Hur skall man organisera ADB-arbetet, fördela ansvar, rekrytera och följa upp personal? Det är frågor som behandlas i en ny rapport från Sårbarhetsberedningen, SÅRB.
SÅRBs sekreterare Thomas Osvald kommenterar den här.
Det är mänskligt att fela! Följaktligen måste vi ha arbetsmiljöer som bl a är feltoleranta. Det är en av utgångspunkterna i en rapport om personal och säkerhet som sårbarhetsberedningen har tagit fram.
Man brukar tala om två kategorier av hot mot databehandlingen – oavsiktliga fel, misstag etc respektive avsiktliga, d v s mer eller mindre kvalificerade databrott.
Det ligger i sakens natur att i första hand oavsiktliga fel men även databrottshandlingar mestadels orsakas av anställd personal, s k insiders.
Ju mera central position i databehandlingen en anställd har i desto högre grad måste man sätta sin lit till att han (hon) är noggrann och ärlig. De rikaste tillfällena och svåraste frestelserna drabbar därför ADB-säkerhetschefer, internrevisorer, systemprogrammerare. Håller man sig till avsiktliga felhandlingar i brottsligt syfte är det ju också så att frestelserna blivit så mycket större på grund av egenskaperna hos databrottet. Där förekommer inget blod – egentligen inga pengar heller eftersom pengar representeras av anonyma elektroniska/magnetiska signaler och laddningar. Bytet är avsevärt större än vid ett ”normalt” rån och risken för upptäckt många gånger helt obetydlig.
Databrott är spektakulära och fantasieggande men trots allt ännu så länge rätt ovanliga(?). Ett långt större problem utgör de oavsiktliga felhandlingar som orsakar driftstopp, omkörningar och förluster av olika slag.
Riskbedömning
Det finns kvalificerade säkerhetsexperter, som hävdar att man kan riskbedöma en ADB-driftmiljö genom att applicera en checklista med ”risksymptom” på den. Exempel på sådana symptom är dålig arbetsdisciplin, svag arbetsledning, oklar arbetsfördelning, slarv med dokumentation och kontroller. Att en sådan miljö är både osäker, sårbar och ineffektiv är väl uppenbart. Och omvänt att optimala kontroller, bra dokumentation, klar och tydlig ansvarsfördelning etc är kännetecken på en både effektiv och säker ADB-miljö.
Självfallet måste det ställas höga krav på människor som anförtros kvalificerade och ansvarsfulla arbetsuppgifter. Men de måste också ställa höga krav på den organisation och det system i vilket de skall arbeta. Möjligheterna att göra fel skall elimineras så långt det är möjligt, bl a genom förebyggande kontroller. Feltoleransen måste vara hög. En katastrof för organisationen kan innebära en katastrof för den som oavsiktligt förorsakat den. Frestelser att otillbörligt utnyttja sin kunskap skall så långt det är möjligt elimineras etc. Arbetsmiljön skall bidra till den harmoni som är en förutsättning för ett moget, omdömesgillt och balanserat handlande.
Arbetsmiljöns organisation
Hur organiserar och administrerar man sin ADB-arbetsmiljö så att den uppfyller dessa höga krav? Mycket vägledning får man inte genom att besöka svenska arbetsplatser. Där har man varit märkvärdigt passiv när det gäller dessa särskilda frågor – av missriktad rädsla för fackligt ogillande, kantänka? Men man behöver inte gå längre än över Öresund för att hitta en helt annan, mer frispråkig och kreativ inställning. I en rapport från SÅRB har vi nu tagit upp och redovisat en del av bl a de danska idéerna – om hur man bör organisera ADB-arbetet, fördela ansvar, rekrytera och följa upp personal etc. Ett av de danska företagen hade bl a en fastställd skala av tillrättavisningar, alltifrån muntlig tillsägelse till avsked för dem som åsidosatte sina skyldigheter i fråga om ADB-säkerheten.
En viktig fråga i det här sammanhanget är den s k personalkontrollen, som enligt författning kan eller skall ske för personal som rekryteras till ansvarsfulla befattningar. I rapporten redogörs för vad personalkontroll egentligen är och hur den går till. En del synpunkter på personalkontrollens värde diskuteras också.
Det har för övrigt förvånat oss att så litet är skrivet – även internationellt – om dessa saker. Vår rapport är på intet vis sista ordet. Den är ett diskussionsinlägg och vår förhoppning är att den skall inspirera till debatt och vidareutveckling av ämnet ”personal och säkerhet”. Rapporten, som har nummer 1985:2, kan kostnadsfritt rekvireras från SÅRB, telefon 08-769 84 96 eller adress Box 12050, 102 22 Stockholm.
Thomas Osvald, ADB-konsult vid SPAREV i Stockholm