IT-SIKKERHED: MEDARBEJDERNE BLIVER SVIGTET AF ARBEJDSGIVERNE
”Jeg er udlært tømrer. Det betyder, at jeg gør tingene som håndværker. Jeg lærer på den hårde måde: prøv at gøre det, og så kigger vi på det bagefter for at se, hvad du kan gøre bedre næste gang. Den lære har jeg taget med mig. Jeg har det bedst med at røre ved ting og selv at slå det i stykker,” siger Sune Gabelgård, leder af svindelbekæmpelse i MobilePay.
Han er ikke en, der sætter sig ned ved hæve-sænkebordet for at læse en manual igennem.
”Jeg er mere learning-by-doing.
Netop den tilgang til verden har fået Sune Gabelgård til at stille et solidt spørgsmålstegn ved hele den måde, som IT-sikkerhedsbranchen – og ja egentlig hele arbejdsmarkedet – i dag griber IT-sikkerhed an på. I stedet for at se medarbejdere som det svageste led i forsvaret mod de IT-kriminelles angreb, skal arbejdsgiverne gå langt mere praktisk til værks, hvis de virkeligt ønsker at gøre en forskel i den kamp.
I stedet for at se medarbejderne som en potentiel risiko eller fare for IT-sikkerheden på arbejdspladsen, bør de vende blikket indad for at se, om de giver de ansatte de rigtige redskaber til at løse deres opgaver sikkert. Gør de ikke det, svigter de deres opgave.
Men inden vi kommer så langt, lad os for et øjeblik rette blikket mod den rejse, der bragte Sune Gabelgård frem til den konklusion. Vi skal tilbage til 90ernes Danmark.
Et mentalt lods bag i
Inden han begyndte i tømrerlære, havde han med i baggagen 10 måneder i Livkompagniet, der dengang var en del af de danske kamptropper.
”Også det spiller en rolle for mig. Det var min opdragelsesanstalt. Ikke fordi jeg var nogen slem kriminel. Jeg havde bare brug for at få et mentalt lods bag i for at komme videre i den rigtige retning. Jeg skulle lære selv at komme i gang i stedet for at vente på, at nogen kom og serverede det hele for dig.”
Han smiler lidt:
”Jeg er også en mand. Og en mandehjerne er jo ikke så veludviklet i 20-årsalderen. Jeg havde brug for, at nogen gav mig en retning, for det kunne jeg ikke på det tidspunkt. Jeg kom så i gang med tømrerlære lige efter det.”
Selv om han havde drømt om at blive tømrer i lang tid, stemte virkeligheden ikke helt overens med drømmene. Han ville gerne arbejde med træ og sine hænder, men i starten af 90erne oplevede han hverdagen på byggepladserne som en ganske anden. Han blev sat til at håndtere gipspladser, stålrigler og isolering.
”Samtidig kunne jeg se, at mange af mine kolleger dengang var slidt op i 50-årsalderen. Arme, ryg og knæ kunne ikke mere. Mange drak for meget. Jeg kunne ikke rigtigt se mig selv i de roller,” siger Sune Gabelgård.
”I baghovedet havde jeg drengedrømmen om at blive politimand, at komme ud og redde hele verden. Min far var også politimand, så det var meget nærliggende. Jeg havde jo set, hvad han lavede. Det gav god mening for mig. Så jeg var nærmest lige blevet udlært som tømrer, da jeg søgte ind på politiskolen.”
“I det øjeblik jeg erkender, at kollegaen ikke er dum, erkender jeg også, at det kan blive mig næste gang.”
Sune Gabelgård, Head of Financial Crime Prevention, MobilePay
Nødt til at løfte i flok
Årstallet er 1998.
”Dengang havde man mange små politikredse. Og Jeg var så heldig, at jeg landede på en lidt mindre politikreds, ude på Amager, i Tårnby. Her kommer man til at lave alt, lige fra at følge svanen over vejen til at efterforske drab. Der var nemlig ikke andre til at gøre arbejdet. Vi var nødt til at løfte i flok.”
I dag ser Sune Gabelgård sig selv som heldig. Han kom rundt i forskellige afdelinger, hvor han begyndte at arbejde med at analysere de data, som efterforskerne havde indsamlet. Første gang han præsenterede sine resultater, blev der grinet lidt af den unge mand.
”Jeg begyndte med at kigge på det affald, som kommer i løbet af en efterforskning. Her ligger noget data, som man ikke rigtigt havde brug for.”
Hans analyse gav resultater. Og han begyndte at arbejde mere systematisk med at analysere større datamængde. Igen med en meget praktisk tilgang til arbejdet.
Netop dette er afgørende for Sune Gabelgård.
”Hvis man vil have tingene til at spille bare 20 procent mere, er man nødt til at forstå til bunds, hvordan tingene helt lavpraktisk hænger sammen.”
Under sit arbejde i politiets analyseafdeling, lærte han at analysere store mængder data med henblik på at løse konkrete problemer.
”Man begynder fra den ene ende for objektivt at se, hvor data leder en hen. Det er ikke helt det samme som et af tidens modeord, nemlig data-driven. Det i sig selv gør det ikke. Hvis du kun kigger på, om det er et ettal eller et nul, risikerer du at blive bragt et forkert sted hen. Du er nødt til at forholde dig til, hvad der har generet de data, du vil analysere,” siger Sune Gabelgård.
Den vigtige lære lærte han igen på den hårde måde, nemlig at når han ikke forstod noget, så at spørge dem, der rent praktisk arbejdede med at fodre systemerne med data. Men en egentlig IT-uddannelse har han aldrig fået.
”De bedste resultater, jeg har fået, har været at sætte mig ned for at se, hvilke data der er. Hvis jeg ser på en logfil, vil jeg ret hurtigt kunne se et mønster i data.
Det er ikke sikkert, at jeg forstår det mønster. Men så ved jeg i det mindste, hvilke spørgsmål jeg skal stille til hvem.”
“For mig gælder det om at få filtreret en masse unødig støj væk. Gør tingene enkle og til at bruge i hverdagen. Kun på den måde undgår du, at en medarbejder i bogholderiet bliver narret til at sende 100.000 dollars til Hong Kong.”
Sune Gabelgård, Head of Financial Crime Prevention, MobilePay
Går ild i min computer
Med samme tilgang har han forsøgt at se på IT-sikkerhed. Og her kommer vi frem til den analyse, som får Sune Gabelgård til at forkaste den gængse opfattelse om, at medarbejderne er det svageste led i en arbejdsplads’ IT-sikkerhed.
”IT-sikkerhed er et felt, der er vokset ret kraftigt de seneste år. Alligevel er det sjældent synderligt konstruktivt, hvad der kommer ud af det. Det starter i virkeligheden med, at IT-sikkerhedsverdenen har udviklet sit eget lille stammesprog. Et sprog som ikke ret mange forstår. Man snakker om DDOS, RDDOS og ransomware. Den retorik gør brugerne bange. Både i bestyrelsen og blandt medarbejderne.”
Kort pause, inden Sune Gabelgård fortsætter:
”Når man taler til medarbejderne på den måde, tænker de: Jeg tør næsten ikke tænde min computer. Der går formentlig ild i den. Og bestyrelsen tør ikke stille de spørgsmål, som de burde stille. De siger bare: ’Det er noget lort. Hvor mange penge skal I bruge?’ De forholder sig ikke til det, der reelt bliver sagt.”
Det er alt sammen med til at puste til frygten. Hertil kommer den alt for megen fokus på de farlige avancerede angreb på arbejdspladsens IT-systemer.
”Men skal vi være helt bundærlige, så er den største trussel, at en eller anden kommer til at trykke på et link i en mail, så der bliver downloadet et eller andet. Selvfølgelig er der også en fare for, at de kriminelle finder en sårbarhed i et system, de så kan udnytte. Selv om det også kan være grimt, er det en mindre trussel.”
Al den paranoia er alt andet end konstruktiv, fordi den ofte fører, at virksomheden indfører ikke særlige konstruktive forretningsgange, som gør det vanskeligt for medarbejderne at udføre deres daglige arbejde, understreger Sune Gabelgård.
Ulven kommer, ulven kommer
Det nytter for eksempel ikke meget bare blankt – og ikke særlig intelligent – at forbyde medarbejderne at klikke på links eller dokumenter i en mail.
”I stedet skal IT-sikkerhedsafdelingen tage snakken med dig som bruger. De er nødt til at spørge mig: ’Hør Sune, får du nogensinde mails med links, som du har behov for at klikke på? Får du nogensinde uopfordret tilsendt et CV fra en, som søger job, hvor du er nødt til at åbne en fil?’ Svarer jeg ja til de spørgsmål, skulle de komme med et værktøj, som jeg kan bruge i min hverdag. Det nytter ikke blotvat råbe op om, at ulven kommer.”
Hvis IT-sikkerhedsafdelingen er deres opgave voksen, sørger de for at give deres kolleger praktiske redskaber, som er nemme og naturlige at bruge, når de har brug for at downloade dokumenter, som bliver sendt til dem.
”Det ville være langt mere hensigtsmæssigt, hvis IT-sikkerhedsfolkene rent faktisk forholder sig til brugernes hverdag i stedet for at gøre det sværere for dem at gøre deres arbejde.”
Sune Gabelgård fortsætter:
”I stedet ville det gøre en positiv forskel, i stedet for hele tiden at sige: ’Pas på.’
Men bare 20 minutter senere er den her HR-medarbejder mellem to møder og får en vigtig mail. Så tænker de ikke over den advarsel. Det er den virkelighed, man mangler at forholde sig til.”
Sendt 100.000 dollars til Hong Kong
Han understreger, at den gængse opfattelse af medarbejderne som det svage led, når det gælder IT-sikkerhed er fuldkommen forkert.
”For mig gælder det om at få filtreret en masse unødig støj væk. Gør tingene enkle og til at bruge i hverdagen. Kun på den måde undgår du, at en medarbejder i bogholderiet bliver narret til at sende 100.000 dollars til Hong Kong. I stedet for bare at gøre dem bange lige her og nu, skal man bruge tiden til at forklare den enkelte medarbejder, hvorfor og hvordan man sikrer sig, mens man gør sit almindelige arbejde”.
Hvis ikke risikerer man, at medarbejderne nok overholder reglerne men ikke efter hensigten. Mange arbejdspladser har f.eks. regler om, at skal man overføre penge, skal det godkendes af to personer.
”Men jeg har ofte set, at det alligevel går galt – også på store arbejdspladser. Der har været fine kontroller på plads, men så opstår der en kultur om, at når to personer skal godkende, så får man lige sin kollega lige ved siden af til at klikke godkend: ”Gider du ikke lige godkende den her?” Det er jo ikke nogen reel kontrol.”
De har bare dækket deres egen røv
Alt hvad man har opnået med den slags regler, er, at IT-sikkerhedschefen og compliance-chefen kan sige, at alt er godt. De havde jo indført reglerne og manualerne. Det var medarbejdernes skyld, at det gik galt lige i den her specifikke situation.
”Men i den situation har de jo ikke levet op til deres ansvar. De har bare dækket deres egen røv af. Den slags gør mig ked af det, fordi man svigter medarbejderne ved ikke at bruge den tid, der skal til på at forklare medarbejderne, hvorfor reglerne er, som de er. ’Og her er et redskab, du kan bruge til at gøre det rigtigt.’
Der er ligefrem virksomheder, hvor det er alt for besværligt at udføre de mest almindelige opgaver. Det er ikke godt for firmaet. Det gør heller ikke noget godt for medarbejdernes motivation.”
Ifølge Sune Gabelgård er det som oftest et resultat af, at arbejdspladsen hele tiden har strammet skruen, hver gang der kommer noget op i medierne, sker noget internt eller et IT-sikkerhedsfirma har solgt dem et eller andet nyt smart system. Den slags sker, hvis man ikke sætter sig ned for at analysere, hvor de reelle farer er, og hvad man kan gøre for at undgå dem.
Der var du nok lidt dum
I stedet er der en kedelig tendens til, at både medarbejdere og chefer peger fingre af dem, det gik galt for. Der var du nok lidt dum, kan det lyde. Men den slags får dem jo ikke til at rejse sig op for at råbe vagt i gevær.
”Og har du trykket på et link, der er ved at eksekvere ransomware, eller du er kommet til at overføre 100.000 dollars til Hong Kong, så skal det gå stærkt. Så har vi brug for, at der bliver råbt op højt, så der kan blive grebet ind. Men laver du en kultur, hvor medarbejderne er smådumme, er der ingen, som rejser sig op i tide.”
Sune Gabelgård tager en pause for lige at gå tilbage til sine 17 år som politimand, hvor han bl.a. mødte en mand, der var blevet svindlet for en million. Hans første reaktion var at tænke: ”Hold kæft, hvor er du dum.” I næste øjeblik skammede han sig, fordi ofret var jo ikke dumt. Når han havde en million på sin konto, var han næppe helt dum. Han var bare blevet snydt.
”Ofrene skammer sig så meget. De fortæller det ikke til deres familie. Jeg har sågar mødt koner, som ikke havde fortalt deres mænd, at de har mistet alle familiens penge.”
”Så når jeg har brug for at pege fingre af f.eks. en kollega som snotdum, er det, fordi jeg i virkeligheden godt ved, at det lige så godt kunne være mig selv. Det har man som menneske brug for, fordi vi kan ikke lide tanken om, at det kunne være mig i morgen. I det øjeblik jeg erkender, at kollegaen ikke er dum, erkender jeg også, at det kan blive mig næste gang.”
Politiet grinte af mig
Alle kan blive tørret, hvis man ikke ved, hvad der foregår. Tag en almindelig forretningsrejse til Stockholm, hvor Sune Gabelgård skulle til et møde. Han snupper en taxa. Der er jo en fast pris på et par hundrede svenske kroner fra lufthavnen ind til byen. Helt i orden. Da mødet er færdigt, prajer han en taxa for at komme tilbage til lufthavnen. Ved ankomsten lyder regningen på 1.800 svenske kroner.
”Jeg endte med at tilkalde politiet. De grinte af mig: Sådan er det her. Fast pris gælder kun fra lufthavnen og ind til byen. Sidste gang jeg blev tørret på den måde, var i Mogadishu,” griner Sune Gabelgård, inden han kommer med pointen:
”Men betyder det, at jeg var dum? Nej, jeg kendte bare ikke reglerne i Stockholm. Jeg manglede noget viden, så jeg blev snydt. Det samme sker i den digitale verden.”
Mens han var ansat i Nets fik han antropologer til undersøge, hvem det er, som falder for svindel over nettet. Svaret var, at det er typisk veluddannede mennesker. De er som oftest intelligente, men de er ikke indfødte digitale. Typisk er de over de 55 år og har en videregående uddannelse som f.eks. ingeniør.
Og det er med det udgangspunkt, at man skal gå til IT-sikkerhed i fremtiden, lyder hans pointe.
”Helt grundlæggende skal vi tænke medarbejderne som det stærkeste led. Det begynder helt tidligt i folkeskolen med at indføre et fag som digital dannelse.”
Samtidig skal vi vende blikket mod medarbejderne i stedet for deres arbejdsplads.
”Vi skal spørge medarbejderne om, hvordan vi som IT-sikkerhedsfolk kan hjælpe dem med at gøre deres hverdag mere sikker.”
Alt muligt skørt
Ikke alene er medarbejderne de reelle eksperter på deres arbejdsopgaver. De er de bedste til at vejlede IT-sikkerhedsafdelingen om, hvor de mangler hjælp. Dette i sig selv vil være en sund øvelse, fordi det bringer IT-sikkerhedsfolkene i øjenhøjde med de mennesker, de er sat til at betjene.
”Der sidder sikkert medarbejdere, der laver alt muligt skørt, som IT-sikkerhedsafdelingen intet ved om. Når man har talt med Birthe i HR om, hvad hun skal gøre for at kunne åbne ansøgninger sikkert, skal man have en snak med hende om, hvad der kan ske, hvis det går galt.”
”I dag går man bare ud fra, at det ved Birthe da godt. Og så laver vi i øvrigt lige en løsning, der ikke passer til hendes hverdag.”
Alt for meget IT-sikkerhed er konstrueret med det formål, at cheferne kan nikke indforstået til hinanden: ”Ja, vi har jo gjort, hvad vi skulle. Det er ikke vores skyld, at medarbejderne ikke har læst det, som står på side 14 nederst.” Og så er vi tilbage ved Sune Gabelgårds pointe om, at det mere handler om at sikre sin egen røv mod en fyreseddel end at sørge for, at IT-sikkerheden rent faktisk er i orden.
For hvem har tid til at læse 14 sider om IT-sikkerhed og huske det bagefter? Et nærliggende svar på det spørgsmål kunne være, at det kun er de folk, der har skrevet manualen.
”Samtidig kan man stille det spørgsmål, om det er rimeligt at fyre en medarbejder for at have lavet en fejl, hvis der nu var et værktøj, der kunne have hjulpet den pågældende person. Men som var blevet valgt fra.”
KORT OM SUNE GABELGÅRD
\ Uddannet tømrer i 1998.
\ Uddannet på politiskolen fra 1998 til 2001.
\ Ansat som betjent i politiet 2001-2005.
\ Analysekursus på NATO School i Oberammegau, Tyskland.
\ Senioranalytiker i politiet fra april 2005 til februar 2016.
\ I 2016 skifter han til Danske Bank som senioranalytiker, hvor han arbejder frem til februar 2019.
\ Gennemført en master i bekæmpelse af svindel og korruption på Portsmouth Universitet, England.
\ Fra marts 2019 til juli 2020 er han Head of Digital Fraud i Nets.
\ Han skifter til jobbet som Head of Financial Crime Prevention i MobilePay i juli 2020.
Er det rimeligt at fyre
Selv har han set det i sager med CEO-fraud, hvor medarbejdere er blevet manipuleret til at sende penge til svindlerne. Selv om de er blevet groft snydt af mails og SMS, der ser ud til at komme fra chefen, bliver de fyret.
”Men er det rimeligt? Medarbejderne har ikke en chance for at undgå det. Arbejdsgiverne svigter dem ved ikke at give dem de rigtige redskaber til at undgå at blive snydt. Hvis man ikke har givet den pågældende medarbejder de rigtige instruktioner, er det så medarbejderens fejl? Sådan tænker man ikke. I stedet fyrer man Birthe for at have overført penge til Hong Kong.”
Men nej, Birthe er ikke det svageste led. Det er arbejdspladsen, som har svigtet, lyder Sune Gabelgård.
”De største trusler mod danske virksomheder er angreb mod medarbejderne. Sådet er dem, vi skal styrke. IT-sikkerhedsfolkene skal ud til de enkelte medarbejdere for at spørge: ’hvad kan vi gøre for at beskytte dig?’ Kun på den måde får man medarbejderne med.”
Skriv en kommentar
This site uses Akismet to reduce spam. Learn how your comment data is processed.