Kan høyt arbeidspress gjøre bedriften mer sårbar for cyberangrep?
Statkraft undersøker om psykososial belastning påvirker organisasjonens digitale robusthet. – Datadrevet risikostyring gir oss mer treffsikre tiltak, sier HMS-direktør.
Store og samfunnsviktige virksomheter som Statkraft er attraktive mål for cyberkriminelle.
– Ansatte møter et enormt volum av digitalt trykk daglig. Hver e-post, hvert varsel og hver beslutning krever et øyeblikks vurdering, sier Lone Blix, ansvarlig for kompetanse og opplæring innen informasjonssikkerhet i Statkraft.
Det å være i stand til å skille mellom legitime hendelser og svindelforsøk blir bare viktigere, men også stadig mer krevende.
Digital sikkerhet avgjøres nemlig ikke bare av tekniske systemer og sikkerhetsfiltre, men også av menneskelige faktorer – som kapasitet, konsentrasjon, rolleforståelse og arbeidsvilkår.
– Det betyr at våre medarbeidere til enhver tid må være årvåkne og utvise god dømmekraft. Samtidig påvirker belastning, uklarhet og tidspress hvordan vi vurderer, prioriterer og responderer, sier Blix.
Gir høyere belastning flere klikk på phishing-lenker?
De fleste digitale sikkerhetsbrudd har en klar menneskelig komponent. Trusselaktører blir stadig flere, mer profesjonelle og mer målrettede, og de utnytter i økende grad organisatoriske og menneskelige sårbarheter – ikke bare tekniske svakheter.
– Uansett hvor robuste tekniske barrierer vi bygger, vil medarbeiderne alltid være en avgjørende del av virksomhetens totale forsvar, og faktisk en av våre viktigste «brannmurer», sier Blix.
De siste årene har betydningen av den menneskelige faktoren i sikkerhetsarbeidet fått økt oppmerksomhet. Det er ikke uten grunn: Cyberaktører vet at det ofte er enklere å spille på menneskelige feilvurderinger enn å forsøke å trenge seg gjennom avanserte tekniske sikkerhetsmekanismer.
Så hva skal til for å gjøre organisasjonen bedre rustet til å håndtere cyberhendelser?
Ifølge Camilla Turner, direktør for arbeidshelse i Statkraft med globalt ansvar, kan innsikt fra psykososiale mønstre gi nye forklaringer på hvorfor sikkerhetsbrudd oppstår – og gi grunnlag for tiltak på systemnivå.
Er det for eksempel slik at medarbeidere med høy arbeidsbelastning er mer utsatt for å klikke på phishing-lenker? Eller at lokasjoner med sterk ytringskultur er bedre til å rapportere om mistenkelige e-poster?
– Om vi kan dokumentere disse hypotesene, så har vi også et helt annet grunnlag for å prioritere tiltak, sier Blix.
Løftet arbeidet med psykososialt arbeidsmiljø inn i styringssystemet
Utgangspunktet for denne måten å jobbe på, kommer av at Statkraft har integrert det psykososiale arbeidsmiljøet i sitt overordnede HMS-styringssystem.
– Vi har løftet psykososial risiko inn i en mer strukturert og styrbar oppfølging, på linje med øvrige arbeidshelse- og sikkerhetsområder, sier Turner.
Slik kan virksomheten identifisere endringer i risikobildet og sette inn tiltak der det trengs – før uønskede hendelser skjer.
Samme metode brukes nå for å se om psykososiale forhold påvirker organisasjonens digitale sikkerhet.
– Målet er å jobbe mer datadrevet for å identifisere sammenhenger mellom cyberrisiko og psykososialt arbeidsmiljø, samt gi mer målrettet, risikobasert opplæring og tiltak, sier Blix.
Forklarer det som en røykvarsler
Turner bruker en røykvarsler som metafor for å forklare verdien av at psykososial risiko håndteres på tvers av fagområder og nivåer i organisasjonen.
– En røykvarsler redder ingen i seg selv. Det er ikke lyden som beskytter deg, det er hvordan du reagerer på den, sier hun.
Derfor er det ikke dataene som er det viktige her, men hvordan man i fellesskap responderer på signalene.
– Når flere ser de samme signalene, begynner vi å jobbe med de samme risikoene. Det bryter ned siloer og gir bedre beslutninger, sier Turner.
– Risiko er altfor komplekst til at ett individ kan bære det alene. Det sterkeste vernet vi har, er tverrfagligheten og samarbeidet, sier Turner.
Psykososiale faktorer må behandles som risiko
Men det viktigste utgangspunktet er at det psykososiale arbeidsmiljøet faktisk behandles som en risikofaktor, på lik linje med andre HMS-forhold som personskader, farlige arbeidssituasjoner og sikkerhetsavvik.
Dette er områder virksomheter gjerne har etablerte rutiner for å forebygge, måle og følge opp. De inngår i styringssystemet. Slik må det også være med det psykososiale.
– Psykososial risiko bygger seg opp over tid. Den viser seg som mønstre, i økende belastning, uklarhet, høyt arbeidstempo og svekket støtte. Dette må forstås og behandles som risiko, ikke som enkeltstående hendelser.
Gir mer treffsikker opplæring
Statkraft har lenge jobbet målrettet med trening og opplæring innen informasjonssikkerhet. Nå gir arbeidet med psykososial risiko et nytt styringsverktøy.
– Når vi vet hvor risikoen øker, kan vi trene smartere, sier Blix.
Det betyr at opplæringen kan forsterkes der presset er høyt, at man kan prioritere ekstra støtte i miljøer med uklare roller eller høy belastning, og at tiltak settes inn før feilvurderinger oppstår.
– Dette gjør sikkerhetsarbeidet mer treffsikkert, helhetlig og mer proaktivt.
