Å skylde på menneskelige feil ved dataangrep er lite fruktbart

DEBATT: Å skylde på menneskelige feil i saker om dataangrep og brudd på personvern har lite for seg, både for de ansatte og virksomheten.

Ikke minst bør man stille spørsmål om hvorfor det ikke var sikkerhetsbarrierer på plass som hindret at en medarbeiders handling resulterte i negative konsekvenser?

Debattinnlegg

  • Sissel Ertenstein
    Seniorrådgiver informasjonssikkerhet
Publisert: Publisert:

Dataangrep og brudd på personvern dukker stadig opp i mediene, og ofte oppgis årsaken å være menneskelig feil. Den siste tiden har både Rogaland fylkeskommune og Norkart hatt uønskede hendelser som forklares med at det har skjedd menneskelig feil – gjennom mediene gjerne omtalt som tabber og uhell. Årsaksforklaringer som dette gir dessverre lite verdi, både for de ansatte og virksomheten.

Hvilken ulykkesmodell velges?

Kunnskap om uønskede hendelser og ulykker er viktig for å drive effektiv risikostyring i virksomheter. Vi må derfor undersøke uønskede hendelser slik at vi kan lære av dem. Hvordan vi undersøker hendelser, altså hvilken ulykkesmodell vi benytter, påvirker resultatet av undersøkelsen. Slik får vi en forståelse av hva, hvordan og hvorfor hendelsen skjedde. Dette påvirker igjen vår mulighet til å lære av hendelsen.

Innenfor gransking benyttes ulike ulykkesmodeller for å undersøke uønskede hendelser. En etablert metode benyttet over lang tid er bruk av sekvensielle modeller. Her konsentrerer man seg om direkte årsak-virkningssammenhenger, som for eksempel at ansatte brukte svake passord (årsak), og virksomheten ble angrepet (virkning). Slike modeller gir begrenset mulighet til å forklare hendelser i komplekse systemer, og vi slutter gjerne å søke etter feil når man har funnet en passende «menneskelig feil» som årsak. Anbefalte tiltak vil således omhandle den ansatte.

Ved hendelser knyttet til informasjonssikkerhet benyttes ofte slike forklaringer. Det virker dermed å være er en etablert praksis – bevisst eller ubevisst – å benytte en form for sekvensiell modell. Ved å se på hendelser fra det perspektivet, konkluderer man raskt med at den utløsende faktoren er årsaken, heller enn et symptom på problemer i virksomheten.

Les også

Bekymringer til barnevernet, elevvurderinger og personalia lå tilgjengelig i fylkeskommunens skyløsning

Hva skjer når man skylder på ansatte?

Virksomheter som opplever informasjonssikkerhetsrelaterte hendelser benytter gjerne en sekvensiell modell i undersøkelsen. Forklaringer som at de ble hacket fordi de ikke hadde patchet (endret red, anm.), eller informasjon kom på avveie fordi prosedyren ikke ble etterlevd, er noe vi kan lese i mediene etter uønskede hendelser. Dette resulterer i at man forklarer hendelsen ved at ansatte har gjort noe de ikke skulle. Dette er viktige faktorer å ta med, men man bør søke å forstå årsakene til hendelsen i et større perspektiv for å finne de bakenforliggende forholdene. Hvorfor handlet den ansatte slik som hen gjorde? Hvordan kan en ansatt sin handling føre til så alvorlige konsekvenser?

Ikke minst bør man stille spørsmål om hvorfor det ikke var sikkerhetsbarrierer på plass som hindret at en medarbeiders handling resulterte i negative konsekvenser?

Hvorvidt virksomheter bevisst velger en sekvensiell modell, er jeg usikker på. Det er derimot rom for refleksjon rundt bruk av ulykkesmodeller og årsaksforklaring av informasjonssikkerhetsrelaterte hendelser. I en slik refleksjon ligger muligheten for å forstå hvilket ansvar virksomheten får tanke på de ansatte og læring for virksomheten.

Les også

Dataangrep mot Norkart – 3,3 mill. nordmenn kan være berørt

Hva lærer man av slike tabber?

I saken med Rogaland fylkeskommune kommer det frem at den/de ansatte som var skyld i at dokumenter og informasjon var tilgjengelig på internett for uvedkommende, ikke hadde fulgt fylkeskommune sin lagringsveileder. Årsaken plasseres dermed på de ansatte som lagret informasjon i skytjenesten. For Norkart fikk angripere tilgang til informasjon og data som følge av svakhet i konfigurasjon av brannmuren i søketjenesten. Det ble trolig benyttet en åpen port som skulle vært lukket. Hvor lenge denne porten har vært åpen, vet de derimot ikke. Her er forklaringen at ansatte tabbet seg ut, altså at det er den ansattes handling som var årsak til sikkerhetsbruddet. Effekten av å skylde på ansatte bør man tenke over. Hvilke konsekvenser eller gevinster har det at uønskede hendelser forklares med menneskelige feil? Hvilken verdi, både fra et mellommenneskelige perspektiv og læringsperspektiv, gir det å peke på sine ansatte?

Man finner det man leter etter

Forskning over tid viser at årsakssammenhenger for komplekse systemer krever en ny tilnærming. Nyere ulykkesmodeller og metoder gir en mer helhetlig forståelse for å finne årsaker. I dagens digitale samfunn er de fleste virksomheter komplekse. Man bør derfor benytte metoder som tar hensyn til kompleksiteten, og som er tilpasset miljøet man operer i. Skal vi fortsette å skylde på menneskelige feil, eller prøve å lære?

Feil er verken villet eller ønskelig. Menneskelige feil er et produkt av miljøet man operer i. Årsaker som menneskelige feil, bør derfor ikke være konklusjonen, det bør være utgangspunktet.

Kunnskap om uønskede hendelser og ulykker er viktig for å drive effektiv risikostyring i virksomheter. Vi må derfor undersøke uønskede hendelser slik at vi kan lære av dem.
Publisert:
  1. Datasikkerhet
  2. Politikk
  3. Dataangrep
  4. Personvern
  5. Tabbe

Mest lest akkurat nå

  1. Brann i Langgata i Sandnes - to til sykehus med røykskader

  2. I ett europeisk land er det dyrere å feriere enn i Norge

  3. Bil i autovernet i Sola

  4. – Følelsen er at vi er tilbake på 2019-nivå

  5. Klart for fjerde dose med korona­vaksine i Stavanger

  6. Brann i prosessoranlegg ved oljeraffineriet på Mongstad