Følelser vinner over sikkerhets-realiteter

Følelser vinner over sikkerhets-realiteter

Vi er ikke i stand til å vurdere sikkerhetsrisikoer rasjonelt. Derfor må sikkerhetsselskapene spille på følelser for å selge produktene sine.

RSA CONFERENCE, LONDON: - Folk reagerer på følelsen av sikkerhet mye mer enn realiteten rundt sikkerhet, sier Bruce Schneider, sikkerhetsteknolog og sikkerhetssjef i BT Counterpane.

Vi har sikkerhetsvurderinger i oss. Sikkerhet har vært vurdert siden menneskene begynte å jakte. Risikerte man ikke noe, ville man ikke få tak i byttet med påfølgende konsekvenser for familien.

- Det er ikke noe som er absolutt sikkert. Sikkerhet handler om å gjøre avveininger. Fra èn hendeles er det ikke mulig å si noe om risiko, fordi det ikke er nok data, fortsetter Bruce Schneider.

Hysteriet etter 11. september er i denne sammenheng forståelig fra et psykologisk synspunkt, men ikke fra en realitetsvurdering. Følelsen vant over virkeligheten.

LES OGSÅ: Sikkerhet sluker it-budsjettene

- Folk overestimerer risikoen for jordskjelv, men undervurderer risikoen for brann, sier Schneider.

Vannepisoden i Oslo forrige uke er et typisk eksempel. For å unngå problemer - i tilfelle vannet faktisk skulle være helsefarlig - valgte man å være paranoid. Bakgrunnen er nåtidens største historieforteller: Tv-en. Ifølge Schneider påvirkes mye mer enn vi tror av hva media velger å kjøre frem rundt trusler og sikkerhet.

- Men hvis det er på nyhetene er det ingen grunn til å legge for mye vekt på det, fordi nyheter er det som sjelden hender, understreker Schneider.

Signaler

Hvordan vi oppfatter behovet for sikkerhet innen it handler om signaler. Signaler er rapporter, utmerkelser og gjennomganger av et sikkerhetsprodukt. Signaler er også hva en kollega eller venn hevder. Vi stoler mer på de vi kjenner enn på informasjon fra ukjente.

Grunnen til at vi reagerer på signaler er at vi ikke har nok data til å vurdere hvilken risiko vi utsettes for. Derfor vil de som er gode til å fortelle en historie vinne over dem som ikke makter å få frem sine fortrinn.

- I et marked hvor selger vet mer enn kjøperen blir de dårlige produktene solgt, mens de gode blir drevet ut av markedet, hevder Schneider.

Pris er første element rundt evnen til å fortelle en historie. Mange gode sikkerhetsprodukter er forsvunnet fra markedet fordi markedsførerne ikke har maktet å fremheve produktenes ekstra kvaliteter.

Ifølge Bruce Schneider overlevde ikke den beste brannmuren og heller ikke den beste IDS (Intrusion Detection Systems), innbruddsavsløringen. Over tid vil likevel dårlige produkter plukke opp funksjonene fra gode produkter som tapte kampen.

Tiltak

It-sikkerhet i firmaene handler også om å gjøre avveininger. Det omfatter kostnader for sikringstiltak, tapt fortjeneste ved sammenbrudd, tap av kunder, dårlig omtale i media og tap av omdømme.

Kostnadene må derfor vurderes mot konsekvensene ved et sammenbrudd og hvor sannsynlig et sammenbrudd er. Schneider mener det foregår et kappløp mellom profesjonelle hackere som ønsker å utnytte virksomheters mangel på sikkerhet og de verktøy virksomhetene har til sin disposisjon.

Relativt nytt er for eksempel ekte web-sider fra firmaer man stoler på, hvor uærlige sjeler legger til et par ekstra datafelt. Kunden blir bedt om å fylle ut eksempelvis passord enda en gang og kortnummer. Disse dataene går til svindlerne. Resten går til leverandøren.

Verktøyleverandørene må derfor hele tiden jobbe med å forbedre sine virkemidler. Det fikk Norman føle på kroppen ved angrepet mot Dnbnor. Det nytter ikke å slå seg til ro.

- Vi har et problem med sjeldne hendelser. Vi teller en, to, tre, mange. Men i praksis er observasjonen om "mange" veldig nøyaktig for "ikke veldig ofte" eller "sjelden", får ikke folk til å reagere. Heller ikke en risiko på en ti tusendedel eller enda mindre, sier Schneider.

Sikkerhetsarkitekter må adressere både følelse og realitet. Hvis ikke de også tar seg av det følelsesmessige, risikerer de at ingen bryr seg selv om at de har laget et godt produkt.

Derfor gjelder det å utnytte "sikkerhetsteateret" hvor man adresserer følelsen av sikkerhet. Ideen er å skape tablåer som anskueliggjør trusler. Et eksempel er alle vaktene på flyplassene fra de amerikanske sikkerhetstyrkene etter 11. september. De sto over alt på flyplassene med sine maskingevær, men de hadde ikke kuler.

Les om:

Sikkerhet