Vi har förtydligat hur vi behandlar personuppgifter och cookies.

Läs mer

En utskrift från Dagens Nyheter, 2019-03-22 05:45

Artikelns ursprungsadress: https://www.dn.se/debatt/repliker/inte-god-sakerhet-peka-pa-manskliga-faktorn/

Repliker

”Inte god säkerhet peka på mänskliga faktorn”

SLUTREPLIK DN DEBATT 2/3. Att säga att felen beror på mänskliga faktorn och stanna där är farligt på samma vis som det vore att inom vården se felmedicineringar och felbehandlingar som mänskliga fel utan att införa kontrollstrukturer som bygger bort sådana misstag, skriver fyra it-säkerhetsexperter.

Rätta artikel

Det är med tillfredsställelse vi konstaterar att Datainspektionens generaldirektör Lena Lindgren Schelin delar vår uppfattning om att digitala katastrofer hotar samhällets digitalisering och medborgarnas tillit om vi inte anstränger oss mer för att göra rätt från början.

Det är skrämmande att det rapporterats drygt 2.200 personuppgiftsincidenter till Datainspektionen 2018. Att merparten av dessa sägs bero på den mänskliga faktorn är samtidigt inte någon överraskning. De människor som ska utveckla och underhålla de digitala systemen under hela deras livscykel och de som ska använda systemen måste alla ha konkret och relevant utbildning och kompetens.

Gapet mellan digitaliseringsåtgärder och vidtagna säkerhetsåtgärder ökar oroväckande snabbt. För att hantera det kan vi inte bara skylla på den mänskliga faktorn. För att minska det gapet krävs ett systematiskt informationsarbete och ett tydligt ledarskap, där man som ledare:

• Tar reda på vilka säkerhetsbrister som finns i verksamheten

• Tar reda på vilka risker verksamheten har och hur allvarliga de är

• Formulerar mål för säkerhetsarbetet för att medarbetarna ska känna till vad som krävs

• Ger medarbetarna de nödvändiga mandat och förutsättningar som krävs för att arbeta långsiktigt.

Säkerheten i en verksamhet är en ledningsfråga, därför måste det också finnas säkerhetskompetens i ledningen. Varje verksamhet måste identifiera vad som är skyddsvärt för just den. Baserat på den identifieringen är det viktigt att ge tydliga instruktioner för vad som är tillåtet och inte och personalen måste utbildas i vilka säkerhetsrutiner som gäller.

Av incidenten med 1177 och de inspelade telefonsamtalen kan vi konstatera att det verkar finnas brister på väldigt många områden. I den här typen av miljöer får sladdar inte ligga lösa. Det måste finnas grundläggande funktioner som lösenordsrutiner, behörighetshantering, kryptering för skydd av känslig data vid både lagring och transport, rutiner för förändringar i nätverk, säkerhetsövervakning, brandväggar, oberoende granskningar et cetera, alltså en lång rad grundläggande skydd som måste finnas på plats just för att människor kommer att göra fel.

Det är inte god säkerhet att peka ut användaren som den svaga länken. God säkerhet utgår från insikten att det inte går att hindra människor från att någonsin göra misstag. God säkerhet ska däremot hindra enstaka misstag att orsaka katastrofer. Många av dessa misstag kan upptäckas med mycket enkla kontroller. Avsaknad av ordning och reda, bristfälligt införda eller till och med avsaknad av skydd är inte ”den mänskliga faktorn”. Att säga att felen beror på mänskliga faktorn och stanna där är farligt på samma vis som det vore att inom vården se felmedicineringar och felbehandlingar som mänskliga fel utan att införa kontrollstrukturer som bygger bort sådana misstag. Där är vi sannolikt rörande överens.

Vi ser med spänning fram emot resultatet av de granskningar som Datainspektionen har inlett, och hoppas att det inträffade fungerat som en väckarklocka för många andra verksamheter.