Du ved det jo godt. It-afdelingen har sagt det igen og igen:

Du må ikke genbruge dine passwords.

Du må ikke dele dem med nogen.

Du må ikke skrive dem ned.

Du må ikke bruge dit navn eller ’password123’.

Du må ikke klikke på ”Indkassér din gevinst på 1 mia. Euro her”-links.

Du må ikke sende dine kreditkortoplysninger til nigerianske prinser.

Du må ikke bruge gamle versioner af dit styresystem.

Du må ikke bruge åbne netværk uden VPN.

Kort sagt:  Du må ikke dit – og nej, du må heller ikke dat – bag skærmen.

Alligevel genbruger hver tredje dansker sine passwords flere steder, og kun 37 procent tager regelmæssig backup.

… ZzzzzZzzz…                                                             

Hey!? Vågn op! Det er vigtigt, det her!

Hvorfor?

Fordi det gælder din cybersikkerhed. Hallo!? Over 90 procent af alle databrud i 2018 startede med et klik. Hvis ikke du opfører dig ordentligt, bliver vi altså hacket. Allesammen.

Fy fy skamme skamme fy fy næ næ slut forbudt.

Men altså, mellem os to … det rager egentlig også mig en høstblomst, om jeg er cybersikker eller ej.

Så bare rolig, det er helt OK.

Der er nogle helt naturlige årsager til, at du og jeg og alle andre uden for it-afdelingen har svært ved at hidse os sådan rigtigt op over de digitale trusler.

I dette blogindlæg får du adfærdsvidenskabens tre bedste forklaringer på, hvorfor det er svært at komme i gang med cybersikkerhedsarbejdet. Og næste gang vil jeg løfte sløret for, hvordan man kan bruge adfærdsvidenskaben til at øge vores digitale sikkerhed.

 

Grund #1: De gode råd består ikke ”Men hvaaad måå vi såå”-testen

Når vi giver gode råd til andre mennesker, har vi en tendens til at fokusere på det negative. Sådan er det bare – vores hjerner er bygget til at undgå trælse ting. Men det har en dum bivirkning i rådgivning:

Vi fortæller folk om alt det, de IKKE må gøre.

Alletiders bedste eksempel kommer fra børneunderholdningsshowet “Nu Er Det Ikke Sjovt Længere” fra 1982 (du ved, dengang hvor børnenes primære underholdning hed ”børnefjernsyn” og foregik kl. 18-18.30 på kongerigets eneste tv-kanal).

Her sætter Jes Ingerslev og Tom McEwan hovedet på sømmet i sangen ”Fy fy skamme skamme”:

For ja – hvad må vi så?

Når vi kun får at vide, hvad vi ikke må gøre, skal vi selv regne ud, hvad vi så skal gøre. Det gør det svært at gøre noget. Og når det er svært at gøre noget, har vi en tendens til… Nemlig! Så ender vi med at gøre ingenting.

Aben og jakkesættet er energibesparende og vil hellere bruge krudtet på de konkrete ting, der kan og skal klares lige-nu-og-her.

”Men hvaad måå vi såå”-testen er relevant i mange sammenhænge, ikke mindst når det gælder cybersikkerhed og andre abstrakte trusler.

 

Grund #2: Det føles bare ikke rigtig farligt

Der sker noget med os, når vi oplever verden gennem en skærm. Vi føler os anonyme, uovervågede og sikre, også selvom vi i virkeligheden er 100 procent identificerede, overvågede og usikre.

Vi bliver simpelthen dårligere til at vurdere risici og beregne konsekvenserne af vores egen adfærd.

(og vi er i forvejen lidt udfordret ude i virkeligheden)

I adfærdsvidenskaben forklarer man det med begrebet ’The Online Disinhibition Effect’, eller frit oversat: ’Du bliver dummere bag skærmen’-effekten. Det er også en del af forklaringen på, at vi mobber og tilsviner hinanden på sociale medier. Men det er en anden historie.

Derudover handler cybersikkerhed – ligesom indbrudsforebyggelse og klimaforandringer – om ikke-hændelser. Når noget IKKE sker, er det godt. Og det har vi svært ved at forholde os til.

Langt det meste af vores evolutionære historie har vi kun forholdt os til fysiske risici, som truede os her-og-nu. Men i dag bliver vi bombarderet med en lang række statistiske risici, som ikke føles farlige her-og-nu, men som alligevel kan ruinere os og slå os ihjel.

Klimaforandringer er en af de risici. It-sikkerhed er en anden.

Du kan sagtens opføre dig helt vanvittigt online og alligevel undgå at blive hacket. Din risiko er højere, men den er sjældent 100 procent. På samme måde bliver du heller aldrig 100 procent sikker.

Det gør os immune over for risikoen (læs evt. mere i vores blog om risikopsykologi).

Det mest effektive middel til at få os til at føle, at det er rigtig farligt, er, hvis vi selv bliver ramt. Men selv da er vi underlagt en anden mekanisme, som tilfældigvis også har et langt og klogt navn:

’The Fundamental Attribution Error’

Navnet beskriver det uheldige fænomen, der opstår, når vi skal fortolke årsagerne til enten andres eller vores egen adfærd.

Når jakkesættet skal fortolke andres adfærd, skaber det fortællinger, som er baseret på de andres personlige karakteriska:

“Jens blev hacket, fordi han altid klikker, før han tænker.”

Når jakkesættet skal fortolke vores egen adfærd, skaber det fortællinger, som er baseret på kontekstuelle karakteristika:

“Jeg blev hacket, fordi it-afdelingen ikke har formidlet vores sikkerhedsprocedure grundigt nok.”

Kort sagt: Når noget sker for andre, er det deres egen skyld – når noget sker for mig, er det omstændighedernes skyld.

Vores analyse af danskernes informationssikkerhed for Digitaliseringsstyrelsen og Erhvervsstyrelsen (2017) viste, at vi forestiller os det typiske offer som en anden person end os selv. Typisk som en ’ældre naiv kvinde’.

Samtidig viser statistikkerne, at i Danmark har unge mellem 18 og 34 år den dårligste datasikkerhed, og på verdensplan er unge under 36 år mest tilbøjelige til at falde for phishing.

Vi har altså et helt skævt billede af, hvem der har brug for at blive mere sikre. Det er i hvert fald ikke os – vi har jo styr på det.

 

Grund #3: Det er bare for meget, mand!

Forestil dig, at du har taget dig sammen. Du har svunget dig op til at tage truslen alvorligt. Du har endda også sat dig ind i, hvad du kan gøre (og ikke kun, hvad du skal undgå) for at blive mere sikker. Fint nok.

Men …

Så kommer it-sikkerhedens hardcore ‘Sidsteboss’:

De gode råd. De er ikke dyre, men der er sindssvagt mange. Og de fleste af dem stiller enormt store krav til dig.

Vi lavede engang en undersøgelse, der viste, at sundhedsfagligt personale i gennemsnit kan huske 4,6 af de 10 kostråd. Og de arbejder med de her råd hver dag!

Sidst jeg tjekkede, var der langt flere end 4,6 gode råd til øget it-sikkerhed i omløb.

Selv hvis du ser bort fra rådene og i stedet retter blikket mod de mest centrale fokusområder, er listen lang: Kodeord, mails/beskeder, backup, usb-nøgler, nethandel, software, netværk, skærme, mobilapps, browsere og browser-udvidelser.

Et af de mest almindelige råd er ’Genbrug aldrig dine kodeord’. Det er et godt råd.

Der er bare ét problem.

Den gennemsnitlige bruger har 191 passwords. Forskning har vist, at vi kan huske 4-5 unikke passwords ad gangen. Det er dømt til at gå galt.

Et andet meget almindeligt råd er ’Vær skeptisk over for tilsendte links og vedhæftede filer’. Det er et godt råd til at undgå mails med phishing og malware.

Der er bare ét problem.

Vi kan ikke være skeptiske hele tiden (vi bruger jakkesættet til at være skeptiske, men jakkesættet kræver meget mere energi end aben).

Og de kriminelle? De er eksperter i at virke overbevisende.

De ved nøjagtigt, hvornår vi er tilbøjelige til IKKE at være skeptiske. Det er ofte om torsdagen. Og så de ved rigtig meget om, hvordan de med psykologiske tricks snører os til at få det, de gerne vil have.

Se bare her, hvordan du får overtaget dit mobilabonnement af en hacker på 2 minutter:

Hvis du har set videoen, har du det sikkert ligesom mig: Nytter det overhovedet noget? Kommer hun ikke ind, uanset hvad jeg gør?

Jo, sådan ser det ud. Og det er det store problem ved videoen:

Den præsenterer ‘social engineering’ som ren magi. Fascinerende og spændende, ja. Men den fortæller os ikke meget andet, end at vi ingenting kan gøre.

Pyha! Det var ikke ret opløftende.

Jeg lover, at min næste blogpost giver nogle mere konstruktive bud på, hvordan du kan øge din egen, familiens, vennernes og kollegernes digitale sikkerhed.

Hold hovedet koldt og dine passwords lange, indtil vi læses ved!