Stress och trötthet som IT-säkerhetsrisk

Stress och trötthet bland användare är tydliga IT-säkerhetsrisker, men väldigt få pratar om det. Jag skall förklara hur jag resonerar så kanske fler kan få upp ögonen för problemet inom IT och cybersäkerhet. Kanske kan jag också bidra med nya tankar och infallsvinklar på ett gammalt problem. För det är det. Stress och utmattningssyndrom (tidigare kallat utbrändhet) är inga nya grejer. Det har varit ett relativt omfattande sjukdomsproblem i samhället de senaste tio åren men har fullständigt exploderat de senaste tre-fyra. Och med
utmattning och den stressnivå som var orsakande kommer konsekvenser.

En mycket stor andel av alla cyberbrott sker på grund av användaren genom Social Engineering-attacker och olämpligt hanterande av lösenord. Man kan ”utbilda ihjäl” personalen inom diverse IT-säkerhet men jag menar att det inte kommer spela någon betydande roll för att minska säkerhetsrisken hos någon som går på knäna med sin energi och ork. Förr eller senare kommer säkerhetsdiskussionen att handla om just människan för ju tröttare och mer stressad man är desto mer sårbar är man för angrepp. Ju mindre ork och ju mer press på insidan desto krångligare kommer det bli att komma ihåg längre lösenord med stora och små bokstäver, siffror och specialtecken. Ju högre stress och ju högre tempo i huvudet desto större risk att inte titta ordentligt på mejlet som såg ut att komma ifrån en myndighet innan man klickar vidare på länken.

Orsakerna till att jag menar att stress och utmattning hos användare utgör stora säkerhetsrisker är faktiskt många. Jag skall göra mitt bästa för att förklara och reda ut mina tankar för dig.

Stress och högt tempo i huvudet
Ju högre tempo vi människor har på insidan desto svårare får vi att ta perspektiv på saker och ting. Det är lite som att åka tåg och titta ut ur fönstret. När tåget går som fortast ser du inte vad som händer precis utanför. Allt bara viner och swishar. Men när tåget saktar in för att docka på perrongen, då ser du helt plötsligt bättre vad som händer precis på utsidan.
För människan i relation till diskussionen kring IT-säkerhet kan det lätt översättas till att man klickar på en länk eller en fil man fått på mailen av bara farten för hjärnan har ingen möjlighet och tid att plocka fram det man lärt sig och det man vet är säkerhetsrutinen man skall följa. Det bara händer. Inte för att människan är dum i huvudet utan för att tempot helt enkelt är för högt för att kunna tänka klart just i stunden.
Ju mer man kan hjälpa användaren att hantera sina stresskänslor och sänka tempot desto säkrare blir situationen. Felmarginalen ökar och betydelsen av den mänskliga faktorn sjunker kraftigt i takt med att människan blir mindre stressad och sänker tempot.

Trötthet
Har du sovit riktigt dåligt en natt och ändå kämpat dig hela vägen till jobbet och försökt börja med dina arbetsuppgifter? Kanske också samtidigt som barnen haft en stökig morgon och du är sen i väg? Ungefär så kan det vara i en hjärna som är utmattad. Fast hela tiden. Dygnets alla vaknar timmar. Att en sådan fruktansvärt tuff situation påverkar hjärnan hos användaren i allt ifrån riskbeteende till slarv och misstag är klart. Olika personer drabbas på olika sätt och när hjärnan inte klarar av att vara närvarande nog att följa säkerthetsprotokoll och rutiner är inte särskilt långsökt att anta.

Minnesproblem
Att minnet sviker ordentligt är väldigt vanligt vid utmattning. Ofta är det så människor börjar reagera på att något är fel. Helt plötsligt fungerar det inte att minnas saker utan att skriva ner det. Listor på listor på listor. Och anteckningar. Har man ett högt tempo i sig på grund av stress, är väldigt trött på insidan och har problem att komma ihåg grejer så kanske man inte vill byta ut sitt lösenord varje gång man glömt bort det. Till slut kommer det bli pinsamt och man skäms. Men man behöver ändå kunna logga in på sin arbetsstation snabbt när man skall börja jobba. Så hur hanterar man problemet? Jo, genom att göra som man alltid gör när man glömmer bort saker. Genom att skriva ner det. Och när vi skriver ner lösenord på en post-it och sätter på skärmen så är det inte mycket till skydd längre.

Koncentrationsproblem
Den fjärde och sista punkten jag tänkte lyfta handlar om det kanske vanligaste kognitiva besväret när det gäller stress och trötthet – koncentrationsproblem. Det kan vara så att det är svårt att koncentrera sig alls och det kan vara så att koncentrationen fungerar men en kort stund och konsumerar våldsamma mängder energi av huvudet så individen blir hjärntrött. Vid koncentrationsproblem ökar så klart risken för misstag och slarvfel och ur ett säkerhetsperspektiv kan det vara ödestiget.

Psykisk ohälsa eskalerar i det svenska samhället och är sedan ett antal år tillbaka den vanligaste orsaken till sjukskrivning. Inom begreppet psykisk ohälsa och detaljerad statistik för sjukskrivning är den stressrelaterade psykiska ohälsan i särklass vanligast. Det är dessutom viktigt att vara medveten om att när stressrelaterad ohälsa väl mynnar ut i sjukskrivning så har det oftast pågått i relativt många månader. Sjukskrivningen är inte början på problemet utan snarare början på slutet. Det finns alltså stora individuella säkerhetsrisker manifesterade under förhållandevis lång tid på grund av utmattningsförloppet. Därför är det viktigt att både förebygga och arbeta aktivt med strukturerade insatser både runt fysisk och mental hälsa, terapeutiska insatser mot stress och prestationsångest, arbetsmiljö, arbetskultur och utbildning.

Så tänker jag och hoppas att jag kunnat bidra med ett annat och kanske annorlunda perspektiv på problemet kring användarrelaterad IT och cybersäkerhet.

Tack för att du läste. Dela gärna vidare om du vill.
Björn Rudman