Sverige riskanalyserar som aldrig förr. Fantastiskt, även om riskanalyserna innehåller väl många analyser av vad som ska riskanalyseras. Det blir i alla fall sakta bättre. Svårigheten ligger ofta i att vi ganska snabbt kan uppfatta att vi ska göra en viss riskeliminerande åtgärd, men ofta saknas insikten om vad och hur. Här finns det en klar förbättringspotential, men en ännu större förbättringspotential som vilar runt hörnet är förmågan att lära av egna och andras brister.
Även om kvalitén varierar stort på riskanalysarbetet så lyser ofta en fungerande incidenthantering med sin frånvaro. Varför väljer vi bort att hantera risker som med 100% sannolikhet har inträffat?
Ur ett ITIL-perspektiv finns det ofta en incidenthanteringsprocess på plats, men ur ett informationssäkerhetsperspektiv är det sämre ställt. Inte sällan stannar det upp redan vid definitionen av begreppet. Fastnar det inte där, så finns det stor risk att det fastnar i det stora gapet mellan informations- och IT-säkerhet som fortfarande är mer regel än undantag. Denna dikeskörning kräver rätt stora insatser för att få igång ett långsiktigt och väl fungerande informations- och IT-säkerhetsarbete och då är nog andemeningen i denna krönika knappast det som gör skillnad…
Tillbaks till incidenthanteringen, varför vill vi i större grad inte lära av andras och egna misstag? Jag tror faktiskt inte att det stämmer. Min uppfattning är att vi i allra högsta grad vill ta del av andras misstag. Oförmågan ligger oftare i att lära av egna misstag och inte minst att våga dela erfarenheten av sina misstag.
Det finns ett fint uttryck om jag tycker vi borde tänka på oftare – ”sharing is caring”.
Jag tror inte att det finns speciellt stora spår av det synsättet i medieträningen. Snarare tvärtom. Vad sägs om uttrycket ”tekniskt fel”? Eller uttrycket ”försenad på grund av sent ankommande flyg”. Ett av de absolut sämsta enligt min mening. Det ger ingen information utöver det vi redan vet. Möjligen förstärker uttrycket också det faktum att ingen vill ta ansvar.
Dessa standarduttryck är så uttjatade att de helt har förlorat innehåll och mening!
Jag säger inte att det är enkelt att dela med sig av sina misstag. Jag tycker dock att viljan att faktiskt dela information saknas. I de säkerhetsfrågor som kan relateras till sårbarheter i mjukvaror tycker jag att det finns mycket att lära. När sårbarheten väl är rättad tillkännages och delas vetskapen så att alla faktiskt har möjligheten att täppa till den.
En skillnad som inte ska förringas är att de flesta säkerhetsrelaterade incidenterna härrör till den mänskliga faktorn. Det vill säga att det brister i rutin och färdighet. Samtidigt förstärker detta just den vetskapen att utmaningen sällan är av teknisk karaktär, utan det är just de mjuka frågorna som är helt avgörande.
I takt med att fler informationstillgångar flyttar ut till molnet så ökar kravet än mer på öppenhet och transparens. Vem skulle vilja överlämna sina tillgångar till någon som verkar i det dolda och bara kommunicerar floskler när det som inte får hända händer?
En fråga som väckts tidigare och jag väcker den gärna igen – jag och fler med mig anser att vi behöver en haverikommission. Inte för att skriva någon på näsan utan just för att i större utsträckning lära av egna och andras misstag.
Det finns ingen anledning att vänta längre. Låt årets midsommarlöfte bli att säkerställa förmågan att lära av egna och andras misstag, och inte minst att våga dela med dig. Det är ingen enkel resa, men även en lång resa börjar med ett första steg.
Thomas Nilsson
