Må det være så kjedelig?

Må det være så kjedelig?

Kurs er gøy. Som oftest. Men å bli innkalt til sikkerhetskurs virker like fornøyelig som innkalling fra dem med stol, sterk lampe og bor.
"Hvorfor må det være sånn" het det i en tv-reklame, jeg tror det var for vaskepulver. Jeg husker verken hva som var "sånn" eller hva løsningen besto av. Sikkert vaskepulver eller noe annet festlig. Mye av tv-reklamen består jo av muntre filmsnutter for å selge gørr kjedelige hverdagsgreier. Lavoppmerksomhetsvarer heter det.

Omtrent like spennende som datasikkerhet. Unnskyld: It-sikkerhet. Alltid viktig, alltid like drepende kjedelig. Jeg ser for meg kurset:

-- Mitt navn er Jølstad. Jeg skal snakke i tre dager om sikkerhet. Men først vil jag at dere leverer mobiltelefonene og annen elektronikk til vaktene bakerst i salen, og kler av dere. NEI, DETTE ER IKKE NOE TA-PÅ-HVERANDRE-KURS!

Synd, det kunne jo skapt litt avveksling fra terping på hvorfor passord må inneholde tegn hentet fra sumeriske leirtavler og brukernavnet ser ut som imaginære tall skrevet oktalt.

De fleste har nå fått med seg at datasikkerhet består i å holde de slemme unna og de snille inne. Brukere godtar brannmurer, spamfiltre, antivirus og diverse plunder. Samtidig er det store problemet at det jo er brukerne som er det store problemet. Uten brukere, garantert sikre datasystemer.

Men så er jo datasystemene også til for brukerne, da. Eller burde være. Et system som brukerne er fornøyde med, er sannsynligvis mer sikkert enn et som plager vettet av dem. Gammelt nytt, og fortsatt har vi ikke lært brukerne sikker oppførsel.

Da kommer sikkerhetskurset. Med herren i mørke klær og ditto oppsyn. Hvorfor i himmelens navn kan man ikke gi brukerne litt "hands on" på hva som skjer om de ikke oppfører seg ordentlig? Sett dem gruppevis på pc-er med trojanere, bakdører, virus og desslike, og la dem oppleve fandenskapet!

Kjør noen runder med "social engineering" som viser hvor lett det er å få tak i opplysninger. Ta det som gruppeoppgave, og se hvordan deltakerne klarer å bruke det de fikk vite i baren om kvelden. Eller spar det til julebordet. Hvis du ikke skjønner hva jeg mener med dette, er det greit nok.

Jeg vil at du skal skjønne at jo morsommere du klarer å gjøre sikkerhet, desto sikrere blir systemene dine.