Bruce Schneier behöver knappast någon introduktion. Han är nog den person som har haft störst inflytande på hur jag tänker och pratar om säkerhet. Hans bok Beyond Fear är en av mina favoriter all-time. Hans senaste bok, Liars and Outliers (LAO), släpptes redan i fjol men jag har inte kommit mig för förrän nu under sensommaren.

Bruce Schneier, Liars and Outliers, front cover

Det är lika bra att erkänna på en gång att jag älskade att läsa LAO. Den handlar om fundamental säkerhetsteori och illustrerar det med spelteori. A match made in heaven för mig.

Boken handlar om hur vi, som samhälle, löser säkerhetsproblem. Samtidigt behandlar boken hur det kommer sig att det går så pass bra för oss människor jämfört med till exempel babianer. Det är ju trots allt vi som går på zoo och tittar på dem och inte tvärtom. Vem kunde tänka sig att en gammal kryptolog kunde ha ett svar på den frågan?

Schneier beskriver en värld där varje individ alltid har ett egenintresse och att samma individ alltid är med i flera grupper som i sin tur har gruppintressen. När dessa två intressen är i linje med varandra finns inga problem. Om det ligger i både säljarens (individen) och företagets (en av individens grupper) intresse att sälja skrivare kommer det att säljas skrivare. Inga problem.

Om säljaren däremot inte vill sälja skrivare så finns ett problem, färre skrivare kommer definitivt att säljas. Företagets och säljarens intressen är inte i linje med varandra. Företaget kan lösa det här på flera olika sätt:

  • Förlita sig på att säljarens känsla för hur viktigt det är för företaget att det säljs skrivare. Säljaren kommer helt enkelt att ”må bra” av att göra som företaget vill.
  • Spela på att det är bra att ha rykte om sig att vara en bra skrivarförsäljare och att säljaren vill ha ett bra rykte.
  • Upprätta någon form av incitamentsprogram, ge säljaren några procent provision på varje såld skrivare. På samma sätt skulle de, även fast det låter lite underligt, kunna göra avdrag på säljarens lön om inga skrivare säljs.
  • Införa ett CRM-system som, mer eller mindre, tvingar säljaren att göra fyra kundbesök i veckan i syfte att sälja skrivare.

Det handlar helt enkelt om att räta upp individens och gruppens intressen. Schneier kallar detta för societal pressures, det finns fyra typer och punkterna ovan är exempel på samtliga: moral, reputational, institutional och security systems. Societal pressures är sätt för gruppen att påverka individens beslut om att handla i gruppens intresse.

Många befinner sig i samma situation som säljaren och företaget. Stockholm står inför samma, generella problem när det gäller att hålla antalet personrån i staden tillräckligt lågt. SL har motsvarande problem när det kommer till plankning.

Man känner hela tiden igen sig i läsningen, det är klassisk Schneier: förklara ett problem översiktligt, kanske med ett exempel, bryt ner problemet och generalisera fram en allmängiltig teori kring det, ös på med varierade exempel från verkligheten.

Plötsligt sitter du och, på allvar, funderar över hur du kan skydda dig mot nästa Snowden genom att lära av hur jägare och samlare skyddade sig mot utomäktenskapliga förbindelser.


Jag gillar boken huvudsakligen för att den kombinerar två av mina favoritämnen: säkerhet och strategi. Betyget på Amazon är oväntat högt (4,5 baserat på 98 recensioner), jag hade inte trott att den skulle vara så omtyckt då den är så pass akademisk.

Jag känner att jag har fått ut massor av LAO: jag har en respektabel lista på lessons learned och har bekräftat flera av mina grundpelare.

Jag brukar mäta böcker i hur mycket överstrykningspenna som går åt; efter LAO har jag 2-3 mm kvar av min nyköpta. Men, det är förstås möjligt att det säger mer om pennan än om boken.