Cybersäkerhet en teknisk eller mänsklig fråga?

4.1 Respondenternas definition av begreppet cybersäkerhet

4.1.1 Cybersäkerhet en teknisk eller mänsklig fråga?

C menar att begreppet cybersäkerhet går att dela in i två delar; den ena är den tekniska delen och den andra berör medarbetarnas roll. C förklarar att dess bank dels arbetar med cybersäkerhet genom tekniska begränsningar, genom att exempelvis göra det omöjligt att logga in på bankens dator utan bankens VPN-tunnel. Den andra delen menar C är beteendefrågor - vad man får och inte får göra. C exemplifierar detta genom att berätta om mailkontakt, då det är viktigt att veta hur man får maila och vad man får maila om. C menar att de har tekniskt inbyggda kontroller som förebygger många hot, exempelvis varningsmeddelanden som dyker upp om en anställd ska skicka ett konfidentiellt mail. Däremot menar C att den anställde ändock kan välja att skicka mailet trots varningsmeddelandet, och att det därmed inte hjälper med enbart tekniska kontrollverktyg.

D menar att cyberincidenter ofta bottnar i att anställda gör fel. Att interna cyberhot i form av mänskliga misstag är ett stort hot för banker är en syn som fler respondenter uttrycker (Person A; Person C). Därför menar A att den mänskliga aspekten är den viktigaste att arbeta med för att förebygga cyberhot, men berättar att både banken och andra branscher trots detta historiskt främst har fokuserat på den tekniska aspekten av cybersäkerhet. A spekulerar kring vad anledningen kan vara och förklarar att den mänskliga aspekten är svårare att arbeta med eftersom man måste ta hänsyn till personers känslor samtidigt som det är svårare att uppnå ett mätbart resultat. Att bygga ett starkt tekniskt skydd är dessutom enklare att genomföra och följa upp (Person A). Idag menar A dock att ett stort fokus även finns på att stärka den mänskliga aspekten vilket bekräftas av F som förknippar cybersäkerhet med beteende.

När det gäller balansen mellan den tekniska och mänskliga aspekten förklarar C att banken först har arbetat med den tekniska delen, då de har specialister som specifikt sitter med de frågorna dagligen. Den mänskliga delen menar C snarare är en läroprocess, då alla inte förstår vikten av att följa säkerhetsreglerna. Därför är det viktigt att ha tydliga regler som säger vad man får och inte får göra. Vidare lyfter B samspelet mellan teknik och människa:

“Samspelet mellan människa och teknik är viktig. Om individen inte förstår säkerhet, så gör inte tekniken det heller. Jag som individ behöver ju ta ett ansvar och se till att våra

4.2 Formella styrmedel

4.2.1 Standarder

C berättar att det är en självklarhet att använda sig av standarder och att dess bank försöker ligga i framkant med det. Vidare förklarar C att branschen är hårt utsatt för cyberhot eftersom banker besitter känslig information som kriminella vill komma åt. C menar att den känsliga informationen finns i många delar och att det i bedragares ögon är intressant att exempelvis komma åt kontokortsnummer - information som sedan används i bedrägligt syfte. Därför menar C att det är viktigt för alla banker att använda sig av standarder för att minska risker. Även A menar att standarder är ett starkt hjälpmedel eftersom de tydligt beskriver vad som förväntas av banken och dess anställda.

A förklarar vidare att banksektorn är en oerhört regelstyrd verksamhet och att det därmed finns ett stort antal lagstiftningar som banken måste förhålla sig till. För att stärka cybersäkerheten menar A därför att dess bank arbetar med att bryta ned lagstiftningarna och förstå vad de betyder för banken. Efter detta ska ansvaret fördelas ut i organisationen (Person A). Även B understryker de yttre kraven som ställs på banker, och berättar att det framgår av Finansinspektionen att banker ska ha ett ledningssystem. Däremot beskrivs det inte på vilket sätt detta ledningssystem ska implementeras på (Person B). B förklarar även att det i ICT- regelverket står att banker ska ha en årlig uppföljning av behörigheter, men det framgår inte hur uppföljningen ska genomföras. Därmed är det upp till varje bank att hitta lösningar att implementera system och göra uppföljningar på (Person B). B förklarar vidare att standarder ofta är utformade på ett detaljerat men avancerat sätt, vilket kan leda till svårigheter i att tolka och förstå informationen. E bekräftar detta och berättar att inte alla i banken har full kännedom om innehållet i de standarder som banken följer, men att de anställda som arbetar med informationssäkerhet och har en djupare insikt inom ämnet, har bra förståelse för standarden.

Fortsättningsvis berättar A att det finns ett regelverk som säger att banker ska använda sig av standarder, vilket har visat sig stämma då det framgår att samtliga banker i denna studie följer olika standarder. Regelverket om informationssäkerhet i B’s organisation är bland annat utformat utifrån ISO 27000 och ISF’s SOGP, och B berättar att bankens egna regelverk uppdateras när standarderna gör det. D understryker också vikten av att använda sig av standarder, men menar att dennes bank inte är certifierade inom alla standarder. Precis som B berättar D att de använder många standarder som stöd i utformningen av bankens egna policys och regler. E har ett liknande resonemang och berättar att standarder i stor utsträckning används för att verka som ett stöd för utformningen av bankens egna policys och regler.

4.2.2 Regler

När frågan ställs om respektive bank använder sig av säkerhetsregler svarar samtliga respondenter att det är ett måste. Både A, B och D menar att Finansinspektionen ställer krav på banken att använda sig av regler. Alla respondenter berättar att banken internt därför har regler som gäller för samtliga anställda, samtidigt som det även finns rollspecifika regler. Vidare menar många respondenter att säkerhetsregler berör aspekter såsom personal och fysisk säkerhet och innehåller strikta policys och instruktioner som är viktiga att följa (Person A; Person B; Person C; Person D).

E bekräftar vikten av regelefterlevnad, men lyfter även problematiken som kan uppstå i att luta sig allt för mycket mot regelverk. E menar att det givetvis är nödvändigt för banker att följa regler, men förklarar att banken är en väldigt regelstyrd verksamhet med hård övervakning och att rädslan att få böter ibland har gjort att man prioriterar regelverket snarare än att förebygga brott.

“Jag brukar säga att informationssäkerhet och compliance inte är samma sak! Vår uppgift inom informationssäkerhet är att skydda information, och naturligtvis ska vi följa

regelverket. Men skulle de två stå i konflikt med varandra - då ska vi skydda informationen och så får compliance-avdelningen ta hand om compliance-frågorna.”

(Person E)

Även F och D antyder att det kan finnas svårigheter med allt för strama regler. F förklarar nämligen att människor blir mindre angelägna att ta ansvar om man blir allt för hårt kontrollerad. D lyfter ett annat perspektiv, och antyder att regler kan leda till sämre beslutsfattande. D förklarar:

“Många som har jobbat länge i en bank, som är så hårt styrd av regelverk, är rädda att ta egna beslut. Detta sitter djupt rotat i den äldre generationen.” (Person D)

Vidare berättar D att banken försöker vara så standardmässig och konkret som möjligt med sina regler för att skapa tydlighet. På bankens intranät finns det exempelvis tydliga riktlinjer på vad banksekretess syftar till och dessa regler genomsyrar det dagliga arbetet, som över tid blir allt mer självklara (Person D). Att säkerhetsreglerna med fördel just bör integreras i det dagliga arbetet på ett sätt så att det blir naturligt är något som uttrycks av många respondenter (Person A; Person B; Person C; Person E). Vidare förklarar både B och C vikten av att ha regler som ska vara enkla att förstå och följa.

“Inför man regler som är krångliga att följa - då blir det dålig efterlevnad. Ser man bara till att det lättaste och smidigaste sättet att göra något på för mig är att göra på rätt sätt -

då blir det med automatik så att man följer de sakerna.” (Person C)

C berättar att bankens säkerhetsregler har en årlig genomgång och om det finns behov kan vissa regler komma att ändras på, något som även gäller för banken som A är anställd hos. B berättar att dennes bank uppdaterar sina säkerhetsregler i samband med att standarderna som banken följer uppdateras, vilket B uppger är vartannat år. Vid behov kan det dock genomföras tätare kontroller också (Person B). Även D menar att de anpassar sina regler efter principer och standarder, men förklarar att reglernas utformning i sig inte ändras så ofta. En aspekt som D lyfter upp vidare är att hotlandskapet inom cybersäkerhet är föränderligt, vilket gör att det kan finnas svårigheter att anpassa sig därefter. Därför menar D att dess bank följer upp sina regler betydligt oftare nu än tidigare.

4.2.2.1 Regelefterlevnad

För att kontrollera att bankens säkerhetsregler följs berättar A att de har uppföljning fyra gånger per år, där man tittar på om verksamheten har gjort det den ska samt om det har uppkommit några risker inom IT- och informationssäkerhet. Därefter görs en rapportering till bankens VD som i sin tur informerar riskutskottet och bankens styrelse (Person A). A menar på att det är en upparbetad systematik och gissar att detta ser likadant ut på varje bank eftersom Finansinspektionen ställer dessa krav. Detta bekräftas av D som också uttrycker att det finns en väldigt strikt process om hur felaktigheter ska hanteras. B förklarar även att Finansinspektionen ställer krav på bankerna i Sverige och i FI 2014:5 finns det paragrafer som säger att en bank ska ha ett ledningssystem för informationssäkerhet och att det kan leda till sanktioner om detta inte efterlevs. B berättar vidare om sanktionerna:

“Det skulle kunna vara så att Finansinspektionen ger oss sanktioner och vad leder det till? - Jo, det leder till både försämrat förtroende, missnöjda kunder, och det leder ju till

ekonomiska konsekvenser eftersom vi lever på nöjda kunder.” (Person B).

A förklarar vidare att all personal omfattas av regelefterlevnad men att det finns funktioner som har ett större ansvar att säkerställa att reglerna följs, vilket är något som C även lyfter fram. D berättar att det finns regler för bankens respektive division och att det finns cybersäkerhetskrav på olika roller som fokuserar på vem som ställer krav, vem som utför och vem som följer upp. Både B och F berättar att alla individer har ett eget ansvar att stärka säkerheten i banken och att interagera det i det dagliga arbetet. F menar att företagets VD eller de olika cheferna inte kan ta allt ansvar för sina medarbetares handlingar.

Däremot menar B att det är chefens ansvar att läsa bankens regelverk om informationssäkerhet, för att sedan se till att dess medarbetare följer instruktionerna. B menar att chefer därför har uppföljning genom utvecklingssamtal där man kan se om olika individer har tillräcklig utbildning. Dessutom har banken ständiga genomgångar för behörighet, där chefen också har ett ansvar att gå igenom behörigheterna och förmedla varför de är viktiga att genomföra (Person B). Vidare berättar B att banken vartannat år genomför en så kallad “self-assessment-day” där anställda själva får värdera hur väl de uppfyller reglerna. Sedan har även dennes närmaste chef ett ansvar att följa upp att de anställda i chefens team följer säkerhetsreglerna (Person B).

E menar att uppföljning och kontroll av regelefterlevnad internt kan göras på både ett tekniskt sätt samt ur ett beteendeperspektiv. Med ett tekniskt perspektiv menar E att man exempelvis kan beräkna och mäta hur många som har laddat ned saker de inte får. Framför allt framhåller E vikten av att kontrollera att utbildningar görs, vilket är i ett förebyggande syfte så att regler inte bryts. Vidare menar E att man kan utföra monitorering på individnivå, och menar att man bör vara särskilt uppmärksam om vissa personer återupprepar samma misstag flera gånger. För dessa personer menar E att det krävs riktade utbildningsinsatser. E avslutar dock med att berätta att kontrollverktygen ständigt utvecklas.

Det tekniska sättet att kontrollera regelefterlevnad på är det vi främst sett hos övriga respondenter. D förklarar exempelvis att banken skriver tydliga instruktioner som de sedan följer upp. Både A, C och D berättar att de även har uppföljning av obligatoriska utbildningar, som A och C berättar att de följer upp med olika mätetal. Även E berättar att dess bank mäter hur många som har utfört organisationens säkerhetsutbildningar. C förklarar att det är svårt att kontrollera att alla regler följs men förklarar att de flesta handlingar loggas i deras system samt att det finns inbyggda spärrar som hindrar en att utföra vissa ärenden. C ger ett exempel på detta:

“Om jag försöker skicka ett mail där våra robotar tror att det här mailet kan innehålla kunduppgifter, t.ex om det finns ett personnummer, kontonummer i det öppna mailet, då

kommer jag få ett varningsmeddelande - ‘Ser ut att innehålla konfidentiell information, vill du verkligen skicka det?’ ” (Person C)

Däremot menar F att det mänskliga beteendeperspektivet är viktigare att ta hänsyn till än att mäta. F berättar ändock att många personer som arbetar med säkerhet framför allt fokuserar på att just mäta, trots att ett gott mätbart resultat inte säkerställer att större kompetens inom säkerhet faktiskt finns. Vidare berättar F att regelefterlevnad stärks i dennes bank mycket genom företagskulturen. F utvecklar detta med att förklara att kulturen bygger på att anställda ska få ta eget ansvar, och att tillit är en central del av arbetet.

4.2.2.2 Förebygga regelbrott

B menar att en viktig del av att stärka cybersäkerhet är att göra anställda medvetna om vilka konsekvenser som uppstår om säkerheten inte upprätthålls samt hur man kan undvika incidenter. Detta menar B behöver vara en del av det dagliga arbetet, samtidigt som det bör finnas instruktioner som är enkla att följa. Enkelhet i regler är något som även C värderar, och berättar att det bästa sättet att uppmuntra rätt beteende är att det ska vara “lätt att göra rätt”. C förklarar att anställda nämligen automatiskt kommer välja det enklaste sättet att utföra en uppgift på, och banken måste då säkerställa att det enklaste sättet är det rätta sättet.

För att uppmuntra anställda att följa bankens regler förklarar A att utbildning är ett starkt hjälpmedel, men belyser även vikten av att personer som jobbar med säkerhetsfrågor hjälper anställda. D berättar att de använder sig av riktade utbildningar för att öka medvetenheten inom organisationen, men menar att arbetet med ökad medvetenhet även kräver en säkerhetskultur. D förklarar nämligen att utbildning i sig inte räcker för att göra anställda medvetna om bankens regler, utan att det krävs en kombination av utbildning och träning. F menar vidare att anställda görs medvetna om reglerna så fort de anställs på banken. Att tidigt göra det tydligt för anställda om vad som förväntas av dem är något som även B uttrycker. F berättar vidare att dennes bank ökar medvetenhet om bankens säkerhetsregler bland annat genom utbildningar, fysiska kampanjer eller kampanjer på intranätet, samt seminarier. Dock ställer sig F, likt D, kritisk till att enbart använda sig av utbildningar, utan menar att banken även behöver jobba med informationsdelning via nätverkande. F förklarar:

“Jag som jobbar med lärande är ju egentligen emot att man skickar ut en e-learning på en timme och så tror man att alla vet. Jag tror ju på att sprida saker på olika sätt och jobba

med det.” (Person F)

F utvecklar detta och förklarar att det är viktigt att kollegor från olika kontor och länder delar med sig av sina erfarenheter och ger exempel på tidigare händelser. På så vis menar F att goda råd och idéer kan spridas genom organisationen. Även B berättar att interna diskussioner, där man delar med sig av erfarenhet, är viktigt för att sprida information. Både B och F berättar att banken inte arbetar med belöningar för att motivera anställda att följa regler. Däremot förklarar F att man som anställd på banken får ta mycket ansvar, och att bli litad på så mycket kan ses som en belöning i sig. E lyfter ett annat perspektiv, och berättar att belöningar kan motivera anställda att certifiera sig inom utbildningar. E berättar dock att belöningssystem är ett lokalt fenomen, som kontorschefer beslutar om de vill använda. Det kan till exempel innebära att avdelningar ger lönepåslag till personer som certifierar sig. En certifiering kan också vara ett kvitto på att man har kunskap vilket ger möjlighet till utveckling inom företaget (Person E). E menar därför att belöningar inte enbart syftar till lönehöjning, utan det kan också vara möjligheten att få utbilda sig under betald arbetstid.

4.2.2.3 Om skadan har skett

Om en regel inte efterlevs så menar B att det är det viktigt att analysera problemet och försöka hitta orsaken till att anställda inte följer regeln. Då menar B att man behöver kolla på om det är regeln i sig som det är fel på, eller om det saknas lättillgängliga instruktioner som är lätta att förstå. I ett sådant skede kan det även bli aktuellt att fundera på om en ny typ av utbildning behövs (Person B). B förklarar vidare att det också beror på vilka regler som inte följs, samt vad orsaken bakom är då vissa misstag görs omedvetet.

C menar att banken har tuffa krav, såsom att man till exempel har rapporteringsskyldighet för alla incidenter som uppstår. Om ett mail skickas till flera kunder utan att kryssa i “dold kopia” klassas det som ett sekretessbrott eftersom man då har avslöjat kunderna för varandra, vilket inte är tillåtet enligt banksekretessen och strider mot GDPR. Detta behöver då anmälas som personuppgiftsincident och man får en tillsägelse av sin chef (Person, C). När en anställd har begått ett misstag menar dock C att det i sig kan räcka för att avskräcka anställda från nya misstag:

“Har man gjort ett misstag en gång så gör man inte om det brukar jag säga, för man skäms något fruktansvärt när man trodde att man var smart. Men så har man hamnat

där man hamnade och ska be åtta kunder om ursäkt - det brukar vara straff nog.” (Person C).

D berättar att banken gör en månadsvis rapportering till deras riskgrupp för att följa upp sin säkerhetstolerans. Interna funktioner som arbetar med risker och fungerar som ett stöd vid regelbrytande är något som även andra respondenter berättat om (Person A; Person B; Person D; Person E). F understryker att anställda får stort ansvar på arbetsplatsen, men om ansvaret inte tas så får det konsekvenser. Om ett problem uppstår menar F att banken arbetar med straff. C berättar att anställda vid misstag blir tillsagda av sin chef, och om samma misstag upprepas utan hänsyn till reglerna kan det leda till att personen avskedas. Även B berättar att en anställd som inte följer regler kan bli uppsagd om det går så pass långt att det klassas som försök till bedrägeri. B förklarar dock att det hör till ovanligheterna och att det snarare brukar handla om att man omedvetet gör fel.

E lyfter ett annat perspektiv och berättar att straff och belöning kan vara en känslig fråga i nordiska företag, eftersom bestraffningar inte har varit lika väl utspritt i den nordiska företagskulturen som i anglosaxiska företag. Om samma individ begår samma misstag flera gånger så behöver detta dock kontrolleras genom riktade utbildningsinsatser på individuell basis (Person E). Framför allt understryker E att de flesta misstagen som begås av anställda är oavsiktliga och kan bero på okunskap. De personer som avsiktligt vill skada företag kan

dock inte nås av medvetenhet eftersom de har andra motiv, och det är framför allt i de fallen som tekniska kontrollverktyg behövs för att upptäcka onormala beteenden (Person E).

In document Cybersäkerhet - Att stärka den svaga länken : En flerfallsstudie om hur formella och informella styrmedel förebygger interna cyberhot i banksektorn (Page 52-59)