Det er mange godt gjennomtenkte og velmenende sikkerhetstiltak både i systemene vi lager og bruker i hverdagen. Tofaktorautentisering, kryptering, overvåkningsverktøy, passordkrav, innlogging med BankID, og mye mer. Men det er ikke alltid sånn at mer sikkerhet er bedre. For hvis sikkerhetstiltakene går på tvers av brukeropplevelsen eller av de ansattes mulighet til å gjøre jobben sin, da blir systemene våre motarbeidet, tilsidesatt og omgått.
Jeg tror alle har vært der. Vi har irritert oss over hvor vanskelig det er få lov til å gjøre jobben vår. Hvor mange steg trengs virkelig for å sikre at jeg faktisk vil bruke de 49 kronene som skal trekkes fra kortet? I hverdagen kjenner vi på motstand fra systemene rundt oss. Og hvis vi ser en mulig snarvei til å nå målet vårt, da tar vi selvsagt den!
Mange sikkerhetstiltak ble innført med gode intensjoner, men ble raskt omgått av brukerne fordi de stod i veien for systemet sitt egentlige mål. I noen systemer er innlogging så komplisert og tregt, at brukerne ikke logger ut, men heller holder seg innlogget gjennom hele arbeidsdagen. På sykehus har man sett eksempler på at alle journaloppdateringer gjøres av brukeren til den første som kom på jobb. I en hektisk hverdag er det ikke tid til å bruke 30 sekunder på å logge inn for hver journalsak som skal føres. Folk flest har en jobb de skal gjøre, og alt som kommer i veien for det er støy som trengs å fjernes.
Hvis det er et alternativ for brukerne dine å velge vekk produktet ditt kan de finne på å gjøre det om sikkerhetstiltakene er for inngripende. Du kan lage verdens sikreste krypterte meldingstjeneste, men hvis den krever at brukeren må forstå GPG-kryptering, og ha med seg en smartkortleser og et smartkort for å lese en melding, så får du ikke så mange brukere. Da blir det fort SMS eller en direktemelding på Instragram som vinner.
Jeg tror vi ofte kan komme i situasjoner som dette fordi vi som lager systemet og de som bruker det ikke er enige om hvilke trusler vi står ovenfor, hvor stor ulempen av ulike tiltak er, og hvor viktig det faktisk er å beskytte dataene i systemet. Ofte er risikovurderinger og trusselmodeller uforståelige, utilgjengelige - og når sant skal sies ganske irrelevante - for de som bruker systemet. Vi kan gjøre en mye bedre jobb med å forklare hvorfor ting fungerer som de gjør, og i det minste skape forståelse for de valgene vi har tatt.
Jeg tror også vi ofte glemmer å ta med i vurderingene våre hva som vil bli konsekvensen dersom brukerne velger å omgå sikkerhetstiltakene, eller systemet som helhet. For er det en ting du kan være sikker på, så er det at sikkerheten i systemet ditt kan omgås. Er brukerne bare motivert nok, så finner de en måte. Og det må vi ta hensyn til - enten vi liker det eller ikke.
Selv om brukerne skulle være enig med oss om hva slags trusler vi står ovenfor, og faktisk ønsker å bruke systemet vårt, så er sikkerhetsfunksjoner dessverre ofte vanskelige å bruke. Vi må ta ansvar for å få design inn som en kritisk del av utformingen av sikkerheten i systemet vårt. Brukerne våre er den viktigste delen av sikkerheten, og da må sikkerheten snakke brukerens språk.
Selvsagt er det en balanse. Brukerne kan ikke velge å omgå ethvert sikkerhetstiltak med unnskyldningen at det er upraktisk å bruke et par sekunder ekstra. Ei heller skal brukerpåvirkningen bli den viktigste faktoren vi vurderer når vi lager nye sikkerhetsmekanismer. Men vi må anerkjenne at mange sikkerhetstiltak må finne en balanse mellom brukervennlighet og sikkerhet. Ironisk nok kan vi ved å lage systemer som på papiret er veldig sikre ende opp med veldig dårlig sikkerhet. Enten fordi brukerne omgår sikkerhetstiltakene, eller fordi de slutter å bruke systemet vårt - og velger et mer brukervennlig, men mindre sikkert alternativ. Så noen ganger kan faktisk mindre sikkerhet gi bedre sikkerhet.