Artiklar‎ > ‎

Informationssäkerhet och användbarhet

skickad 14 mars 2014 00:27 av Lennart Engvall   [ uppdaterad 14 mars 2014 00:32 ]
 av: Helena Innergård


Ingen kedja är starkare än dess svagaste länk, och när det gäller informationssäkerhet är den länken ofta människan, användaren. Otaliga är de historier där folk tappat USB-stickor på stan eller glömt datorer med känslig information på restauranger. Ett annat vanligt bekymmer är för svaga lösenord och att samma lösenord/kod används på flera ställen. Ytterligare ett exempel på när den mänskliga faktorn orsakat problem (av misstag) är den händelse som inträffade nyligen på Arbets­förmedlingen, där betydligt fler personer än som var avsett kallades till ett möte. Resultatet blev vad som närmast kan liknas vid en fysisk Denial of Service-attack när 60 000 arbetssökande samtidigt kom till kontoret.

I vissa fall handlar det förstås om rent slarv, eller kanske om bristande utbildning hos användarna i fråga, men många gånger skulle jag även säga att tekniken faktiskt inte är framtagen med användaren i fokus. Att hålla reda på många, bra, lösenord till exempel, är svårt! Jag har tidigare haft förmånen att arbeta en del med humancentrering och användbarhet och jag tycker det är ett väldigt intressant fält med stor betydelse även för säkerhetsområdet.

Ett visst problem uppstår dock i och med att det finns så många olika begrepp och formuleringar rörande human- och organisations­frågor som används inom forskning och i olika organisationer. Exempel på begrepp är MSI (människa-system­interakion),­ HF (Human Factors), HFI (Human Factors Integration), MDI (människa-dator­interaktion), MTO (människa-teknik-organisation). Flera av dessa områden har utvecklats från att från början lösa snävt formulerade problem, t.ex. människans kognitiva begränsningar i relation till teknik, eller gränssnitts­design, till att se till en större bild av människan i ett socialt och organisa­toriskt samman­hang. Trots olika begrepp på det forsknings- eller tillämpningsområde man känner tillhörighet till, så är problemen man upplever och studerar desamma. Hur får man människor och teknik att samspela på ett bra sätt i ett givet sammanhang och hur utvecklar man denna teknik? Hur inför man denna teknik på ett effektivt sätt och hur utbildar man användare? Vad krävs av organisationen i form av förändringar för att kunna utveckla, införa och använda användnings­värd teknik.

Centralt i dessa frågeställningar ligger begreppen användbarhet och nytta i användning. Användbarhet definieras av standarden ISO 9241-11 som:

”Den utsträckning till vilken en specifik användare kan använda en produkt för att uppnå specifika mål, med ändamålsenlighet, effektivitet och till­freds­ställelse, i ett givet användnings­sammanhang.”

Varför är då användbarhet så viktigt i informationssäkerhetssammanhang? Jo helt enkelt för att det som är enkelt att göra, det gör man. Det ska vara lätt att agera på det säkra sättet och det ska upplevas som det arbetssätt som är effektivast och stödjer mig bäst i min uppgift! Som informationssäkerhetsnörd gäller det att förstå att säkerhet är sällan självändamålet med någons uppgifter och om olika säkerhetsmekanismer och säkerhetsregler ständigt sinkar arbetet och hindrar folk från att lösa sin uppgift, så kommer reglerna inte att följas! Vad som i teorin kan låta som hög säkerhet för verksamheten (det vill säga du har väldigt säkra system på plats) kan alltså i praktiken bli betydligt lägre för att systemen inte används, eller inte används såsom det var tänkt. Istället hittas alternativa arbetssätt, kanske i mindre säkra systemmiljöer eller att säkerhetsregler inte efterlevs. Måste man göra avkall på säkerheten för att kunna göra ett bra jobb gör många just det!

Ur ett säkerhetsperspektiv är det till exempel bäst att användare inte har administratörsrättigheter på sin enskilda dator då det underlättar för IT-administrationen att ha full kontroll på vad som är installerat på datorn och att antivirus, brandväggar etc. är uppdaterade. Samtidigt finns det faktiskt många som i sitt arbete behöver kunna ha en viss flexibilitet och kunna installera program på egen hand. Minns att jag en gång läst en historia från en högskola där IT-administrationen ville ta bort just alla administratörsrättigheter i nätverket, och personalen fick påpeka att det nog skulle bli lite svårt för dem att då fullgöra sin uppgift - att lära studenterna att administrera nätverk… En bättre väg hade här varit att istället för att rakt av strypa alla lärarnas rättigheter, komma fram till en lösning i dialog med dem. Kanske etablera ett separat utbildningsnät för undervisningen, eller försöka minska riskerna för incidenter genom ytterligare utbildning.

Att utgå från användaren och dennes primära uppgifter när man implementerar säkerhet och ny teknik borde vara självklart men är många gånger lättare sagt än gjort. Forskning visar också att användarmedverkan mot slutet av processen inte alltid får önskvärd effekt utan snarare spär på bilden av ett vi-och-dom-förhållande mellan användare och utvecklare. Istället handlar det om att få med human- och användarperspektivet från början i beställningsprocessen och att det sedan skall finnas med kontinuerligt. Att kunna göra det kräver i många fall att man utvidgar det traditionella systemutvecklingsparadigmet och inkluderar förståelse för sådant som MSI/HF/MTO, meningsskapande (sense making) och organisationskulturers betydelse. 

Många gånger kämpar användbarhetsperspektivet lite i uppförsbacke när det kommer till systemutveckling men jag tror inte minst vi som arbetar med informationssäkerhet skulle ha mycket att vinna på att frågan kom upp högre på dagordningen! Hade humanperspektivet varit i fokus hade kanske lösenord aldrig blivit en etablerad metod för behörighetskontroll och okrypterade USB-minnen hade varit en raritet. När det gäller händelsen på Arbetsförmedlingen så hade troligen mailprogrammet fortfarande funnits, men kanske hade det haft en lite funktion som registrerade avvikande beteende och gav en varning – Vill du verkligen kalla 60 000 till det här mötet?

Comments