Diskussion - En pandemis påverkan på informationssäkerheten för distansarbetare

I följande avsnitt diskuteras insikterna som framkommit i resultaten från intervjuerna samt enkäten i samband med den relaterade forskningen som kopplas samman för att stödja argumentationerna som görs i diskussionen.

Något som är intressant att diskutera är varför anställda bryter mot riktlinjer men även vilken inställning de har till informationssäkerhet. Detta eftersom inställning kan påverka hur de anställda ser på riktlinjerna. I huvudsak lyfte intervjuerna fram att en av anledningarna till att anställda i vissa fall inte följer riktlinjer var på grund av slöhet, enligt Petter. IT-administrativa personalen ansåg att de anställda ställde sig nonchalant till riktlinjerna eftersom det gått bra att bryta riktlinjerna tidigare utan konsekvenser. Respondenterna i enkäten skrev valet att bryta riktlinjerna föll på användbarhet. Med användbarhet menade de hur enkelt, smidigt och användarvänlig en process är. Om användbarheten minskar i samband med att en riktlinje följs så kommer valet då ofta falla på att bryta riktlinjerna. Det anställda ansåg även att för mycket ansvar låg på dem. Många upplevde att det inte fanns tillräckligt med information, för lite tvång till att använda riktlinjer eller att riktlinjerna var för otydliga för att följa. Detta resultat går att koppla till Vacca (2009) som skriver att en säkerhetsåtgärd innebär en lång process för användaren vilket tillslut kan skapa en stor frustration inom en organisation eftersom de anställda gärna vill sätta igång arbetsprocessen snabbt. Parkin, van Moorsel och Coles (2009) hävdar att säkerhetsöverträdelser går att koppla till den mänskliga faktorn. Där säkerhetsåtgärder som innebär en börda för den anställda även kommer påverka den anställdas attityd till det sämre gällande informationssäkerheten.

Vidare nämndes vid flera tillfällen att de anställda som till exempel inte brukar uppdatera sin programvara, brukar tycka det anses ta för lång tid och är relativt svårt att utföra på egen hand. I enkäten var det till exempel en anställd som skrev:

“Det är viktigare att jag får saker gjorda än att jag följer reglerna till punkt och pricka”.

- Respondent Detta citat kan antyda att IT administrativa personalens påstående stämmer om att vissa anställda inte tar informationssäkerheten på det fulla allvar som man bör göra. Detta kan dock även visa att de procedurer som finns är komplicerade att följa för de anställda, det vill säga när de ska uppdatera applikationerna eller programvaran. Detta går att koppla till Vacca (2009) som skriver om att anställda inte vill offra sin arbetseffektivitet för säkerhetsåtgärder, just för att det tar för mycket tid från de anställda. Detta kan vara problematiskt ifall det skapar frustration hos de anställda, eftersom det skulle kunna få flera att vilja undvika att följa informationssäkerhetsåtgärder i framtida syften på grund av att det är så pass komplicerat.

En annan aspekt som går att ta upp är den mänskliga faktorn. Den mänskliga faktorn uppstår för de som upplever riktlinjerna som otydliga. Flera anställda har skrivit att de inte orkar lägga tid till att förstå vad riktlinjerna innebär eller blir frustrerade efter att ha tittat på dem för att de inte förstår hur de ska kunna följas i praktiken. Deras dåliga upplevelse och irritation leder till att det skapas en sämre attityd till informationssäkerhet där de sedan väljer att bryta mot riktlinjerna. Den IT-administrativa personalen nämnde att det inte finns några konsekvenser för de anställda som inte följer riktlinjerna. De anställda kanske väljer att bryta riktlinjerna på grund av att det är går snabbare och det innebär en mer effektiv arbetsmetod.

Om det dock skulle finns konsekvenser för den anställde ifall de mot bryter riktlinjerna skulle troligen antalet som bryter mot riktlinjerna minska. Anledningen till att riktlinjerna bryts kan vara en kombination av anledningar alla kopplade till den mänskliga faktorn men det som skulle i större utsträckning förhindra de anställda från att falla för den mänskliga faktorn och bryta mot riktlinjerna är konsekvenser och tvång vilket inte finns inom organisationen.

Däremot att implementera konsekvenser och tvång skulle enligt Vacca (2009) kunna leda till långsiktiga negativa konsekvenser för verksamheten på grund av den frustration som de anställda bygger upp över tid.

En anledning till att anställda inte följer informationssäkerhetsregler kan bero på att dessa personer inte förstår allvaret i att följa säkerheten eftersom allt arbete för dem just nu sker på distans. När distansarbete utförs, kan det finnas en tendens att man blir mer avslappnad eftersom arbetet till exempel utförs hemifrån, i en mer bekväm miljö. Om man blir mer avslappnad och jobbar enskilt då kanske man struntar i att använda arbetsutrustningen, slutar uppdatera eller till och med sparar ner dokument på icke godkända applikationer eftersom ingen kan säga till om det. Inställningen till informationssäkerheten förändras och är inte något man tänker på tillslut, eftersom distansarbetet sysselsätter en med fler arbetsuppgifter som anses vara högre prioriterat. Parkin, Van Moorsel och Coles (2009) kan stödja detta argument då mänskliga faktorn oftast leder till säkerhetsöverträdelser, på grund av attityden till informationssäkerhet. Detta är på grund av att det kan leda till en större börda för den anställda när den ska utföra sina arbetsuppgifter, vilket en respondent hade skrivit att den

upplevt i enkäten. Respondenten skrev “Det händer inte ofta men det har hänt att något lägre informationssäkerhet har bidragit till en effektivisering av mitt arbete.” Detta resulterar i att inställningen från de anställda påverkas mot informationssäkerheten eftersom det leder till mer arbete som den anställda förväntas utföra, utan att ha mycket kunskap om det. Eftersom många säkerhetsåtgärder inte innebär ett tvång för de anställda kunde de anställda se det som en möjlighet att ta en genväg. Det som en av respondenterna sa i intervjun var att aktiviteter inte borde rankas utifrån mindre viktiga och viktiga aktiviteter eftersom det skulle kunna leda till en säkerhetsöverträdelse för att någon slappnar av för mycket kring säkerhetsåtgärderna.

Detta skiljer sig däremot från tidigare forskning. Eftersom tidigare forskning visar på att en rankning av aktiviteterna där en rankning som visar vilka risker som aldrig är okej och vilka som är okej ibland detta kan vara bra eftersom det kan identifiera de vanligaste problemen och förändra attityden mot informationssäkerheten.

Hanteringen av data är ett ämne som presenterats ständigt i texten. IT-administrativa personalen ansåg att de informationssäkerhetshot som uppstår på distans oftast beror på arbetsutrustningen de anställda använder sig av det vill säga vad för router, system, wifi som finns i den miljön. De tillägger att det per automatik läggs mer ansvar på individen när de arbetar på distans eftersom universitetsmiljön är mer kontrollerad än vad den kan vara till exempel hemifrån. Detta har även vissa anställda uttalat sig om. De anser att mycket av ansvaret för att jobba på ett säkert tillvägagångssätt läggs på dem utan tydliga instruktioner.

Flera anser att ifall det fanns tydligare direktiv från arbetsgivaren skulle de fler klara av att jobba informationssäkert på distans. Nu är det dock inte fallet, vilket leder till att hanteringen av data brister för de anställda när de arbetar på distans. Furnell (2020) skriver att detta skulle leda till att hackare har lättare för att utföra nån form av informationssäkerhetsattacker. På grund av det sämre användandet av korrekta arbetsutrustningen samt det minskade skyddet som finns på distans. Detta betyder att arbetsgivarna skulle misslyckas med att hålla sina egna arbetare säkra från de attackerna ifall de misslyckas med att utbilda eller förse de med korrekt arbetsutrustning. Vidare skriver MSB att organisationen har flera skyldigheter till sina anställda för att det ska kunna fungera väl. Organisationens prioritering bör vara att de anställda har den korrekta arbetsutrustningen samt infrastrukturen för att kunna arbeta på distans, de bör även att se till att alla anställda kan följa alla policys och riktlinjer på egen hand, och förse alla arbetare med tillräckliga resurser för att kunna arbeta informationssäkert (CERT-SE, 2020).

Om inte dessa tillvägagångssätt för hantering av data följs kan det uppstå situationer som togs upp i en av intervjuerna. Där berättade en av IT-administratörerna om ett Ransomeware fall då en anställd av misstag råkade klicka på ett Ransomeware mejl som sedan gick rakt in i servern. Detta löste sig genom att den anställda startade om datorn och hämtade en tidigare backup. Denna incident berättade respondenten hände vid ett annat tillfälle då en anställd blev hackad på en ny uppsatt RaspberryPi dator eftersom den anställda inte hunnit byta lösenord på den. Även i det här fallet löste det sig enkelt eftersom det upptäcktes fort och datorn bara rensades så fick den anställda börja om med att ställa in datorn. Incidenterna visar på att denna metod för att nå lagrad information faktiskt används vilket nämndes i den tidigare forskningen av Mocrii, Chen, och Musilek (2018). På svenska kallas en Ransomeware för lösensumma. En

sådan incident berättar Mocrii, Chen, och Musilek (2018) innebär att den cyberkriminelle krypterar enheten för offret och sedan kräver en lösensumma för att låsa upp enheten.

Ett specifikt informationssäkerhetshot som en intervjuperson sa var det mest förekommande hotet var dataintrång. Anledningen till detta är på grund av de olika känsliga uppgifterna universitet och andra organisationer måste hantera, specifikt personuppgifter.

Vilket faller i linje med den relaterade forskningen. Rezgui och Marks (2008) påstår att det mest förekommande informationssäkerhetshotet i universitetsmiljöer är exponering av personuppgifter, just för att universitet lagrar stora mängder av känslig data. Dock så visade resultaten från enkäten att endast tre anställda upplevt informationssäkerhetshot tidigare, detta indikerar att informationssäkerhetshot möjligtvis inte är så förekommande som den relaterade forskningen föreslår. Eftersom flera av de anställda svarat att de till exempel inte uppdaterar programvaran och applikationerna eller använder tvåfaktorsautentisering på e-posten som Furnell (2020) skriver om, trots det så har mer än majoriteten av de anställda inte upplevt ett informationssäkerhetshot i samband med distansarbete.

Att uppdatera lösenord kan teoretiskt verka vara den mest simpla säkerhetsåtgärden. Men något som framkom i resultatet var att de anställda sällan uppdaterade sina lösenord. Vilket IT administratörerna menade berodde på lathet eller för att de trodde de anställda tar för lätt på informationssäkerhet. Från enkäten visade det sig de anställda tyckte det var svårt att komma ihåg att uppdatera och sedan att hålla rätt på nya lösenord vilket gjorde att de undvek att göra det så länge det inte var något som datorn krävde. Att denna typ av säkerhetsåtgärd undviks av de anställda kan innebära problem menar Mocrii, Chen, och Musilek (2018) på grund av mjukvaruexploatering. Denna typ av hackningsmetod kan komma åt data genom svaga lösenord och utnyttjar därför användarens lathet till sin fördel. På grund av att denna säkerhetsåtgärd framstår som så simpel, är det troligt att de anställda knappt ser det för en säkerhetsrisk. Vilket kan göra att flera lättare säkerhetsåtgärder skippas. Detta kan i längden bli problematiskt då Statistiska Centralbyrån (2021) säger att 8% av företagen i deras undersökning fått sin data förvanskad eller förstörd och i företag med 10 eller fler anställda så upptäcktes det för 2% av företagen att deras konfidentiella data avslöjats. Det är alltså inte ovanligt för företag att råka utför säkerhetsöverträdelser.

För att öka informationssäkerheten har intervjuerna och enkäten lyfte flera olika åtgärder.

Dessa är även därför en viktig diskussionspunkt. De framtida strategier som intervjuerna tog upp var utbildning, medvetenhet och mer information för de anställda samt bättre teknisk infrastruktur för att se till att de anställda riktlinjerna efterlevs. I enkäterna framkom svar som att byta lösenord oftare, använda VPN och mer information om informationssäkerhet. Dessa strategier ligger i linje med tidigare forskning. Även om Sharbaf (2014) har en mycket mer väl detaljerad strategi för förbättrad informationssäkerhet så tas utbildning och träning för anställda upp samt att alla bör involveras i ansvaret för informationssäkerheten. Detta påstår Sharbaf (2014) kan förbättra medvetenheten kring informationssäkerheten. Om fler känner ansvar för informationssäkerheten och blir mer medveten för vilka risker som kan förekomma minskar sannolikheten att de anställda faller för den mänskliga faktorn. En bättre teknisk infrastruktur är något som lyfts i intervjuerna. TQISM vilket är den strategi som Sharbaf

(2014) hänvisar till skulle kunna vara ett verktyg för att förbättra den tekniska infrastrukturen.

Detta genom dess tydliga och heltäckande ramverk.

In document En pandemis påverkan på informationssäkerheten för distansarbetare (Page 32-36)