Den største sikkerhedstrussel mod en virksomhed er at have medarbejdere. Det fortæller sikkerhedsfirmaer igen og igen. De ansatte undervurderer it-sikkerheden i en grad, så systemerne bliver sårbare, og alle de forsvarsværker, der er stillet op, bliver sat ud af kraft. Men måske undervurderer de ansatte slet ikke risikoen. Måske er det sikkerhedseksperterne der misforstår risikoen.
Det spekulerer IT-sikkerhedsguruen Bruce Schneier over i sin klumme hos avisen The Guardian. Schneier har skrevet flere bøger om IT-sikkerhed og kryptering. Han skriver også klummen Security Matters hos Wired.
I klummen i Guardian udfordrer han den tanke, at medarbejdere ikke forstår it-sikkerhedsrisikoer. På en konferrence hørte han fornylig en sikkerhedsekspert klage over, at medarbejderne ikke følger, de regler han opstiller.
"Vi bliver nødt til at få folk til at forstå risikoen," sukkede eksperten til sidst.
Det er den tanke Bruce Schneier er i opposition til. For medarbejderne forstår godt risikoen, de vurderer den bare til at være lille. For dem er det en langt større risiko, at de bruger så lang tid på sikkerhedsforanstaltninger som at kryptere usb-nøgler, at de ikke får udført deres arbejde og dermed risikerer at blive fyret.
"Dét er en meget ægte og håndgribelig risiko, som medarbejdere føler hele tiden. Risikoen ved ikke at følge procedurerne er langt mindre. Måske vil medarbejderen blive taget i det, men sikkert ikke, og hvis han endelig bliver snuppet, så er straffen ikke alvorlig. Udfra den risikoanalyse, så vil enhver rationel medarbejder omgå sikkerhedsforanstaltningerne for at få jobbet klaret. Det er det, som virksomheden belønner, og det virksomheden ønsker," skriver Schneier.
Han havde derfor en simpel løsning på den slukørede sikkerhedseksperts problem.
"Fyr den næste der bryder sikkerhedsproceduren, og gør det hurtigt og offentligt. Det vil øge sikkerheden hurtigere end alle dine foredrag og nyhedsbreve tilsammen. Hvis risikoen er ægte, så agerer folk ud fra den".
Derfor slutter Bruce Schneier med en opfordring til alle fortvivlede sikkerhedseksperter:
"Før du påstår, at en person ikke forstår risikoen, så stop op og tænk på om du forstår risikoen. Måske bliver du overrasket".
