Sverige är en av världens mest digitaliserade länder, men när det gäller cybersäkerhet ligger vi långt efter. Enligt säkerhetsexperten Siren Hofvander handlar det inte bara om tekniska lösningar – utan om hur vi kommunicerar och förstår säkerhet.
Siren Hofvander, som arbetar som chef inom cybersäkerhet, har en mission. Hon vill få andra att förstå att säkerhet varken är särskilt mystiskt eller svårt. Istället är säkerhetsåtgärder något basalt som alla borde räkna in i sin vardag, tycker hon.
Siren Hofvander jämför säkerheten med en stängd dörr till toaletten. De allra flesta vill avskärma sig – trots att de inte gör något olagligt – när de utför något privat.
Men först inleder Siren Hofvander sin dragning på KommIts konferens i Stockholm med en retorisk fråga till publiken:
– Hur många här tycker att säkerhet är enkelt?
Ingen räcker upp en hand och det sprids ett något generat sorl bland åhörarna.
– Okej nästa fråga. Hur många känner att de inte hänger med i säkerhetsfrågor, undrar Siren Hofvander från scenen.
Sakta sträcks händer upp i luften. En efter en. Siren Hofvander har nått fram till sin poäng. En av de stora utmaningarna med cybersäkerhet är nämligen att ämnet upplevs som komplext och överväldigande, menar hon.
– Alla personer, företag, kommuner etcetera har någon form av data och internetuppkoppling. Samtidigt upplever alla att de har säkerhetsproblem. Jag tror att vi behöver ändra vårt sätt att prata om säkerhet, säger hon
Trots att Sverige är världsledande inom digitalisering, med en andraplats globalt och förstaplats i Europa, ligger vi bara på plats trettiotvå när det gäller cybersäkerhet. Det är en diskrepans som Siren Hofvander vill hitta en lösning på.
Från hundvalpar till hackers
Säkerhetsexperten tror att en stor del handlar om vår relation till internet och tar ett tydligt exempel.
– Tänk dig att du älskar hundvalpar och hittar en hemsida full av söta bilder. Du skapar snabbt ett konto, kanske med ditt vanliga lösenord. Vad kan gå fel? Det är ju bara en hemsida om hundar, eller hur, säger hon.
Problemet är att hackare utnyttjar just sådana sidor. De vet att människor återanvänder lösenord på flera plattformar. Men ett lösenord från en oskyldig sajt kan ge tillgång till mejl, sociala medier och till och med bankkonton.
– Det är lätt att sänka garden inför gulliga valpar och det är precis vad de räknar med, konstaterar hon.
Trots att de flesta av oss använder samma epost och lösenord till massvis av konton, är det fel att skylla på människor för brister i cybersäkerheten, anser Siren Hofvander.
Säkerhetsbranschen har vetat i årtionden att lösenord inte fungerar. Ändå fortsätter man att lägga skulden på användarna för att de återanvänder eller glömmer sina lösenord.
– Lösningen måste vara att skapa system som är säkrare från början, som Face ID eller säkerhetsnycklar, som inte kräva expertkunskaper från användarna, tycker hon.
Människor är inte den svagaste länken
Återigen tar Siren Hofvander ett bildligt exempel. Hon berättar att hon är en van bilförare, trots att hon inte kan någonting om motorer. Om det hade ställts krav på säkerhetskunskaper för att få köra, hade hon troligen fått parkera sin bil.
– Jag är ingen mekaniker, men jag är över fyrtio år och har aldrig krockat. Det beror på att jag har lärt mig bedöma trafiken, säger hon.
Ingen tycker att det är konstigt att bilförare är dåliga på bilar, men säkerhetsarbete är en känsligare fråga. Många är rädda för att framstå som okunniga när säkerheten förmedlas via tekniska presentationer och komplexa policies.
– Vi ser ofta tradiga slides där policyn i toppen av pyramiden följs av riktlinjer, anvisningar och regler. Längst ner finns rutiner och checklistor. Risken är att ingen vågar ställa de viktigaste frågorna, säger hon.
Tystnadskultur
Istället för diagram visar Siren Hofvander en bild på en gräsmatta där människor har trampat upp en stig. För att sätta stopp för otyget har någon rådig person monterat en grind. Även om hindret är en barnlek att passera förmedlar grinden ett tydligt budskap till dem som vill korsa gräsmattan.
– Däremot svarar den inte på frågorna: För vilka gäller förbudet, hur länge ska grinden vara där, och vad händer om vi trotsar uppmaningen och går på stigen i alla fall. Om vi inte ställer de här frågorna bygger vi säkerhet på gissningar och inte på kunskap, säger hon.
Därför är erfarenheter det absolut viktigaste i hela säkerhetsarbete. Ett vanligt scenario när något går snett är att alla blir stressade – därefter lyckliga över att ha hittat en lösning. Man rusar förbi erfarenhetssteget, vad man egentligen lärde sig av vad som just hänt.
– Det förebyggande är mycket roligare, därför missar vi ofta frågan om grinden var bra eller dålig. Men om vi nu har byggt den här grinden måste vi också vara självkritiska till varför den inte fungerade.
Det viktiga förtroendet
För Siren Hofvander handlar säkerhet om att bygga förtroende, där fokus ligger på möjligheter och inte på hot. Hon uppmanar deltagarna att ta hjälp av varandra och bredda dialogerna. Att googla och räcka upp handen för att ställa den där ”korkade” frågan. Säkerhetsarbete får inte bli som försäkringar – en tråkig checkbox att kryssa av, menar Siri Hofvander.
– Lösenord kan vara ett problem, men människor är det inte. Om vi skapar system där alla vågar ställa frågor och vill lära sig, kan vi tillsammans göra cybersäkerhet begripligt och till och med roligt, säger hon.
Lotta Engelbrektson