Virksomheter sliter med å beskytte seg i det digitale trusselbildet. Tekniske løsninger forbedres, men mediene rapporterer likevel om alvorlige digitale hendelser.
Riksrevisjonen la for eksempel frem en rapport om it-sikkerhet i helseforetak i desember. Der fremgår det blant annet at dataangrep kan true pasientsikkerheten og at de ansatte har en uheldig sikkerhetsadferd.
Bedre sikkerhetskultur omtales ofte som et tiltak. Men hva er nå det?
Sentralt i sikkerhetskulturen er en felles grunnleggende forståelse av hva sikkerhet er. En slik forståelse har utviklet seg over tid i ulike bransjer. Frem til midten av 1980-tallet var det vanlig å forklare storulykker basert på utløsende faktorer og menneskelige feil. Det å «fikse mennesker» har historisk sett vært en sentral del av sikkerhetsarbeidet.
Utfordringen er at det er menneskelig å feile.
En ny måte å forstå sikkerhet på vokste etter hvert frem, blant annet innen luftfart, der menneskelige feil ikke lenger ble sett som årsaken til hendelser, men som symptomer på bakenforliggende og samvirkende årsaker. I tillegg er det en økende bevissthet i modne næringer knyttet til at mennesker er en sikkerhetsressurs. Menneskers evne til å tilpasse seg nye situasjoner og korrigere en uheldig utvikling, bidrar til at det som regel går bra.
I dag er det vanlig å forstå storulykkesrisiko basert på at sikkerhet er et resultat av bakenforliggende og samvirkende sosiotekniske faktorer. Dette omtales gjerne som et systemperspektiv.
For uønskede, tilsiktede handlinger og den digitale sikkerheten, virker det imidlertid som at sikkerhetsforståelsen fra tidlig 1980-tall ofte legges til grunn. I vår erfaring fra ulike bransjer handler digital sikkerhetskultur typisk om å «fikse ansatte».
Når vi ser på læringspunkter etter digitale hendelser, så ser vi ofte at tiltak er rettet direkte mot individers adferd. For eksempel tiltak som at allerede oppmerksomme ansatte skal bli enda mer oppmerksomme, selv om oppmerksomhet kun er delvis viljestyrt, eller tiltak som handler om at ansatte må ta kurs for å lære noe de allerede vet.
… tiltak som handler om at ansatte må ta kurs for å lære noe de allerede vet
Ofte vektlegges it-tekniske detaljer, noe som kan virke fremmedgjørende for ledere og ansatte «i linjen». Slike tiltak er tegn på en mangelfull forståelse av et systemperspektiv.
Tiltakene bidrar ikke til å redusere sårbarheten og øke sikkerheten.
Håndtering av målsettinger som står i konflikt med hverandre, er et sentralt tema.
Hva gjør du for eksempel når it-avdelingen forbyr deg å sende vedlegg på epost eller å knytte deg opp til ukjente nettverk, samtidig som gode alternativer ikke er etablert og sjefen maser om å levere i tide?
Det er ikke gitt at det er en felles praksis å velge sikker løsning, når det oppstår slike konflikter mellom sikkerhet og produksjon. Det er ofte slik at mennesker velger minste motstands vei, og at vi vektlegger det vi får anerkjennelse for.
Da hjelper det lite med en oppdatert it-prosedyre for å «fikse ansatte». I stedet kan ledelsen, gjennom egen praksis, legge føringer for håndtering av målkonflikter.
Linjeledere bør ta sitt ansvar for å oppgradere den digitale sikkerhetskulturen fra 1980-tallets vektlegging av enkeltmenneskers feilhandlinger og unnlatelser.
Digital sikkerhetskultur må på nivå med sikkerhetskultur knyttet til storulykkesrisiko i modne bransjer. Også for digital sikkerhet må vi etablere en felles forståelse og praksis som tar utgangspunkt i et systemperspektiv.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.