När jag första gången läste Herley och van Oorschots analys av säkerhetsforskningens vetenskapliga brister slog det mig hur väl deras kritik matchar min egen erfarenhet från fältet. Och då är jag inte ens forskare skall tilläggas. Herley och van Oorschots visar att mycket av det vi traditionellt betraktar som “goda säkerhetsprinciper” är byggt på påståenden som inte går att falsifiera, att vi alltså saknar möjlighet att pröva dem verkligt vetenskapligt (Herley & van Oorschot, 2018). Påståendet som “för att vara säker måste du göra X och använda Y” låter enkelt. Men som Herley och van Oorschots konstaterar så vet verksamheter sällan eller aldrig om X och Y verkligen är nödvändigt eftersom ingen kan observera framtiden eller veta vilka tekniker angriparen kommer använda imorgon. (science-se...ag-jan2018, PDF)
Just det här perspektivet är viktigt. För cybersäkerhetsbranschen är full av regler som lever vidare mer av tradition än av evidens. Ett talande exempel är lösenordsregler. I årtionden hölls organisationer fast i komplexitetskrav, specialtecken, siffror, stora bokstäver. Detta trots att senare empiriska analyser visade att dessa krav inte ledde till verkligt starkare lösenord. Herley och van Oorschot pekar på just detta, hur en hel bransch formulerade policyer utan att någon mätte om de gav avsedd effekt (Herley & van Oorschot, 2018). Forskare som Bonneau (2012), som analyserade över 70 miljoner verkliga lösenord, visade hur användare i praktiken undvek slumpmässighet och i stället skapade förutsägbara mönster. Det var inte kontrollerna som brast, det var människorna. Och människorna brast inte för att de var “okunniga”, utan för att reglerna kolliderade med mänskligt beteende och kognitiva begränsningar. (science-se...ag-jan2018, PDF)
Det är här jag menar att cybersäkerhetens stora utmaning ligger om vi på riktigt skall bygga trygga och säkra digitala ekosystem. Vi försöker bygga system som är logiska men vi placerar dem i händerna på människor som inte fungerar logiskt. Vi skriver policydokument som är rationella, men placerar dem i verksamheter som styrs av tidspress, stress, konkurrenskrav och kultur. Det är inte tekniken som gör säkerhetsarbetet svårt, det är det mänskliga.
McLean (2018) gör en intressant poäng när han hävdar att säkerhet visst kan vara vetenskaplig, så länge vi utgår från empiriskt testbara prediktioner. Om vi exempelvis kan mäta hur snabbt en specifik maskin knäcker en specifik hash, så kan vi göra vetenskapligt giltiga uttalanden om brytförmåga (McLean, 2018). Enligt min mening har han rätt i detta. Under kontrollerade och tydligt definierade förutsättningar kan vi göra mycket precisa mätningar. (msp2018030006, PDF)
Men säkerhet är ju sällan dett, kontrollerad. Den utspelar sig i komplexa digitala ekosystem där användare improviserar, angripare uppfinner nya metoder som spelar på denna improvisation, leverantörer introducerar uppdateringar, har låg mognad avseende cybersäkerhet och verksamheter omformas snabbare än vi byter underkläder. Detta nätverk av teknik, kultur, beteende, psykologi och ekonomiska drivkrafter är så långt från laboratoriemiljön där modellerna fungerar som det går att komma.
Det är därför jag alltid återkommer till cyberpsykologi och människa först. För oavsett hur avancerade våra tekniska lösningar är kommer de falla på människors beteenden om vi inte designar för dem och deras verklighet och vardag. Detta bekräftas upprepat i forskning om säkerhetsbeteenden och framgångsfaktorer i dessa trygga och säkra digitala ekosystem. Människor tar genvägar när kognitiva belastningar blir för höga, när arbetsflöden krockar med säkerhetskrav eller när tekniken upplevs som hinder snarare än stöd (Furnell & Clarke, 2012). Människan är inte en friktion i systemet, honärsystemet.
Så hur bygger vi digitala ekosystem som både är vetenskapligt grundade och mänskligt uthärdliga? Det korta svaret är:genom mätbarhet (evidens), helhetssyn (allrisk) och acceptans av “good enough” (proportionalitet).
De mest robustaste och mogna organisationerna jag möter är inte de med flest kontroller, tjockast policys eller mest avancerade säkerhetsprodukter. De mest mogna är dem som mäter beteenden, ser system som sociotekniska, accepterar att säkerhet aldrig blir perfekt och därför satsar på kontinuitet, återhämtningsförmåga och kulturell mognad. Det är organisationer som arbetar nästan likt forskare: de testar hypoteser, mäter utfall och justerar kursen när verkligheten ändras.
Det här ligger helt i linje med vad Herley och van Oorschot efterlyser: säkerhet måste knytas till verkliga, observerbara utfall, inte abstrakta antaganden (Herley & van Oorschot, 2018). Hotlandskapet förändras, digitala ekosystem förändras, användarbeteenden förändras. Därför måste även säkerhetens mätmetoder förändras. Det är i den processen den verkliga vetenskapligheten uppstår. (science-se...ag-jan2018, PDF)
För mig är detta också kopplat till konkurrenskraft och verksamhetskritisk motståndskraft. Ett företag som inte kan mäta hur snabbt de upptäcker incidenter, hur ofta användare gör fel, hur lång tid återställning tar eller hur effektivt säkerhetsåtgärderna faktiskt fungerar. Det företaget navigerar i mörker. Det spelar ingen roll hur fina ramverk man följer eller hur mycket man investerar i teknik. Det som inte mäts kan inte förbättras, och det som inte förbättras blir snart en svag länk.
Det är därför jag menar att framtidens säkerhet inte handlar om perfektion, utan om hållbar säkerhet. Hållbar teknik. Hållbara beteenden. Hållbara processer. Hållbar kultur. Hållbar konkurrenskraft. System som är “good enough”, inte för att vi nöjer oss med något som är mediokert, utan för att vi bygger för verkligheten och inte för idealet.
För i verkligheten är cybersäkerhet i sanning inte ett ramverk, norm eller standard. Det är heller inte en kamp svart-vit kamp mellan attacker och försvar, även om vi lätt hamnar i den reaktiva bubblan. Nej, cybersäkerhet är en dans mellan människor, teknik och organisationer i synk och harmoni. Och det är först när vi accepterar det som vi kan börja bygga digitala ekosystem som fungerar på riktigt. Verklig trygghet och säkerhet som ett DNA.
Källförteckning
Bonneau, J. (2012).The science of guessing: analyzing an anonymized corpus of 70 million passwords. 2012 IEEE Symposium on Security and Privacy, 538–552.
Furnell, S., & Clarke, N. (2012).Power to the people? The evolving recognition of human aspects of security. Computers & Security, 31(8), 983–988.
Herley, C., & van Oorschot, P. C. (2018).Science of Security: Combining Theory and Measurement to Reflect the Observable. IEEE Security & Privacy, 16(1), 12–22.
McLean, J. (2018).On the Science of Security. IEEE Security & Privacy, 16(3), 6–8
