Pinsamt hemligt - När tystnadskulturen blir säkerhetens största sårbarhet

Inom svensk förvaltningsrätt och informationssäkerhet är referenser till lagstiftning vardagsmat. Men det finns en märkning som har börjat cirkulera i korridorerna hos både myndigheter och privata bolag – en sliten, svart stämpel med en text som skär rakt igenom den professionella jargongen:

 

SEKRETESS – Utan stöd i 15 kap. 2 § offentlighets- och sekretesslagen (2009:400) – AV FUNDAMENTAL BETYDELSE FÖR ILLUSIONENS UPPRÄTTHÅLLANDE – PINSAMT HEMLIG. Utlämnande av denna handling kommer att hanteras med kraftigt dröjsmål.  

 

Denna stämpel, framtagen av konsultbolaget Securebyme, framstår vid en första anblick som en träffsäker satir över svensk förvaltningsbyråkrati och det eviga sökandet efter syndabockar. Men bakom den humoristiska fasaden döljer sig en brutal sanning om modern cybersäkerhet.Den är en diagnostisk märkning för en djupt dysfunktionell säkerhetskultur. 

Offentlighets- och sekretesslagen (OSL) 15 kap. 2 § skyddar uppgifter som rör försvarssekretess, information vars röjande kan antas skada Sveriges försvarsförmåga eller på annat sätt vålla fara för Sveriges säkerhet. Men när den metaforiska stämpeln ”Pinsamt Hemligt” appliceras på ett beslut, en sårbarhet eller en incident, handlar det inte om rikets säkerhet. Det handlar om att skydda enskilda individers eller ledningens rykte, dölja teknisk skuld eller upprätthålla en skör illusion av perfekt kontroll. Denna tystnadskultur är inte bara ett administrativt misslyckande – den utgör en av de mest kritiska, dolda attackytorna i dagens digitala ekosystem. 

Det tysta hotet: vad vetenskapen säger om dolda incidenter

Föreställningen att cybersäkerhet enbart handlar om tekniskt försvar är en farlig förenkling.  Empirisk forskning visar att den mänskliga och organisatoriska faktorn är direkt avgörande för en verksamhets reella motståndskraft. Den tystnad som stämpeln ”Pinsamt Hemligt” symboliserar är i själva verket ett globalt hot.

 

Enligt färska studier inom informationssäkerhet och organisationsteori: 

 

  • 40 % av alla kända säkerhetsincidenter i globala organisationer rapporteras inte till den interna ledningen. 
  • 40 % av säkerhetspersonalen håller tyst om upptäckta sårbarheter eller incidenter av rädsla för personliga eller karriärmässiga konsekvenser. 
  • Upp till 88 % av alla dataintrång beror på mänskliga beslut eller handlingar under press, men viljan att rapportera dessa motverkas av social rädsla. 

När en medarbetare eller en chef väljer att dölja ett misstag, ges angriparen en ovärderlig gåva: tid. Tid för en fientlig aktör att röra sig fritt i en organisations nätverk innan de upptäcks. När rädslan för pinsamhet eller bestraffning leder till att incidenter mörkläggs, ökar denna tid dramatiskt. Det som började som ett enkelt klick på en phishinglänk på måndagen, transformeras till en fullskalig ransomwarekatastrof på fredagen eftersom ingen vågade slå larm. 

Rättvis vs. Skuldbeläggande kultur: Ett organisationsteoretiskt val

Enligt Reason finns det tre typer av kulturer: 

 

  1. Skuldbeläggande kultur: Karaktäriseras av en bestraffande grundinställning. När ett fel inträffar ställs frågan: ”Vem gjorde detta och hur ska de straffas?” I denna miljö blir självbevarelsedriften medarbetarens starkaste drivkraft, vilket leder till att misstag stämplas som ”Pinsamt Hemligt” och döljs. 
  1. Ansvarsfri kultur: En kultur där inga misstag eller överträdelser någonsin får konsekvenser. Detta skapar en farlig brist på personligt ansvarstagande och undergräver respekten för säkerhetspolicys. 
  1. Rättvis kultur: En balanserad modell där gränsen dras tydligt mellan ärliga mänskliga misstag och medvetet vårdslöst beteende eller sabotage. Ärliga misstag behandlas som värdefull information för att förbättra systemet, medan medvetna regelbrott hanteras med tydlig ansvarsskyldighet. 

Tabell 1: Organisationsteoretisk jämförelse av säkerhetskulturer

Kulturell dimension

Primär fråga vid fel

Medarbetarens beteende

Ledningens reaktion

Riskmedvetenhet

Säkerhetsutfall

Skuldbeläggande kultur

Vem orsakade problemet

Mörkläggning och tystnad

Bestraffning och syndabocksjakt

Falsk illusion

Ökad sårbarhet

Rättvis kultur

Vad gick fel i vårt system/process?

Proaktiv rapportering, transparens

Analys och systemförbättring

Realistisk riskförståelse

Snabb incidenthantering

Psykologisk trygghet som indikator för incidentrapportering

En central komponent i rättvis kultur är psykologisk trygghet, ett koncept populariserat av Harvard-professorn Amy Edmondson. Det definieras som ett klimat där individer känner att det är tryggt att ta socialarisker – att ställa frågor, rapportera fel eller utmana beslut utan att riskera att bli förlöjligade, straffade eller stämplade som inkompetenta.

Illusionen vs. verklig säkerhetskultur

Dimension

Primärt fokus

Svarsmekanism

Ledarskapets roll

Säkerhetsmått

Konsekvens

Illusionens upprätthållande

Undvika negativ publicitet

Skuldbeläggning

Dölja avvikelser uppåt

Skenbar regelefterlevnad

Katastrofala läckor

Psykologisk trygghet

Förstå och åtgärda rotorsaker

Skuldfrittt lärande

Visa sårbarhet

Kognitiv residens

Robust motståndskraft

Psykologisk trygghet är den enskilt starkaste oberoende indikatorn för medarbetares vilja att rapportera incidenter. Traditionella teorier som Theory of Planned Behaviour (TPB) – som fokuserar på subjektiva normer och upplevd kontroll – är otillräckliga för att förklara rapporteringsbeteende om de inte kombineras med psykologisk trygghet och Organisational Citizenship Behaviour (OCB). Psykologisk trygghet är den största anledningen till om en medarbetare faktiskt rapporterar en upptäckt risk eller inte. 

Säkerhetsteater: När utseendet är allt

När en organisation saknar psykologisk trygghet och rättvis kultur, ersätts verkligt säkerhetsarbete ofta av det som säkerhetsanalytikern Bruce Schneier kallar säkerhetsteater. Det definieras som åtgärder som är designade för att skapa en visuell eller kognitiv känsla av trygghet, men som gör mycket lite eller ingenting för att faktiskt reducera den reella risken. 

 

Säkerhetsteater uppstår ofta på grund av kognitiva fördomar hos ledningen: 

 

  • Optimism bias: Tron att de katastrofer som drabbar andra inte kommer att drabba den egna organisationen, vilket gör att man nöjer sig med ytliga kontroller. 
  • Authority bias: Att blint lita på att en checklista eller en generisk compliance-rapport innebär att verksamheten är säker. 
  • Urgency bias: Att under tidspress välja den mest synliga lösningen (t.ex. köpa ett nytt verktyg) istället för att genomföra den svåra kulturella förändring som faktiskt krävs. 

Stämpeln ”Pinsamt Hemligt” är den logiska slutpunkten för säkerhetsteater. När fasaden spricker och en incident inträffar, blir prioriteringen inte att minimera skadan eller lära av felet, utan att mörklägga händelsen för att skydda den teater som man har investerat så mycket i att bygga upp. 

Djuplodande fallstudier: När illusionen kolliderar med verkligheten

För att förstå de katastrofala konsekvenserna av tystnadskultur och mörkläggning måste vi analysera tre historiska händelser där ”Pinsamt Hemligt”-mentaliteten ställdes på sin spets. 

 

Fallstudie 1: Uber och Joe Sullivan – Mörkläggning som kriminell handling 

 

I oktober 2016 upptäckte angripare AWS-åtkomstnycklar som en av Ubers mjukvaruutvecklare av misstag hade lämnat i ett privat GitHub-arkiv. Genom dessa nycklar kunde angriparna ladda ner en databas med personuppgifter tillhörande 57 miljoner Uber-användare och 600 000 körkortsnummer för förare. Angriparna kontaktade därefter Ubers dåvarande säkerhetschef (CSO), Joe Sullivan, och krävde en sexsiffrig lösensumma. 

 

Istället för att rapportera händelsen till Federal Trade Commission (FTC) – som vid tillfället redan utredde Uber för ett tidigare säkerhetsbrott från 2014 – fattade Sullivan beslutet att stämpla incidenten som ”Pinsamt Hemligt”. Sullivan vidtog följande aktiva mörkläggningsåtgärder: 

 

  1. Han dirigerade utbetalningen av 100 000 dollar i Bitcoin till hackarna genom Ubers officiella bug bounty-program, trots att programmet endast var avsett för godartade säkerhetsforskare som upptäckt sårbarheter, inte för utpressare som stulit data. 
  2. Han tvingade hackarna att skriva under ett sekretessavtal (NDA) som falskeligen hävdade att de inte hade kommit över eller laddat ner några personuppgifter. 
  3. Han redigerade aktivt utkastet till den incidentrapport som hans team förberett, och raderade alla referenser till att känslig användardata hade stulits. 

 

När Ubers nya VD, Dara Khosrowshahi, tillträdde under 2017 och upptäckte mörkläggningen, sparkades Sullivan omedelbart och incidenten anmäldes. 

 

I oktober 2022 dömdes Joe Sullivan i federal domstol i San Francisco för försvårande av myndighetsutövning och underlåtenhet att avslöja federalt brott. Domen markerade det första fallet i historien där en företagsledare dömts till personligt straffansvar för hanteringen av ett dataintrång. Uber tvingades betala en förlikningsavgift på 148 miljoner dollar till 50 amerikanska delstater för den fördröjda rapporteringen. Fallet bevisar med skrämmande tydlighet att: Försöket att dölja det pinsamma är nästan alltid mer destruktivt än själva grundproblemet. 

 

Fallstudie 2: Transportstyrelsen – New Public Management och avstegskulturen 

Några av Sveriges mest uppmärksammade IT-skandaler ägde rum på Transportstyrelsen 2015 och belyser hur en systemisk ”avstegskultur” kan skapas under ett administrativt tryck. 

 

År 2015 outsourcade Transportstyrelsen sin IT-drift till IBM. Målet, starkt präglat av New Public Management-idealen (NPM) om effektivisering och kostnadsbesparingar, krävde en extremt snäv tidsplan. Myndigheten genomförde inte nödvändiga analyser och bedömningar om vilken information som fanns i myndighetens databas och hur känslig den var eftersom det ansågs ta för lång tid och att myndigheten ändå inte hade något skyddsvärt förutom körkortstillverkningen. Utifrån dessa förutsättningar så outsourcade myndigheten till IBM och deras utländska tekniker som behövde ha administrativa behörigheter för att hantera miljön.

 

Dessa databaser innehöll bland annat information om vägtrafikregistret, personer med skyddade personuppgifter, samt hemligstämplade uppgifter om kvalificerade skyddsidentiteter. 

 

Istället för att eskalera problemet till regeringen eller stoppa projektet – vilket skulle ha raserat den politiska och administrativa illusionen av ett lyckat, tidseffektivt projekt – fattade generaldirektör Maria Ågren och ställföreträdande generaldirektören Jacob Gramenius flera formella så kallade ”avstegsbeslut”. Dessa beslut innebar medvetna, dokumenterade avsteg från gällande lagstiftning, inklusive säkerhetsskyddslagen. 

 

Akademisk forskning av P. Svärd (2019) vid Södertörns högskola visar hur outsourcingen och NPM-idealen åsidosätter grundläggande demokratiska principer som transparens och ansvarsskyldighet. Svärd beskriver hur en djupgående ”avstegskultur” under en längre tid utvecklats inom Transportstyrelsen, där man regelbundet åsidosatte lagar och interna riktlinjer vid upphandlingar för att uppnå kortsiktig effektivitet. Fackliga företrädare vittnade om att avsteg var så vanligt förekommande att det normaliserats i organisationen. 

 

När mörkläggningen slutligen uppdagades 2017 ledde det till Maria Ågrens avskedande, ett strafföreläggande för vårdslöshet med hemlig uppgift samt en av de största politiska kriserna i modern svensk historiavilket resulterade i att flera ministrar och statssekreterare fick avgå. Det som internt behandlades som ett nödvändigt taktiskt beslut var i själva verket en nationell säkerhetsrisk dold bakom en ridå av tystnad. 

 

Fallstudie 3: Coop och Kaseya-attacken 2021 – Kontrasten genom transparens 

Sommaren 2021 drabbades livsmedelskedjan Coop av en av de mest omfattande cyberincidenterna i svensk historia. Ransomware-gruppen REvil utnyttjade en sårbarhet i fjärradministrationsverktyget VSA från mjukvaruleverantören Kaseya. Coops kassaleverantör, Visma Esscom, använde detta verktyg, vilket ledde till att Coops kassasystem krypterades i en supply chain-attack. Över 800 butiker tvingades stänga akut eftersom kunderna inte kunde betala. 

 

Coops ledning ställdes inför ett val: att försöka dölja vidden av problemet, gå in i tysta förhandlingar med REvil eller att spela med öppna kort. De valde total, omedelbar transparens. De gick ut i media samma kväll, förklarade exakt vad som hänt, att de drabbats via en underleverantör och att de vägrade att betala lösensumman på 70 miljoner dollar. 

 

Det tog sex dagar att öppna de första butikerna och sex veckor innan hela IT-miljön var fullständigt återställd. Men genom att vägra stämpla krisen som ”Pinsamt Hemligt” lyckades Coop inte bara behålla allmänhetens förtroende, utan de transformerade en potentiell PR-katastrof till ett skolboksexempel på motståndskraft och transparent krisledarskap. 

Securebymetoden: Att utplåna rädslan ur organisationen

Tobias Ander belyser i sin bok ”Informationssäkerhetskultur” att vi lever i en komplex och oförutsägbar värld. I komplexa miljöer finns det inga linjära, enkla lösningar. Som ekonomen Nassim Nicholas Taleb har påpekat: ”Att undvika små misstag gör de stora misstagen mer kännbara.” 

 

När en organisation försöker upprätthålla en perfekt fasad tvingas medarbetarna att dölja de små misstagen. Men dessa dolda misstag försvinner inte; de ackumuleras till en växande säkerhetsskuld som förr eller senare leder till en systemkollaps. Forcerad tystnad döljer de svaga signaler som föregår varje katastrof. 

 

Det finns tre grundpelare vi måste bygga vårt arbete på för att montera ner ”Pinsamt Hemligt”-kulturen: 

 

1. Flytta beslutsfattandet till informationen 

Med inspiration från ubåtskaptenen David Marquet betonar Tobias Ander vikten av att decentralisera mandatet. Traditionella hierarkier kräver att information flyttas upp till auktoriteten för beslut, vilket skapar flaskhalsar, fördröjningar och utrymme för mörkläggning. Genom att istället flytta beslutsfattandet ner till informationen – där medarbetarna faktiskt befinner sig – ökar det personliga ansvaret och transparensen. Medarbetaren blir en aktiv sensor, inte en passiv regelbunden mottagare av policys. 

 

2. Etablera ett skuldfritt lärandeklimat  

För att utplåna den sociala rädslan måste ledningen formalisera ett skuldfritt bemötande vid incidenter. När ett fel inträffar fokuserar undersökningen på hur systemet, processerna och tidsramarna tillät misstaget att ske, snarare än att söka efter en syndabock. Detta sänker rapporteringströskeln dramatiskt. 

 

3. Sårbarhet i ledarskapet som norm 

Kultur formas av de beteenden som ledare belönar och själva uppvisar. Om du som ledare låtsas ha alla svar och aldrig erkänner fel, signalerar du att sårbarhet är en svaghet. Detta tvingar resten av organisationen att dölja sina egna brister. Ledare måste våga visa sig sårbara och öppna med sina egna misstag för att ge andra tillåtelse att göra detsamma. ”Om du som ledare tror att du har alla svar, sluta med det. För du kommer att ha fel!” 

 

Slutsats: Riv sönder illusionen – bygg verklig säkerhet 

Cybersäkerhet kan aldrig byggas på illusioner. Om din organisation tvekar att rapportera incidenter, om chefer döljer risker för styrelsen av rädsla för repressalier, eller om avvikelser hanteras med ”kraftigt dröjsmål”, bär ni på en tickande bomb. 

 

Det är dags att lägga undan den osynliga stämpeln ”Pinsamt Hemligt” en gång för alla. Genom att ersätta rädsla med psykologisk trygghet, och genom att se varje misstag som en ovärderlig källa till lärande, kan vi bygga organisationer som är genuint robusta. Det är i de ärliga besluten – de beslut vi fattar när ingen ser på – som vår verkliga motståndskraft formas. 

 

Vill du veta om din organisation bär på en tystnadskultur? Securebyme hjälper er att gå under ytan på era beslut, mäta den faktiska tryggheten och bygga en informationssäkerhetskultur som är på riktigt – bortom illusionerna. 

(Är du intresserad av en riktig stämpel eller några dekaler att sätta på datorn, hör av dig till oss!)