board, besökte under slutet av förra året Stockholm för att dela sin forskning om insiderhot och säkerhetskultur.
I en intervju med SäkerhetsBranschen delar han med sig av sina insikter om hur organisationer – även små företag utan HR- eller säkerhetsavdelning – kan förebygga risker och stärka sin säkerhetskultur.
Den här intervjun är en utökad version av den ursprungliga intervjun med SäkerhetsBranschen.
I din forskningsartikel Seven Science-Based Commandments, skriver du att insiderhoten ökar. Är hotet ett växande problem? Ökar antalet incidenter?
”Ja, insiderhot och incidenter ökar, tillsammans med ökningar i antalet inblandade personer och fall med höga kostnader och negativa konsekvenser,” säger Dr. Eric Lang.
Han påpekar att det finns flera typer av incidenter som är viktiga att särskilja. Den ena orsakas av illvilliga attacker, såsom att anställda försöker stjäla information eller skada sin arbetsgivares verksamhet, medan en annan typ är icke-illvillig, till exempel när anställda inte menar skada men gör misstag, inte följer säkerhets- eller trygghetsrutiner eller oavsiktligt skapar en sårbarhet som en angripare kan utnyttja.
Dr. Lang förklarar att oavsiktliga och icke-illvilliga insiderincidenter är vanligare än illvilliga insiderincidenter. Till exempel orsakas dataläckor oftare av anställdas misstag och misslyckanden att identifiera social engineering och phishingförsök.
”När det gäller icke-illvilliga insiders finns det också flera typer. En typ innebär misstag av anställda som saknar kunskap om säkerhetsrutiner eller som inte har tillräcklig säkerhetsmedvetenhet, vilket ofta beror på dålig säkerhetsutbildning.
En annan typ av icke-illvillig risk involverar anställda som känner till säkerhetsreglerna men väljer att böja eller bryta dem i en felaktig tro att det är ett rimligt sätt att hjälpa deras organisation – till exempel genom att ta hem hemligstämplad information för att hjälpa sin chef att hålla en viktig deadline. Den anställde menar väl, men det skapar risk.
Det händer vanligtvis när säkerhetskulturen uppfattas av anställda som att vissa säkerhetspolicys kan böjas eller brytas baserat på de anställdas preferenser och uppfattningar om vanliga lösningar. Med andra ord anses det vanligt och normalt att inte följa vissa säkerhetspolicys,” säger Dr. Lang.
Det är viktigt att alla i en organisation förstår sin säkerhetskultur och organisationskultur, och accepterar att organisationer snabbt måste kunna identifiera och mitigera risker när anställda kringgår säkerhetsrutiner, även om de gör det med goda avsikter.
En betydande del av problemet är att organisationer inte förstår eller mäter hur vissa policyer och säkerhetsrutiner skapar svårigheter för anställda – svårigheter som skulle kunna mildras om organisationer hade bättre diskussioner med de anställda och var mer öppna för att utforska kreativa lösningar. När organisationer inte gör detta hittar de anställda ofta egna lösningar, som är mer riskfyllda.
I den bästa av världar hjälper ledning och linjechefer medarbetarna att förstå och bli en del av organisationskulturen, så att alla känner ett personligt ansvar för en organisationskultur som främjar säkerhet, trygghet och välbefinnande för alla anställda och andra intressenter.
Nyckeln är ömsesidigt respektfulla diskussioner mellan anställda i verksamheten, chefer och ledning.
Hur ser du på medvetenheten kring dessa risker?
Dr. Eric Lang säger att många företag och myndigheter fokuserar för mycket på att skydda sig mot illvilliga angripare, vanligtvis genom att köpa tekniska lösningar som övervakning av datornätverk.
”Om man spenderar pengar på teknik tror man att ofta att man har agerat och implementerat en tillräcklig lösning. Tyvärr hanteras kritiska mänskliga faktorer och organisationskulturfrågor vanligtvis inte. Att stärka säkerhetskulturen kräver ofta tid på plats tillsammans: att sitta ner i små ”psykologiskt säkra” grupper, diskutera policyfrågor, förstå avvägningar och ta upp oro. Chefer oroar sig ofta för de extra arbetstimmarna vid sådana fysiska möten.
Dock förbiser chefer och ledning ofta riskerna och den globala evidensen för att när något allvarligt händer kommer kostnaderna att bli betydligt högre än mötestiden,” säger Dr. Lang.
Intressant nog, tillägger Dr. Lang, visar forskning konsekvent att förbättrad organisationskultur och medarbetarengagemang – även om det ursprungliga fokuset låg på säkerhet och trygghet – vanligtvis leder till viktiga sekundära fördelar, såsom högre medarbetarproduktivitet och förtroende, mindre utbrändhet och lägre personalomsättning.
Vad är betydelsen av säkerhetskultur kopplat till ”den mänskliga faktorn”?
Dr. Lang börjar med att definiera organisationskultur som ”de uppfattningar, antaganden och värderingar som påverkar medarbetarnas förväntningar och beteenden”. Han betonar vikten av att hjälpa anställda att förstå etik, praktikalitet samt säkerhets- och trygghetsfrågor bakom policyer som övervägs och implementeras.
”Om anställda tror att de kan få mer arbete gjort eller avancera i karriären genom att böja eller ignorera en säkerhets- eller trygghetspolicy—och organisationer antingen inte är medvetna om det eller blundar på grund av vinstmotiv eller sviktande ledarskap—kommer säkerhetsincidenterna att öka.
När avvikelser från säkerhetspolicys tyst accepteras som de ”outtalade reglerna” för att kunna vara effektiv och ligga steget före, kommer riskfyllda beteenden och kostsamma problem att öka. Detta visar forskning på organisationer över hela världen,” säger Dr. Lang.
Säkerhetsrisker under pandemiåren
Under pandemiåren saknade många organisationer tydliga regler för säkerhet för anställda som plötsligt behövde arbeta hemifrån. Följaktligen fattade de anställda fler beslut på egen hand, såsom att integrera arbets- och personliga datorer för att få arbetsuppgifter gjorda.
Samtidigt, utan avsiktlig ledning för att upprätthålla en stark organisationskultur, begränsade distansarbete ibland fördelarna med personliga upplevelser som bygger förtroende, engagemang och en kultur av ömsesidigt engagemang, särskilt för nya medarbetare. Utan det hjälpsamma ”kulturella limmet” ökade riskerna för insiders.
”Statistik visar att insiderincidenter – misstag och brottslig aktivitet – ökade under Covid-pandemin. Dessutom förvärrades ofta beteenden hos missnöjda anställda och personer med illvilliga avsikter på grund av oförberedda chefer som också jobbade på distans,” säger Dr. Lang.
Forskning visar att distansarbete kan vara lika (eller mer) produktivt, tryggt och säkert som kontorsarbete, men det kräver medvetna och stödjande ledare tillsammans med lämpliga säkerhets- och HR-policys.
Många företag är så små att de förmodligen inte har någon HR-, säkerhets- eller juridisk avdelning. Vilka tips har du till dem?
”Småföretag kan och bör fortfarande ha ett insiderpreventivt program. De bör åtminstone ha ett rättvist och effektivt ”Sett något? Säg något!”-program som inkluderar ett tydligt budskap om att anställda inte behöver undersöka tvetydiga bekymmer själva.
Istället bör anställda känna sig bekväma med att rapportera oron och lita på att organisationen snabbt följer upp med en rättvis och konfidentiell bedömning och åtgärd, om det behövs. Bra ”Sett något? Säg något!”-program engagerar medarbetarna och bygger organisatoriskt förtroende, så att de känner att det är okej att rapportera även vid osäkerhet,” säger Dr. Lang.
Han säger att statistiskt sett anses rapporterade bekymmer oftare vara HR-frågor snarare än säkerhetsfrågor. Till exempel kan en anställd visa oroande beteenden eftersom de kämpar med ett tidigt stadium av alkohol- eller drogproblem, en familjekris, en stressande livshändelse eller helt enkelt behöver extra stöd. Han betonar vidare att småföretag har en fördel.
”Om du arbetar på ett företag med bara 15 personer kommer VD:n sannolikt att känna alla och kan bygga relationer och förtroende med varje anställd, vilket skapar en stark organisationskultur av engagemang, ömsesidig pålitlighet och samarbete. Det är något som VD:ar för större företag inte kan göra,” säger Dr. Lang.
Ser du några trender bland illvilliga aktörer i deras sätt att arbeta?
”Forskning i många länder visar att även små kriminella gäng blir mer teknologiskt avancerade och samarbetar med liknande grupper i andra regioner, vilket gör dem starkare och bättre rustade att genomföra större attacker, såsom stöld och störningar.
För både illvilliga och icke-illvilliga insiderrisker innebär det faktum att vi alla är mer sammankopplade via informationsnätverk att även små misstag av insiders kan få stora konsekvenser – såsom massiva dataläckor och sårbarheter för angripare – eftersom informationssystemen berör så många databaser och verksamheter,” säger Eric Lang.
Dr. Eric Langs forskning visar att även om icke-illvilliga och oavsiktliga insiderrisker överlag är mer vanliga och skadliga än illvilliga insiderincidenter, fortsätter företag och regeringar att ignorera eller misshantera icke-illvilliga risker. Och en del av denna misskötsel är den felaktiga tron att teknologiska lösningar är tillräckliga.
För att hantera illvilliga och icke-illvilliga insiderrisker kräver de största luckorna och möjligheterna insikter, policyer och verktyg som fokuserar på mänskliga faktorer, psykologi och organisationskultur.
Dr. Lang understryker att även småföretag kan bygga starka säkerhetskulturer genom förtroende, tydliga rapporteringsvägar och engagerat ledarskap. Att arbeta med mänskliga faktorer är ofta det mest effektiva sättet att förebygga incidenter, och det är något vilken organisation som helst, oavsett storlek, kan göra.