Risiko er noe vi forholder oss til, vurderer og godtar hele tiden. De fleste av oss er klar over at det er en viss risiko ved å fly, kjøre bil og i den senere tid også å sykle (spesielt der det samtidig også kjøres bil). Når vi likevel velger å gjøre det, så er det fordi vi aksepterer risikoen. Ikke nødvendigvis etter en grundig vurdering. Ofte er vi så vant til risikoen at vi bare godtar den uten videre. Andre ganger er nytten så stor at risikoen fremstår som liten. Når vi snakker om IT og internett later det til at risikoen i mindre grad er et tema i det hele. Folk ser ut til å stilltiende akseptere den omstendelige, dyre og lite effektive flyplassikkerheten. Samtidig avfeies enhver formaning om å unngå e-post som medium for sensitiv informasjon, eller å være forsiktig med hva man deler i sosiale medier. Og her er vi ved kjernen av det som forårsaker informasjonssikkerhetseksperters konstante hodepine: Hvorfor er det ingen som ser at dette er farlig?
Hvor mange er det som faktisk tenker over at e-post stort sett sendes åpent på internett. Altså at enhver ruter på veien mellom avsender og mottaker kan lese innholdet i en e-post? Antakelig er det ikke veldig mange. Selv ikke når sensitiv bedriftsinformasjon utveksles mellom parter. Men isteden for å stange hodet mot veggen i fortvilelse over menneskets tilsynelatende fullstendige svikt i evnen til kritisk tenkning, er det kanskje mer interessant for oss sikkerhetseksperter og spørre hvorfor? Hva er det som gjør at internettets mange farer tilsynelatende avvises av den jevne bruker uten en forutgående vurdering?
Det har vært gjort mye forskning på risikoopplevelse (eng: risk perception) når det gjelder mange ulike typer farer vi utsetter oss for. Hvor risikofylt er det å ta i bruk ny teknologi, delta i risikosport, investere på børsen eller fortsette og ødelegge miljøet? En av de mest innflytelsesrike modellene i denne sammenhengen er “the psychometric paradigm”. I korte trekk sier den at vår opplevelse av risiko i stor grad er bestemt av skrekkpotensialet i hendelsen og om den er ukjent for oss. For eksempel har studier vist at folk anser kjernekraft som en alvorlig risiko, fordi den har stort skrekkpotensiale og folk vet lite om sannsynligheten for hendelser. Denne forskningen har hovedsakelig rettet seg mot farer som rammer tilfeldig, eller i alle fall er uten en aktiv angriper, så resultatene er ikke uten videre gyldige for informasjonssikkerhet. Det blir enda mer tydelig hvis vi ser på eksempelet med e-post lenger opp. Det sendes helt sikkert e-post åpent på internett som avsender eller mottaker ville mene har et stort skrekkpotensiale hvis den skulle fanges opp av uvedkommende. I tillegg, er det minst like sikkert at samme avsender og mottaker neppe er godt kjent med sannsynligheten for at nettopp dette skal skje. Likevel gjøres det i stor stil. Så antakelig passer ikke denne forklaringsmodellen like godt i vårt miljø.
En annen forklaring på risikoopplevelse er den omvendte sammenhengen mellom nytteverdien og risikoen ved en aktivitet. Altså, hvis nytteverdien er høy, så opplever vi risikoen som liten, og motsatt. Dette er ikke det samme som en tradisjonell kost-nytte analyse, fordi vi sjelden eller aldri opplever både nytteverdien og risikoen som høy (eller lav), de er alltid motsatte av hverandre. Hvis vi anvender denne forklaringsmodellen, blir det lettere å forstå e-post eksempelet over. Vi ser rett og slett bort fra risikoen fordi det å sende e-post er så enkelt, behagelig og effektivt sammenlignet med andre alternativer. Funksjonalitet trumfer sikkerhet, alltid!
En annen parameter som ofte trekkes frem i forbindelse med informasjonssikkerhet er vår manglende evne til å oppdage at det har skjedd noe galt. Hvorvidt mine personlige data har blitt lekket til en tredjepart er vanskelig å oppdage. I tillegg kan det godt tenkes at det tar lang tid fra vi gjør vår vurdering (f.eks. blir med på Facebook) til en negativ konsekvens av den oppstår (uvedkommende har tilgang på personlig informasjon). Da blir det vanskelig å gjøre en tradisjonell kost-nytte analyse, og samtidig mye lettere å bare avskrive risikoen fordi gleden eller nytten over tjenesten er så stor.
Så kan man spørre seg om dette er noe for bedrifter å tenke på? Kan vi ikke bare la et konsulentfirma, eller en sikkerhetsavdeling, gjøre en risikoanalyse og så lager vi en sikkerhetspolicy som reduserer risikoen der det behøves? Joda, man kan det. Men det viser seg at etterlevelsen av sikkerhetspolicy i stor grad er knyttet til hvorvidt ansatte er enige i at risikoen må reduseres og at dette kan gjøres på en fornuftig måte. Derfor vil det stort sett alltid være nyttig å vite hvordan ansatte tenker og opplever risiko for å kunne sette inn effektive tiltak. Det nytter jo som kjent ikke med verken gode tiltak eller ny sikkerhetsteknologi hvis de aldri brukes…
Vi må altså forske videre for å finne disse faktorene som bestemmer risikoopplevelsen og vårt ønske om mer beskyttelse. Så kanskje kan vi i fremtiden unngå at sikkerhetseksperter går rundt med vondt i hodet og at brukere tar høyere risiko enn de strengt tatt må.
Det hadde vært noe det!