Skip to main content

Säkerhetskultur i fokus: intervju med Dr. Eric Lang

Dr. Eric Lang, expert på beteendevetenskap och insiderprevention, och medlem i SRI:s Advisory Board, var på besök i Stockholm för att dela sin forskning om insiderhot och säkerhetskultur. I en intervju med SäkerhetsBranschen ger han sina insikter om hur organisationer – även små företag utan HR- eller säkerhetsavdelning – kan förebygga risker och stärka sin säkerhetskultur.

I din artikel Seven Science-Based Commandments skriver du att insiderhoten ökar. Är hotet ett växande problem eller även en ökning i antalet incidenter?

”Både hot och incidenter ökar, liksom antalet människor inblandade och fall med stora kostnader och negativa konsekvenser”, säger Dr. Eric Lang.

Han poängterar att det finns två typer av incidenter som är viktiga att skilja på. Den ena är orsakad av illvilliga personer med ett syfte att stjäla information eller skada en verksamhet, medan den andra är icke-illvilliga, orsakade av personer som inte avser att skada men som begår misstag, inte följer rutiner eller skapar en sårbarhet som en angripare kan använda.

Eric Lang förklarar att det framför allt är risken att drabbas av incidenter kopplade till icke-illvilliga insiders som ökar mest. Det är oftare misstag som leder till dataläckor, social manipulation med mera.

”När det gäller icke-illvilliga insiders finns det flera typer, men två typer är vanligast. Den ena gör misstag för att de saknar kunskap eller har missat en utbildning. Den andra vet vad reglerna säger men bryter mot dem för att de tror sig göra något gott – som att ta hem säkerhetsklassat material för att hjälpa chefen inför en deadline. De menar väl, men det skapar risker. Sådant händer när säkerhetskulturen ses av anställda som något där vissa säkerhetsrutiner kan tummas på eller brytas, baserat på de anställdas behov och preferenser. Med andra ord anses det normalt att inte följa vissa säkerhetsrutiner”, säger Dr. Lang.

Det är viktigt att alla i en organisation både förstår och köper in på organisationskulturen – och att säkerhet är en naturlig ingrediens i kulturen. Verksamheten måste kunna fånga upp och hantera när medarbetare bryter mot reglerna, även när de gör det med goda avsikter.

Hur ser du på medvetenheten kring dessa risker?
Dr. Eric Lang säger att många företag och myndigheter lägger fokus på att skydda sig mot illvilliga angripare och köper tekniska lösningar som exempelvis övervakning av verksamhetens nätverk och IT-miljö.

”Spenderar man pengar upplever man att man har gjort något och det känns som en konkret åtgärd. Men den mänskliga faktorn glöms ofta bort. Då krävs det att man stärker säkerhetskulturen och det kräver tid: att sitta ner i små grupper, diskutera policyn och ventilera oro. Ytterligare nedlagd arbetstid kostar och chefer tvekar därför inför sådana möten. De glömmer dock bort att då riskerar man istället betydligt större kostnader än nedlagd arbetstid om något allvarligt inträffar”, säger Dr. Lang.

Vilken betydelse har säkerhetskulturen för risken med ”den mänskliga faktorn”?
Dr. Lang börjar med att definiera kultur: de uppfattningar, antaganden och värderingar som styr anställdas förväntningar och beteenden. Han betonar vikten av att få sina anställda att förstå den etiska policyn eller säkerhetspolicyn som tas fram.

”Om de anställda kan få mer arbete utfört när de bryter mot policyn – och verksamheten antingen inte är medveten om det, eller exempelvis blundar på grund av vinstmotiv – är det sannolikt att antalet säkerhetsincidenter ökar.
När avsteg från rutinen inte är uppenbara för alla direkt och det visar sig att fler kollegor gör på samma sätt så finns det risk att policys inte följs till punkt och pricka. Det visar forskning över hela världen”, säger Dr. Lang.

Säkerhetsrisker under pandemiåren

Under pandemiåren saknade många organisationer tydliga regler för säkerheten kring hemarbete. De anställda fattade fler egna beslut, till exempel om de skulle använda arbets- eller privat dator. Samtidigt var det svårt att få in nyanställda i organisationskulturen, och utan det ”kulturella limmet” blev otydligheten större och riskerna ökade.

”Statistiken visar att insiderincidenter (misstag och kriminella handlingar) faktiskt steg under pandemin – personer med dåliga avsikter kunde helt enkelt komma undan med mer när ingen såg vad de gjorde”, säger Dr. Lang.

Säkerhetskultur för små företag

Många företag är så små att de antagligen inte har en HR-, säkerhets- eller juridisk avdelning. Vad har du för tips till dem?
”Små företag kan och bör fortfarande ha ett insiderpreventivt program. De borde åtminstone ha en rapporteringsfunktion igång för sina anställda om de ser något oroväckande, ett stöd till sina anställda om vad som kan vara oroväckande och kommunicera ett tydligt budskap om att de anställda inte behöver undersöka något själva, bara rapportera, samt att verksamheten kommer att följa upp snabbt och med en rättvis bedömning av det som rapporterats. Det behöver också finnas en känsla av att det är okej att anmäla även vid osäkerhet”, säger Dr. Lang.

Han berättar att statistiskt sett är rapporterade avvikelser oftare ett HR-ärende och inte ett säkerhetsärende. En anställd kanske agerar avvikande för att de kämpar med en begynnande alkoholism, drogberoende, familjekris eller bara behöver extra stöd. Han fortsätter med att betona att små företag har en fördel.

”På ett företag med 15 personer känner VD:n förmodligen alla och kan bygga relationer och förtroende med alla och på så sätt skapa en stark organisationskultur med förtroende, ömsesidig tillförlitlighet och samarbete. Det är något som en VD på större företag inte kan göra”, säger Eric Lang.

Ser du några trender bland de illvilliga aktörerna i deras arbetssätt?
”Det vi kan se är att även små kriminella gäng blir alltmer tekniskt avancerade och samarbetar med liknande grupper i andra länder, vilket gör dem starkare och att de kan genomföra större angrepp (såsom stölder och avbrott i verksamheten). Det faktum att vi alla är mer uppkopplade mot informationsnätverk än någonsin gör att ett litet misstag nu kan få stora konsekvenser eftersom systemen hänger ihop”, säger Eric Lang.

Dr. Eric Langs forskning visar att insiderhot inte bara ska ses som hot från illvilliga aktörer som kan behandlas med teknik, utan det handlar om människor, kultur och relationer. Dr. Lang poängterar att även små företag kan bygga en stark säkerhetskultur genom förtroende, tydliga rapporteringsvägar och nära ledarskap. Att arbeta med den mänskliga faktorn är ofta det mest effektiva sättet att förebygga incidenter, och det är något alla organisationer, oavsett storlek, kan göra.

Läs också vår intervju med SRI:s seniora rådgivare Pierre Gudmundson om hur de hjälper företag strategiskt med personalsäkerhet.

Fler nyheter

Alla nyheter
sakerhetsbranschen

Bli partner på SäkerhetsDagen – och nå din målgrupp i säkerhetsbranschen

Foto på Dr Eric Lang och Martina på SäkerhetsBranschen

Säkerhetskultur i fokus: intervju med Dr. Eric Lang

Stärk företaget och branschen

Ett medlemskap i SäkerhetsBranschen stärker ert företag samtidigt som ni är med och arbetar för en sund och välfungerande bransch.

Bli medlem