En kreativare säkerhetsprocess med Design Thinking

Säkerhet är en av de stora utmaningarna i en uppkopplad och digitaliserad värld. Det blir vi konstant påminda om i diverse nyhetsartiklar som beskriver attacker mot uppkopplade enheter. Samtidigt har jag och mina kollegor, som arbetar med informationssäkerhet, ofta kunskapen om hur vi ska bygga det där säkra systemet eller förhindrat den där attacken som beskrivs i artikeln. Så hur kommer det sig då att säkerhet kvarstår som en stor utmaning och något som faktiskt begränsar och ibland till och med förhindrar vår chans att utnyttja digitaliseringens möjligheter? 

Det finns naturligtvis många skäl och jag tänker inte hävda att jag har det perfekta svaret, varken på vad som egentligen är problemet eller hur vi faktiskt löser det. Det här blogginlägget kommer inte innehålla någon magisk silverkula och jag är ingen Arya Stark, som med ett knivhugg besegrar en hel arme (referens till tv-serien Game of Thrones). Men jag tänker att det får vara så, vägen till att hitta en lösning börjar med att vi diskuterar och synliggör problemet.

Säkerhet anpassad efter verksamheten

Jag har funderat på varför säkerhet ofta inte får vara med från början i projekt - att säkerhet blir något som kommer mot slutet för att något regelverk kräver det. Det finns naturligtvis flera skäl. Ibland kan det vara så att projektägaren undviker att ta tag i säkerhetsfrågan förrän hen faktiskt måste det eller blir tvungen. Men ofta tror jag att vi väljer den enkla lösningen och pekar på någon samling säkerhetskrav, till exempel en standard. Jag har även hört säkerhetsexperter som väldigt tidigt i projektet ber om en komplett systembeskrivning eller frågar om det skett en informationsinventering, vilket naturligtvis inte finns så tidigt i processen.

Vi säkerhetsexperter har en tendens att både ses som och anta rollen av granskare, inte en konstruktiv problemlösare och systembyggare. Jag tror att vi alla måste bli bättre på att anpassa oss och jobba med de förutsättningar som finns. Tidigt i projektet kanske det räcker med att konstatera de där självklara sakerna som att det är bra att ha krypterad trafik, att autentiserar alla användare och så vidare. Sedan, allt eftersom lösningen växer fram, kan vi detaljera och konkretisera.

Som jag ser det måste vi säkerhetsexperter arbeta för att hitta lösningar som möjliggör och inte begränsar. Just det får jag ofta höra av kunder, de vill inte ha det där absolut säkra systemet som står emot alla möjliga hot och problem utan ett system som är anpassat efter verksamhetens verkliga hotbild.

Ett kreativare säkerhetsarbete med Design Thinking

I mitt arbete, för att få in säkerhet tidigt i projekten och väcka engagemang, provade jag nyligen att jobba tillsammans med ett designteam som använder metoden Design Thinking. Det var ett sätt att få in säkerhetstänket redan i designfasen.

Tre viktiga punkter kring arbetssättet:

• Fånga användarnas önska av säkerhet (genom Design Thinking).
• Vara mindre nejsägare och skapa ett mer inkluderande och lösningsorienterat arbetsklimat.
• Designa bättre säkerhet genom att våga prova nya lösningar på gamla problem.

Vår första utmaning i projektet handlade om att få användarna att beskriva vilka säkerhetsfunktioner de faktiskt ville ha. Vi valde att kartlägga användarnas behov med hjälp av så kallade User Journeys och upptäckte att det var ganska lätt att kompletterade dessa med konstateranden om vad användarna inte ville skulle kunna ske. Till exempel om en användare beskriver att hen vill kunna använda sin mobiltelefon för att öppna och starta sin bil så kompletterar vi med att ”bara min egen mobiltelefon ska kunna öppna och starta bilen”. Den önskade funktionaliteten blir då även ett säkerhetskrav. En funktionalitet som användarna faktiskt tycker är viktig och kan relatera till skapas, även om de inte är något de nämner instinktivt (förmodligen för att det anses självklart).

För att kunna ha den här sortens dialog med användarna insåg vi ganska snabbt att det finns kommunikationsutmaningar. Jag och mina kollegor är lite för vana vid att prata med säkerhetsexperter eller utvecklare och använde ord som ”kravuppfyllnad” eller ”autentiseringstoken”. Vi fick lära om, så att vi förstod varandra och kunde ha en konstruktiv dialog.

Det jag också noterade var att önskemålen eller begränsningarna ofta behöver vara på en hög nivå för att användarna ska kunna relatera till dem. Vi kunde oftast inte formulera ett bra och entydigt säkerhetskrav direkt utifrån användarnas önskemål, för då blev det ett rätt stort hopp. Vi använde oss därför av en mellannivå, där vi formulerade ett eller flera säkerhetsmål baserat på den av användarna önskade funktionaliteten. Dessa mål kan ses som högnivåkrav, eller just en målsättning, som formuleras på ett sådant sätt att de är förståeliga för användaren och förklarar syftet med de säkerhetsfunktioner vi sedan kommer behöva ta fram.

Grundtanken med Design Thinking är att förstå det verkliga problemet som en produkt ska lösa, för att sedan använda en iterativ process och prototyper för att testa och hitta bästa sätt att lösa det på. Arbetssättet tror jag med fördel skulle kunna användas för att hitta bättre och effektivare säkerhetslösningar. Det handlar om att hitta en gyllene medelväg, där användarnas krav/önskemål också betyder något.

Ett nytt mindset efterlyses

Det kanske går att bygga ett system som är helt säkert men samtidigt är helt oanvändbart eller ett system som är superlätt att använda men inte är säkert alls. Men jag skulle vilja utmana synsättet att man måste kompromissa. Kan vi inte försöka hitta en tredje variant och ett gemensamt mindset där säkerhetsexperter bidrar till mer och bättre funktionalitet, likaså ett större värde än bara just säkerhet? Vi måste fråga oss vad som krävs för detta, för egen del tror jag att det till stor del handlar om att bedöma hot och risker bättre. Vad tror du?

Vill du veta mer?

Johan Thulin stöttar och råder Combitechs kunder inom informationssäkerhet. På den nordiska cybersäkerhetskonferensen Paranoia i maj 2019 föreläste Johan tillsammans med Tina Lindgren, säkerhetsexpert och doktor inom informationssäkerhet, om kreativt tänkande i säkerhetsarbetet. Vill du veta mer kontakta gärna Johan (se kontaktkort till höger om artikeln).