Absolut sikkerhed og risk management

Der findes mange begrundelser for ikke at tage kontrol over sine data og få styr på sin sikkerhed. Hvad har følgende eksempler til fælles?

“Men det er jo stadig ikke nogen garanti”
“Alt kan omgås, intet er 100% sikkert”
“Sikkerhedsprogrammer kan ikke kompensere for menneskelige fejl”

I denne kontekst har udtalelserne det til fælles, at de alle afspejler den samme tro på ideen om absolut sikkerhed. De er ikke usande, men folk der forstår psykologien bag sikkerhed ser anderledes på emnet. Vi taler om risk management. For os er sikkerhed ikke noget man altid tilstræber, men derimod noget man forsøger at håndtere på bedst mulig vis. Den sikkerhed man opnår via en given handling opvejes i forhold til den pris (udgifter, tid, besvær, reduceret social anseelse m.m.) som man betaler. Kun hvis den sikkerhed man opnår overstiger prisen for sikkerheden, bør den givne handling udføres.

Dette er kort beskrevet risk management, og det er den metode både mennesker og dyr igennem millioner af år har anvendt for at klare sig igennem evolutionen. De dyr og mennesker der har været bedst til at foretage afvejningen imellem sikkerhed og prisen for sikkerheden, har haft en tendens til at overleve og videreføre deres gener. De dyr og mennesker der har været dårlige til at foretage afvejningen imellem sikkerhed og pris, har haft en tendens til at bukke under.

Så faktisk anvender vi alle risk management, også de mennesker der til tider tager udgangspunkt i den absolutte sikkerhedsopfattelse. De spænder sikkerhedsselen i bilen, velvidende at det ikke er nogen garanti imod ulykker, og de låser hoveddøren til deres hjem selvom indbrudstyven også kan komme ind ad vinduerne. Det er derfor ikke er spørgsmål om hvorvidt man skal tænke i risk management eller ej, men et spørgsmål om at blive så god til det som muligt.

Kaninen på marken
Et klassisk eksempel på risk management er kaninen der sidder på en mark og spiser. Pludselig får den øje på en ræv et stykke væk. Skal den øge sin sikkerhed ved straks at flygte? Den kanin der har for stor fokus på prisen for sin sikkerhed, og dermed finder det for besværligt at flygte, vil have en tendens til at blive spist af ræven. Den kanin der tillægger sin sikkerhed for stor fokus og altid straks flygter, vil have en tendens til at dø af sult.
Evolutionen favoriserer de væsener der formår at finde den rette afvejning imellem sikkerhed og pris. Dette er risk management.

Forståelsen for denne evolutionære side af sikkerhed mangler desværre hos de fleste mennesker i dag. Samfundet baserer sig ofte på en utopisk forestilling om 100% sikkerhed. Altså en absolut opfattelse af sikkerhedsbegrebet. Selv mange af dem der beskæftiger sig med sikkerhed dyrker ideen om absolut sikkerhed. Tanken lader til at være, at enten har man tilstrækkelig høj sikkerhed, eller også har man det ikke. Enten eller. Afvejningen af sikkerhed og pris bliver overset. Ligesom i eksemplet med kaninen på marken kan det have to forskellige konsekvenser, som begge er uheldige.

1. Overdreven fokus på pris
Folk konkluderer at fordi de ikke kan opnå 100% sikkerhed, kan de lige så godt lade være med at øge sikkerheden. Hvorfor kryptere sin harddisk når en angriber alligevel kan få adgang til den via hacking?

2. Overdreven fokus på sikkerhed
Andre gør så meget for at øge deres sikkerhed, at de overser prisen og ikke har ressourcer til andet. Der kan være praktisk arbejde de ikke får lavet fordi de i stedet har overfokuseret på deres sikkerhed. Eller måske drukner de i bekymringer og glemmer at leve og nyde selve livet.

Her er nogle konkrete eksempler der relaterer til vejledningerne på denne hjemmeside, for det er her der ofte dukker udtalelser op, som minder om dem i starten af bloggen.

Hvorfor ikke følge Sektion 2 i Generel IT-sikkerhed så du kan reducere risikoen for malware på din PC?
“Men det er jo stadig ikke nogen garanti”
Korrekt, men det væsentlige er ikke om det giver nogen garanti, men om det er det værd. Der er besvær forbundet med at følge enhver vejledning og at bruge ethvert program. Det rigtige spørgsmål er derfor, om den sikkerhed man opnår ved at følge Sektion 2 i Generel IT-sikkerhed er besværet værd.

Hvorfor ikke kryptere harddisken så fremmede ikke kan misbruge dine data hvis du skulle miste den?
“Alt kan omgås, intet er 100% sikkert”
Igen sandt, men også irrelevant. At afvise noget der øger sikkerheden med at det ikke giver 100% sikkerhed, svarer til ikke at ville spænde sikkerhedsselen når man kører bil. For det er jo heller ingen garanti imod ulykker. Alligevel kan man argumentere for, at det giver mening at gøre. Ikke fordi det giver nogen absolut sikkerhed, men fordi den sikkerhedsforøgelse man opnår ved at spænde sikkerhedsselen, er de få sekunder man betaler i pris værd.

Hvorfor ikke installere kryptering til emails?
“Sikkerhedsprogrammer kan ikke kompensere for menneskelige fejl.”
Det kan man dårligt være uenig i, for selv de bedste programmer er ikke skudsikre hvis de anvendes forkert. En bil der anvendes forkert kan også føre til ulykker. Men som argument for helt af afholde sig fra at kryptere sine emails, lader dette synspunkt meget tilbage at ønske. Ligesom sikkerheden øges på det menneskelige område via oplysning (blogs som denne), så kan den teknologiske sikkerhed øges via teknologiske løsninger (vores vejledninger).

Overvej dette: Hvilke personer opnår den højeste sikkerhed?
A. Nogle personer der holder sig til at “Sikkerhedsprogrammer kan ikke kompensere for menneskelige fejl” og derfor ikke anvender sikkerheds eller krypteringsprogrammer. De sender og opbevarer altså deres data ubeskyttet.
B. Nogle personer der erkender muligheden for menneskelige fejl, søger at undgå dem, og i øvrigt anvender sikkerhedsprogrammer som et yderligere lag af beskyttelse.

Det er klart at de sidst omtalte personer, alt andet lige, opnår den højeste sikkerhed. At man pludselig kan kommunikere krypteret, betyder trods alt ikke, at man nødvendigvis behøver at skrive mere følsomme oplysninger end førhen. I erkendelse af manglen på absolut sikkerhed, kan det give perfekt mening, at vedblive med at skrive som man førhen gjorde, men nu bare glæde sig over at kunne gøre det krypteret, og dermed mere sikkert.

Så i sidste ende bliver også dette eksempel et spørgsmål om hvorvidt sikkerheden er besværet værd, ikke om hvorvidt der kan ske lejlighedsvise menneskelige fejl. At der sker en fejl hvor en email ved et uheld bliver sendt ukrypteret, giver trods alt stadig højere sikkerhed, end hvis samtlige emails året rundt bliver sendt ukrypteret.

Med mindre man bare er helt ligeglad, så findes der reelt set meget få gyldige årsager til ikke at få styr på sin online sikkerhed. En enkelt reel og ærlig årsag findes der dog: Prisen er for høj!
Med vejledningerne på denne hjemmeside er prisen blevet væsentligt reduceret.

.

Anbefalet læsning:
The Psychology of Security
In Praise of Security Theater
Does Risk Management Make Sense?
Reconceptualizing Security (video)
How to fight security fatigue