Om incitament, ansvar och varför säkerhet blir snabbare när vi slutar bromsa den
Jag har ofta hört att “människan är den svagaste länken”. Jag köper inte det. Inte längre. Inte som allenarådande orsak till varför incidenter händer. När jag tittar bakom rubrikerna ser jag nu något annat som är roten till att individen är en svag länk: miljön runt människan. Organisationens klimat. Hur vi mäter, belönar och bygger. Det är där säkerhet antingen slår rot eller vissnar och blir till osäkerhet. Om plantan inte växer tittar en duktig odlare först på jord, ljus och vatten. Inte på plantan. Vi borde göra likadant.
I många verksamheter premierar vi hastighet, expansion och kvartalsmål. Det är inget fel i sig. Men säkerhet får ofta en annan logik: den belönas inte när inget händer. Inget syns. Inga poäng på tavlan. Och jag har suttit i otaliga ledningsrum och sett med egna ögon när någon harklar sig och säger “stopp, vänta, risk”. Den personen uppfattas som bromskloss, ibland även paria. Jag har sett hur bra människor gör rationella saker i ett incitamentsystem som gör säkerhet osynlig, obemärkt. Det är nästan som att säkerhet har blivit elektricitet i hushållen – det skall bara fungera Det är därför jag vänder på perspektivet: problemet är sällan individen, problemet är klimatet vi satt henne i (OECD, 2022; World Economic Forum, 2024).
Det här är känsligt, jag vet det. För om klimatet är problemet pekar kompassen mot ledning och styrning. Då handlar det inte främst om ännu en kampanj eller ett nytt verktyg, utan om hur vi leder, mäter och fördelar ansvar. Offentliga riktlinjer säger i praktiken samma sak. Europeiska unionens nya regler gör cyber till styrelsefråga: ledningen ska förstå risk, väga proportionalitet och stå för beslut när det blåser (European Union, 2022). Amerikanska myndigheter trycker på ”säker som standard”, att ansvar ska flytta uppströms till dem som designar och levererar i stället för att lastas av på slutanvändaren (CISA, 2023). Det är ett artigt sätt att säga: fixa klimatet, inte affischen. Och nej, det handlar inte om teknik skall lösa brister i den mänskliga brandväggen. Men den är ett stöd till en säker kultur.
Varför driver jag detta så hårt? För att jag ser kostnaden av det gamla compliance-drivna tänket. Checklistor och certifikat har sin plats men som grund endast. De ger form. De ger spårbarhet. Men när incitamenten i organisationen belönar hastighet utan kategorisering av risk, blir dokumenten kuliss, en säkerhetsteater. Vi bockar av, men vi minskar inte risk. Vi köper ett lager till, skriver en policy till, och tror att staplade bevis ersätter förmåga. Offentliga lägesbilder visar samma trend: angrepp börjar ofta i det mänskliga vardagsflödet och i kedjan runt oss. Där hjälper inte fler pryttlar om klimatet fortsatt premierar genvägar och tempo framför kontroll i momenten som gör ont (ENISA, 2023).
Jag vet att ordet “kultur” kan kännas fluffigt. Därför talar jag hellre om styrda incitament. Vad händer när en säljchef får en erkännande merit av att stänga affärer säkert, inte bara snabbt? När får en produktägare karriärpoäng för att välja säker standardkomponent framför “egen snabbfix” eller ”billigaste alternativet”? När skall en chef mätas på återställningstid lika mycket som på leveransdatum? Det är då klimatet ändras, det är min fasta övertygelse. Och det går att göra utan slogans eller nya kostsamma bonusmodeller. OECD:s uppdaterade rekommendationer kopplar digital säkerhet till ekonomisk riskhantering integrerat i styrning och beslut, inte vid sidan (OECD, 2022). Världsekonomiska forumet beskriver samma rörelse: styrelser som väver in cyber i affärsrisk får bättre beslut, färre överraskningar och mer förtroende på marknaden (World Economic Forum, 2024). Alltså skall det framgå i arbetsbeskrivningen, kravet på individen. I synnerhet om individen nu vill vara just chef och ansvarig.
Vi måste också vara ärliga om varför organisationer ibland motarbetar sin egen säkerhet. Vi skapar friktion där snabbhet belönas och säkerhet straffas. Säkerhet är en kostnad och påverkar omsättningen negativt i den miljön. Vi skapar beroenden där ingen äger hela risken. Vi skapar falsk trygghet med otaliga dashboards med tveksamma och underliga riskmodeller, flöden och processer som omöjliggör upptäckt i tid och inte bidrar på minsta sätt att visualisera verksamhetens motståndskraft och återställningsförmåga. Det här är inte en moral- och etikfråga. Det är en incitamentsfråga. När leverantörer, kunder och interna team delar data, delar ansvar och delar mål, förändras spelet. Det är ingen slump att EU nu inför produktkrav på digitala produkter. Säkerhet ska finnas före marknaden, inte köpas till i efterhand (European Commission, 2024). Det är heller ingen slump att nationella lägesbilder betonar helhet: människor, processer, teknik och leverantörer som fungerar tillsammans, inte var för sig (ENISA, 2023).
“Men hindrar inte detta vår tillväxt?” är en vanlig invändning. Min erfarenhet säger tvärtom. När klimatet stödjer rätt tempo i rätt moment går allt snabbare över tid. Vi slipper brandkårsutryckningar. Vi slipper dyra omtag. Vi slipper diskutera skuld i stället för lösning. Och ja, det är affärsvärde iförtroende för organisationens och verksamhetens förmåga. Organisationer som gör säkerhet meriterande som karriär, som kvalitet, som förtroendepoäng tar bättre beslut snabbare, har lägre intern friktion och blir pålitligare partners. Det är inte bara snygga ord. Det syns i hur kapital, kunder och talang rör sig mot dem som levererar stabilitet i stället för känslan av kontroll (World Economic Forum, 2024).
Jag använder alltså här växthusmetaforen medvetet, beräknande även. För mig är cybersäkerhet inte en skimrande växt vi råkar snubbla över på vägen till tillväxt. Den är växthuset. Utan rätt klimat växer inget hållbart. Med rätt klimat växer allt snabbare. Det är därför jag blir trött när någon säger att “människan är svag” men sen inte vattnar denna svaghet. Alltså, människan gör som klimatet lär och kommer inte bli den säkraste länken. Byter vi klimatet, byter vi beteendet. Det handlar om ägare, styrelser och ledning. Men det är också det goda budskapet: när toppen ändrar klimatet, följer resten efter.
Slutklämmen är enkel. Vi kan fortsätta mäta hur snabbt vi kör. Eller så mäter vi hur säkert vi kommer fram, gång på gång. Jag väljer det senare. Inte för att jag gillar bromsar, är gubbe eller feg för att gasa på. Nej, utan för att jag tycker om fart som håller och inte har bråttom till konkursen. Det är skillnaden mellan att peka finger åt “människan” och att göra jobbet med miljön. När vi gör det växer både säkerheten och affären. Och det är precis vad både offentliga rekommendationer och nya regler försöker styra oss mot: mindre ritual, mer bärkraft (European Union, 2022; CISA, 2023; European Commission, 2024; OECD, 2022; ENISA, 2023; World Economic Forum, 2024).
Referenser (APA – urval)
CISA. (2023).Secure by Design, Secure by Default.Cybersecurity and Infrastructure Security Agency.
ENISA. (2023).ENISA Threat Landscape 2023.European Union Agency for Cybersecurity.
European Commission. (2024).Regulation (EU) 2024/2847 — Cyber Resilience Act (CRA).
European Union. (2022).Directive (EU) 2022/2555 (NIS2).Official Journal L 333.
OECD. (2022).Recommendation of the Council on Digital Security Risk Management.
World Economic Forum. (2024).Global Cybersecurity Outlook 2024.
