Betydelsen av förtroende: tankar kring säkerhet i den digitala eran

Efter att ha jobbat med digital säkerhet under ett kvarts sekel blir jag ofta tillfrågad om jag har något gott råd till ett företag som vill bygga upp förtroendet hos sina kunder och partner. Det finns bara ett svar: “Bete dig inte läskigt!”

Att göra liknelser med filmer kan tyckas klichéartat, men jag har ett bra talande exempel ur filmen Minority Report – om man bortser från handlingen i övrigt. Det läskigaste i filmen tycker jag är när Tom Cruises rollfigur kommer in i ett varuhus där hans ögon skannas. Då vet de direkt vilka kläder han gillar. Det kanske är att erbjuda bra service, men rätt läskigt. Jag tror många oroar sig för sådant de tycker är rätt läskigt.

När olika företag diskuterar avancerad teknik som artificiell intelligens – AI – handlar det ofta om hur kunddata kan användas för att profilera människor. De företag som använder AI måste därför göra det med försiktighet och på ett etiskt sätt som inte inverkar på integriteten. Deras kunder måste lita på att det finns en god anledning till hanteringen och att förtroendet inte missbrukas. Om du missköter dig förlorar du det där viktiga förtroendet.

Mitt uppdrag är att hjälpa företag och organisationer att använda tekniken på ett sätt som bygger förtroende. Jag tänker nu dela med mig av några tankar som jag tror en informations- och säkerhetsansvarig kan ha nytta av i sitt säkerhetsarbete i den digitala eran.

Vikten av att ta förtroendesprång

En person som jag har hämtat mycket inspiration från är Rachel Botsman, speciellt inom ett område hon kallar för förtroendesprång. Enligt henne är ett förtroendesprång när någon har tagit ett mentalt steg från det kända till det okända. Dessa språng kännetecknas av en mycket speciell känsla: osäkerhet.

När organisationer flyttar från en lokal till en molnbaserad infrastruktur måste de ta ett förtroendesprång. Det vill säga de måste ställas inför det osäkra. När vi ska ta ett stort språng mot ökad digitalisering behöver vi ha tillräckligt med information och insyn för att känna oss trygga med att ta det där språnget.

De informations- och säkerhetsansvariga som vill gå över till molnet vänder sig då gärna till storskaliga molntjänstleverantör som Microsoft och ställer sig själva den här typen av frågor:

• Tror jag att din organisation kan hantera mina data på ett säkert sätt?
• Kan jag få kontroll över dessa data när de finns i molnet?
• Har jag insyn i vad som händer i molntjänsten?
• Förstår jag hur verksamheten fungerar på serversidan?
• Kommer jag att ha insyn i riskerna?

Vi gör allt vi kan och lite till för att besvara dessa frågor eftersom vi vet att det för vissa organisationer krävs ett oerhört förtroendesprång för att flytta till molnet. Ju mer information och öppenhet vi kan erbjuda, desto mindre läskigt blir det att ta språnget. När du vet vad som kommer att hända känner du också att du har kontroll.

Hur öppenhet minskar behovet av förtroende

Öppenhet är ett ord vi ofta använder när vi diskuterar förtroende. Något som Rachel Botsman betonar och som jag verkligen håller med om är att öppenhet i sig inte bygger förtroende. Utan det minskar behovet av förtroende. Genom att vara öppen med vad du gör minskar osäkerhetsfaktorn och förtroendesprånget blir inte lika stort.

Om vi kan erbjuda de rätta kontrollerna – så att du ser vad som sker, kan granska vad som sker och kan engagera dig – ökar öppenheten och förtroendeklyftan minskar.

Jag är dock övertygad om att öppenhet, under rätt förutsättningar, också kan användas för att bygga förtroende. Dataintrånget på Norsk Hydro är ett talande exempel på detta.

Norsk Hydro är ett stort och globalt företag som tillverkar aluminium. I sina fabriker använder de digital teknik för att driva maskinerna. När företaget drabbades av en allvarlig ransomware-attack innebar det en potentiell katastrof för både produktionen och varumärket. Men sättet att hantera krisen räddade företaget.

När attacken kom höll de omedelbart en presskonferens och var väldigt öppna med vad som hade hänt. Inte bara om själva attacken utan även om de undersökningar de genomförde och hur de gjorde dem. Attacken kunde ha fått en väldigt negativ effekt på varumärket, men i stället fick företaget massor av kommentarer som handlade om förtroende och respekt eftersom de hanterat attacken med sådan öppenhet.

Detta är ett klassiskt exempel på hur man kan vända något negativt till något positivt. Det kunde Norsk Hydro genom att vara öppet, etiskt, ärligt och ta ansvar för sina kunders och partners data som utsattes för risk.

Ta ansvar för cybersäkerheten

Förtroende och sekretess är en fråga som är mycket känslomässigt laddad. Att lita på någon är att vara sårbar. Det vet cyberbrottslingar och det är därför som de ofta försöker utnyttja det förtroendet för att komma åt våra organisationer.

De ger sig inte och de kommer att lyckas. Eftersom det är mänskligt att fela kommer vi att göra misstag. Det är lätt att sätta upp regler om att medarbetarna inte får klicka på okända länkar. Men säkerhetsexperter behöver tänka på att den moderna världen är utformad på ett sätt som uppmuntrar användare att klicka på länkar. Att säga åt någon att inte klicka på en länk, är att be honom eller henne glömma allt de lärt sig under de senaste 15 åren. Detta är knappast realistiskt. Jag tycker säkerhetsexperter kan vara lite väl tuffa mot slutanvändarna i hur de förväntas bete sig.

Det är bättre att förvänta sig ett dataintrång och förbereda sig på det. Det gör jag. Jag vet att det finns kriminella och jag förväntar mig att människor gör fel. Jag tar också ansvar för att hantera den ekvationen och minimera effekterna.

Jag anser att tekniken är det bästa vapen vi har i den kampen.