Nu är det bevisat. Krångliga lösen­ord är den jobbigaste av alla jobbiga säkerhetsrutiner. Det framgår av en undersökning där CIO/CSO och säkerhetsföretaget Norman har låtit 1 200 användare ranka sina mesta avskydda säkerhetsrutiner. Att vara CSO är att hantera motstånd, ­anser de tre säkerhetschefer som vi har låtit kommentera resultaten.
– Slutanvändare gillar inte att följa regler, det är grundläggande psykologi, säger Ron Maïga, på Stockholms Stads statistiska kontor, USK.

Hur ser man till att rutiner efterlevs?
– Säkerhetshöjande utbildning är bra. Men en chef, hur duktig han eller hon än är, kan aldrig övertyga och undervisa så skickligt att säkerheten garanteras helt, anser Håkan Kvarnström, säkerhetschef på TeliaSonera, som istället strävar efter maximal automatisering.

Det finns ett tydligt mönster i undersökningen: Yngre stör sig mer än äldre på säkerhetsrutiner. Kanske är yngre användare en dold säkerhetsrisk?
– Det förvånar mig lite, jag hade trott att yngre använ­dare skulle ha mer insikt om hoten. Men det är väl livser­farenheten som syns i resultaten, säger Peter Lindén, CSO på Kemikalieinspektionen.

Om personalen inte följer reglerna kan felet lika gärna ligga i rutinen. Eller hos den CSO som ­skapade den.
– Om du till exempel förbjuder WLAN på kontoret kan du vara helt säker på att någon kreativ person sätter upp en egen lösning – med mycket sämre säkerhet än den ledningen kan erbjuda. Man måste hitta rätt nivå, säger Håkan Kvarnström.

Krångliga lösenord

1. Irriterande att

byta lösenord ofta

Jobbigaste rutinen: Lösenordshanteringen.
–Jag är inte förvånad. Alla säkerhetschefer i världen vet att folk stör sig på detta, säger Ron Maïga på Stockholms stad.

Ofta har användaren tre eller fyra lösenord att komma ihåg, först för klienten och sedan för de olika systemen. Lösenord som brukar vara som bortblåsta när semestern är slut. Att de dessutom måste bytas med jämna mellanrum gör inte saken bättre.
Hur får man användarna att ändå byta så ofta som krävs?
Ron Maïga tror på tjat, utbildning, ledningens ovillkorliga stöd – och så kallad hint-inloggning, att man får en personlig ledtråd vid varje lösenord.
Håkan Kvarnström berättar att Telia Sonera har över hundra olika system.
– Därför har vi valt single sign on och att informationen ska klassificeras i tre nivåer efter hur hög säkerheten måste vara, säger han.

Alla CSO:erna vi talat med jobbar med att göra lösenorden lagom långa.
– Man kan inte ha lösenord med 20 tecken som byts varje vecka. Då skriver folk snart upp lösenordet på en post it-lapp på datorn, och då var det ju inte direkt någon mening med de höga säkerhetsambitionerna, säger Peter Lindén, CSO på Kemikalieinspektionen i Stockholm.

Förbjudna usb-minnen

2. Att inte få

använda lösa minnen

Det finns ett stort tryck i alla organisationer bland användarna på att få använda usb-minnen. De upplevs som myc­ket bekväma. Men CSO:erna är skeptiska.
– Det har förstås hänt att folk har tappat minnen med känslig information. Och det lär inte vara sista gången, säger Peter Lindén på Kemikalieinspektionen.

– Det är ett litet helsike för oss att folk tar med sig usb-minnen hit och dit och pluggar in dem överallt. USB är ett bra sätt att sprida virus. Och har man informationen enbart på minnet så tar man en risk att förlora den, säger Ron Maïga.

– Men det är också ett helsike att ha en organisation där man inte får använda usb alls. Därför har vi sagt att man kan få dispens i akuta lägen. Systemen är ju till för användarna, inte tvärtom.

På TeliaSonera jobbar man på saken.
– Vi prövar biometrisk inloggning med fingeravtryck på alla usb-minnen. På så sätt kan vi släppa hanteringen av usbganska fritt. Enda problemet är att de är dyra, upp över 1 500 kronor per minne. Egentligen är problemet det samma med mobiltelefoner, och vi tittar på en biometrisk lösning där också, säger Håkan Kvarnström på TeliaSonera.

Störande webbfilter

3. Att vissa

sajter blockeras

Många tycker att webbfilter är störande, lite av ett underkännande av den anställdes omdöme. Men de är en självklar säkerhetsrutin, tycker säkerhetscheferna.
TeliaSonera spärrar det som är uppenbart olämpligt och förbjudet.
– För vår personal stoppar vi enbart barnpornografiska sidor. När det gäller våra kunders internetaccess stoppar vi det som polisen ålägger oss. Den listan är lite vidare och omfattar
sidor som innehåller information av kriminell art. Det inkluderar barnpornografi, men även en del andra ”olagliga” sidor. Vi möter inget motstånd mot det, säger Håkan Kvarnsström, CSO på TeliaSonera.
– I övrigt strävar vi efter att bevara användarnas frihet så långt det går genom att spärra så lite som möjligt.

Ron Maïga på Stockholms stad går lite längre.
– Visst, webbfilter upplevs som besvärande, att man inte får bestämma själv hur man surfar fullt ut. Men vi har ändå beslutat oss för att stoppa så kallad torrent-användning, nedladdningstjänster som hämtar fragment av exempelvis filmer och låtar från flera servrar världen runt, så att de som lägger upp dem inte kan spåras. Vi vill inte att personalen ska lockas att syssla med sånt som inte har med jobbet att göra, som att ladda ner musik och filmer, och som dessutom bryter mot copyright-lagen, säger Ron Maïga.

Arbetsmaterial

4. Att inte få ta 

med jobb hem

Användarna tycker oftast att de ska kunna ta med sig jobbmaterial hem – begränsnin­gar i denna friket är inte populärt, särskilt inte bland småbarnsföräldrar.
– Men har man som hos oss kanske listor med namn på känslig information om olika personer få det inte finnas skuggan av en chans att materialet hamnar i fel händer, det förstår var och en, säger Ron Maïga.

– Stockholms stads ”e-skrivbordet”– en tunn klient-lösning baserad på Citrix Metaframe gör att användaren kan komma åt sina mappar på jobbet via en webbläsare, men de kan inte spara ner dem på sina lokala hårddiskar, säger Maïga.

På Kemikalieinspektionen möter Peter Lindén nästan inget motstånd alls mot den här typen av begränsningar.
– Medan lösenordsregler kan upplevas som krävande och kanske godtyckliga, är de här bergränsningarna mer accepterade. När man vill ta med sig vissa uppgifter hem ser man ju exakt vilka uppgifter det rör sig om och förstår därmed också varför de är känsliga och måste skyddas.

Bärbar dator

5. Att inte få föra över material till datorn

Ron Maïga på Stockholms Stad tycker att riskerna beror på hur den bärbara datorn används.
– Jag skulle väl inte rekommendera någon novis att ta med sig datorn till parken, dricka öl och jobba på bärbara – när han vänder sig om så är datorn borta. Däremot kan man tillåta användning om det sker med försiktighet.

På TeliaSonera resonerar man tvärtom.
– Att våra anställda använder datorer och internet privat är kompetenshöjande och det är tillåtet att koppla in och använda företagets laptop på sitt privata bredband, säger Håkan Kvarnström på TeliaSonera, som är inte orolig för att datorerna ska komma bort.
– Vi litar på krypteringen via VPN och den krypterade hårddisken.

Ett problem för en stor organisation är att bärbara datorer förr eller senare kan bli borttappade datorer.
Hos Kemikalieinspektionen förstår personalen rätt väl att det är så. Och att man bara kan jobba med vissa saker stationärt, enligt CSO Peter Lindén.
– Det beror nog på att man jobbar mot en databas och ser
exakt vilka känsliga uppgifter som finns där. Då blir begränsningen konkret och begriplig i det ögonblick den uppstår.