Hoppa till huvudinnehåll
Digitalisering

Så skyddar du dig mot cyberbrott på jobbet

Hur säkerhetsmedveten är du på jobbet? Du kanske inte släpper in vem som helst genom huvudentrén, men hur hindrar du dem som slinker in digitalt? Ett felaktigt klick kan kosta din arbetsgivare miljarder.
Johanna Rovira Publicerad
Colourbox
Hälften av alla som hittar ett USB-minne pluggar in det i sin dator, enligt Hanna Linderstål, expert på cyberhot. Colourbox

Mycket krut har lagts på utbildning i GDPR, den nya lag som trädde i kraft för snart två år sedan. Förra året till och med september anmäldes 3 410 så kallade personuppgiftsincidenter, enligt Datainspektionen. En fjärdedel av dessa berodde på obehörig åtkomst – att någon olovligen fått tillgång till uppgifter, till exempel genom nätfiske, phishing.

Cyberkriminella lurar genom nätfiske folk att öppna länkar eller dokument med virus som infekterar datorn eller mobilen med skadlig kod i syfte att norpa värdefull information. Ett klick i ett mejl från en avsändare som påstår att ditt paket kommit, kan alltså bereda vägen för att någon tankar ner hela kundregistret eller något ännu känsligare.

Men nätfiskeincidenterna är bara toppen på det gigantiska isberg som cyberbrottsligheten utgör. Stiftelsen World Economic Forum räknade ut att den globala kostnaden för cyberbrott 2017 uppgick till 600 miljarder amerikanska dollar per år. Nordea Research uppskattade samhällskostnaden, (inkluderat störningar för företag vars system går ner så de förhindras göra affärer), till 50 000 miljarder kronor. Om året.

– Kunskapsnivån om informationssäkerhet är för låg, det är fascinerande hur mycket information man kan få fram för att folk inte tänker sig för, säger Hanna Linderstål, virtuell analytiker och expert på cyberhot på Earhart business protection agency.

– Informationssäkerhet är inte någon IT-fråga utan omfattar all information en verksamhet hanterar, den digitala såväl som den du har nedskriven i ditt anteckningsblock. Den rör alla.

Varning för UBS-minnen

Cyberhoten vi alla måste ha beredskap för är många. Hittar du exempelvis ett USB-minne med texten: Ledningens nya bonussystem eller Bilder från julfesten OMG, bör du dra öronen åt dig, hur oemotståndligt det än kan te sig att kolla vad cheferna får eller vad kollegorna hade för sig på julfesten. Just den typen av lockbete använder sig Hanna Linderstål av, för att visa hur lätt det är att trilla dit.

– Människor är nyfikna av naturen, och det hjälper inte hur mycket man informerat om hoten – hälften av alla som hittar ett USB-minne pluggar in det i sin dator. I värsta fall upplever man att inget händer, men i själva verket har man installerat spionsystemvara som läcker information, säger Hanna Linderstål.

Det är inte bara USB-minnen man ska vara försiktig med. Även laddstationer och laddsladdar kan tanka information. Man behöver inte ens vara hackerkunnig för att använda en spionladdsladd. Enligt Hanna Linderstål går det att köpa spionladdare på nätet – hon har själv gjort det och använt på intet ont anande konferensdeltagare för att bevisa sin tes.

Att ta jobbdatorn ut från jobbet utgör också en risk – den kan bli stulen, eller hackad eller både och. Och fall inte för frestelsen att koppla in dig på gratis nätverk.

– Publika wifi är alltid osäkra. Jag har varit tvungen att använda sådana på resor i utlandet, men då använder jag en speciell resedator, säger Hanna Linderstål.

Även ditt privata wifi hemma kan utgöra en potentiell risk beroende på vilka mer som använder det. Hanna Linderstål berättar om ett fall, där ett barn över chatten lurades att göra förälderns jobbdator tillgänglig för en stor hackerattack.

Den största risken utgör dock våra dåliga minnen som får oss att envisas med simpla lösenord, som gärna återanvänds igen och igen.

– Redan 2009 varnade jag för att svaga lösenord var den största säkerhetsrisken och det samma gäller i dag. Det går att köpa avlagda lösenord på Darknet, den mörka webben, jag har själv köpt mina egna och upptäckt ett mönster jag inte trodde fanns där, säger Hanna Linderstål.

Foliehatten på

Hanna Linderstål säger skämtsamt att hon viker foliehattar på lunchen och menar att man inte kan vara nog säkerhetsmedveten när det gäller internet. Men man ska heller inte gå runt och inbilla sig att någon är ute efter en.

– Så många hackare finns det faktiskt inte, säger hon.

Fast det räcker med en, om man har otur. Möjligheterna för en cyberbov, och därmed hoten, tycks vara oändliga. Utpressning, varumärkesnedsolkning, astroturfing (kalkylerad lobbyism där avsändaren kamoufleras så aktionen framstår som en spontan gräsrotsrörelse) - allt verkar kunna säljas och köpas av mindre nogräknade aktörer. Organiserad brottslighet står bakom ungefär 80–85 procent av alla cyberbrott, oavsett vem som finansierar dem, enligt en rapport om svensk cybersäkerhet.

Unionens säkerhetsansvarige, Peter Hjortzberg-Nordlund, menar att det inte handlar så mycket om OM vi gör ett misstag som kan kosta företaget skjortan, som NÄR.

– Det första man ska göra som anställd är att säkerställa vilka spelregler och vilken policy som gäller. Sedan ska man vara medveten om att allt man gör loggas och hamnar du i konflikt med arbetsgivaren kan vad som helst användas mot dig, säger han.

Läs även: Chefen läste allas e-post

Kostar ditt obetänksamma klick företaget två miljarder, vilket är det belopp flygbolaget British Airways åkte på i GDPR-böter förra året efter att hackare kommit åt deras passageraruppgifter, är förutsättningarna för att en konflikt lätt kan blomma upp, tämligen stora.

Det är dock arbetsgivarens ansvar att se till att det finns en tydlig IT-policy och att den är känd, så råkar man släppa in en cyberskurk av misstag, på grund av en luddig policy, så behöver inte det betyda att man är helt rökt.

– Jag tycker ändå att man som anställd ska ställa krav på tydliga policyers – det ligger i allas vårt intresse att arbetsgivaren finns kvar på arbetsmarknaden och inte går i konkurs för att företaget åkt på dryga böter, säger Peter Hjortzberg-Nordlund.

Läs mer: Chefen ser dig  

Så skyddar du dig mot cyberhot

  • Ha separata mejladresser för jobb och privatliv.
  • För att kolla att avsändaren av ett mejl verkligen är den hen utger sig för att vara: Sätt musen på adressen utan att klicka och jämför med adressen som dyker upp i rutan.
  • Ett långt lösenord är bättre än ett kort komplicerat. Använd t.ex. första och sista bokstaven i varje ord i en mening du kommer ihåg. Hej jag heter Anna Karlsson och jag har 2 barn, 1 hund. Jag tycker om att segla och längtar till sommaren. Det blir: HjjghrAaKnohjhr2b,1h.Jgtromatsaohlrtlsn
  • Använd inte samma lösenord överallt.
  • Logga inte in på olika ställen via Facebook – du lämnar spår efter dig som kan användas för att påverka dig.
  • Sätt något för kameran i din dator.
  • Lämna aldrig datorn obevakad.

 

ORDLISTA:

  • Phishing - nätfiske. Falska länkar infekterade med virus
  • Astroturfing - konstgräsrötter - fejkade kampanjer eller budskap som ser ut som det kommer från vanligt folk
  • Ransomewere - utpressningsvirus
  • Darknet - den mörka webben, krypterade nätverket som finns på deep weeb. Kan inte nås via vanliga sökmotorer
  • GDPR - dataskyddsförordningen General Data Protection Regulation

Bläddra i senaste numret av våra e-tidningar

Bläddra i senaste numret av Kollega

Till Kollegas e-tidning

Bläddra i senaste Chef & Karriär

Till Chef & Karriärs e-tidning
Till vänster en kvinna som får sitt ansikte skannat. Till höger AI-experten Andrew McStay.
Teknikföretag marknadsför emotionell AI som kan tolka känslor, men enligt forskare är det långt ifrån verkligheten. ”Det fungerar inte särskilt bra”, menar experten Andrew McStay (bilden). Foto: Colourbox/Ben Bland.

Artikeln sammanfattad:


Startup-företag marknadsför AI som kan läsa av känslor, men forskare och aktivister är skeptiska till teknikens effektivitet.

Emotionell AI används redan i många branscher, men kritiker menar att tekniken bygger på felaktiga antaganden och generaliseringar.

Förespråkare hävdar att tekniken fungerar, men erkänner att det finns kulturella och individuella variationer i känslouttryck.

Den här sammanfattningen är gjord med hjälp av AI-verktyg och har granskats av Kollegas webbredaktör. Kollegas AI-policy hittar du här.

Datorer som läser av människors känslor kan låta som science fiction. Men som Kollega tidigare har rapporterat används sådana AI-program redan i en lång rad branscher – och har testats i de ljudisolerade kontorsbås som finns i många öppna kontorslandskap.

Så hur går det till? Först och främst behöver man låta en dator filma ens ansikte, eller mäta saker som puls, röstläge och svettningar. Andrew McStay, chef över forskningscentret Emotional AI Lab vid walesiska Bangor University, berättar vad som händer sedan.

– De flesta program lägger samman utåtriktade beteenden i ett kluster. Ansiktsuttryck, till exempel. Ett raster läggs över en människas ansikte, och på så vis mäts områden runt hakan, ögonen, munnen, näsan och andra muskler i ansiktet. 

– Då kan man mäta ansiktsuttryck, och idén är att om man kan mäta ansiktsuttryck så kan man anta vad personen känner.

Datorns kamera fångar alltså mikroskopiska förändringar i ens minspel. De kopplas sedan till 5-10 olika känslokategorier: glädje, sorg, ilska, förvåning, med flera. 

Fungerar inte särskilt bra

Andrew McStay är skeptisk till teknikens två utgångspunkter – att människors inre känsloliv kan delas in i ett fåtal kategorier, och att känslor kan avläsas genom att snabbt titta i ansiktet. Han har fått samma fråga många gånger: fungerar det verkligen?

– Gällande de flesta sådana här system och teknologier, som utvecklas av startupföretag och marknadsförs i dag, så är det breda svaret: nej, de fungerar inte särskilt bra.

Han fortsätter:

– Den övergripande idén med de här teknikerna är att om man förstår utåtriktat beteende så förstår man någonting om vad som pågår inuti en person. Ofta är det ett problematiskt antagande.

AI-programmen har byggts genom att dela in en stor mängd filmade ansikten i de känslokategorier som nämns ovan. De kategoriserade videorna har sedan använts som träningsdata till algoritmer, i en process som kallas maskininlärning (se faktaruta). Därför kan känsloavläsningen nu ske automatiskt, utan att människor är inblandade.

Emotionell AI får kritik av forskare

McStay är inte ensam i sin kritik. I förarbetena till EU:s nya AI-lag (se faktaruta) konstateras att det finns en ”allvarlig oro över den vetenskapliga grunden” för emotionell AI. Människorättsorganisationerna Access Now och European Digital Rights, dataskyddsmyndigheter i bland annat Storbritannien och profilerade psykologer har uttryckt samma sak.

Men forskarna är inte eniga. Många företag som sysslar med emotionell AI ser sig som arvtagare till Paul Ekman – en amerikansk psykolog som forskat om just mikroskopiska förändringar i ansiktsuttryck och hur de hänger ihop med våra känslor. 

En av de som hänvisar till Ekman är Graham Page. Han är chef över den största avdelningen på Affectiva, ett företag som enligt egen utsago uppfann produktkategorin emotionell AI. I dag ingår de i den svenska Smart Eye-koncernen.

– Vi upprepar i princip de saker som Ekman och andra har upptäckt, säger han när Kollega ringer upp.

Skamsen eller glad - hur kan AI veta skillnaden?

De som uttryckt kritik mot tekniken menar bland annat att människors känslouttryck varierar mellan kulturer, grupper och enskilda individer, och att de breda generaliseringar som krävs därför inte kan göras. Graham Page säger att han delvis håller med.

– Det stämmer, så till vida att man till exempel kan le för att man skäms. Eller rynka på näsan för att det kliar, snarare än att man känner sig äcklad. Men de generella dragen stämmer fortfarande.

Det händer att vi förenklar saker i marknadsföringssyfte.

Han säger att den träningsdata som Affectiva byggt sin AI på – över 17 miljoner ansiktsvideor – har hämtats från så många länder som möjligt för att minska risken för fördomsfulla algoritmer. Han säger också att en människa nästan alltid är inblandad när resultaten från Affectivas emotionella AI samlas in och analyseras.

Men trots det kan ert system läsa av mitt leende, dra slutsatsen att jag är glad och skriva ut det på en skärm. Jag testade det själv hos Smart Eye. Finns det inte risker med det?

– Jag tror att du har fått se en liten del av alla mätpunkter, säger Graham Page och fortsätter:

– Det händer att vi förenklar saker i marknadsföringssyfte. Men när vi lär upp de som ska använda produkterna är vi tydliga med hur det fungerar, så att de kan förstå på djupet. Oftast betyder ett leende glädje, men inte alltid. Vi erkänner det.

Men de som är skeptiska till att man alls kan generalisera och läsa av känslor på det här sättet, de har fel?

– Ja.

Intervjun går mot sitt slut. Graham Page säger att den blev ungefär som han förväntade sig. Han tycker att diskussionen om vetenskapligheten i emotionell AI ibland ”fastnar i teorin”.

– Menar de på allvar att man inte kan utläsa någon information om hur en människa mår genom att titta i personens ansikte? Självklart kan man det.

Det här är del tre i Kollegas serie om emotionell AI. Del ett hittar du här och del två kan du läsa här

Affectivas träningsdata

Affectivas algoritm för känsloavläsning har tränats på över 17 miljoner ansiktsvideor från mer än 90 länder, enligt egna uppgifter.

Företaget uppger att videorna har samlats in genom marknadsundersökningar och konsumentpaneler, och att alla personer som har studerats har godkänt det.

Maskininlärning

Ett av de statistiska grundverktygen inom AI. Går ut på att skapa algoritmer som läser av en stor mängd tidigare data och därigenom kan skapa generaliseringar om nya data.

På så vis kan ett datorprogram ”lära sig” hur en uppgift förmodligen ska utföras, baserat på tidigare erfarenhet.

För att det ska fungera behövs stora mängder data om uppgiften som ska utföras, rätt kategorisering av informationen och omfattande processorkraft.

EU:s nya AI-lag

EU:s övergripande lagpaket om AI är världens första i sitt slag. Det reglerar AI-verktyg utifrån risknivå – ju högre risk, desto större ansvar för den som skapar och använder verktyget. Det som anses allra mest riskfyll blir helt förbjudet. Hit hör bland annat emotionell AI som riktas mot anställda, men även mot skolelever. 

Lagen trädde i kraft i augusti 2024, men reglerna börjar gälla med olika fördröjning. Först ut är förbuden, som börjar gälla från februari 2025.