Transport av farlig gods, kjemisk industri, offshore, kjernekraftverk, luftfart {hellip} Alt kan rammes av større ulykker. Heldigvis er de sjeldne, men de kan være katastrofale. Enda større trusler er blodig terror — og anslag mot infrastrukturer, særlig informasjonsstrukturer. IT-sikkerhet er derfor mer enn vern mot hackere. Ondsinnede insidere gjør ofte mest skade. Angrep mot datanettverk kan knekke bedrifter eller lamme samfunnet. Stadig oppdages det sprekk i forsvarsverket. Ikke sjelden vinner ondsinnede agenter kappløpet. Datamaskinens styrke - lynrask utførelse av programmer i et verdensomspennende nettverk - er et tveegget sverd. Et fatalt sikkerhetshull kan åpne for et automatisert og massivt angrep mot vitale infrastrukturer.Ulike sikkerhetsproblemer har imidlertid vesentlige aspekter felles: Komponentene i sikkerhetssystemet må fungere hver for seg og i forhold til hverandre. Og hvert ledd i sikkerhetskjeden må være sterkt: Teknologi, organisasjon, arbeidsmiljø, samt brukernes kunnskap og medvirkning. Det nytter ikke at brannmuren er perfekt dersom man kan lure forsvaret og agere fra innsiden av datanettverket.Sikkerhetskjedens svakeste ledd er mennesket. Sikkerhetsguruen Bruce Schneier skriver i «Secrets and Lies: Digital Security in a Networked World»: «Kryptografien er perfekt, datamaskinene har svakheter, nettverkene er elendige og brukerne er katastrofale. Jeg har lært mye om IT-sikkerhet, men ingenting hjelper mot menneskelig svikt.» IT er intet særtilfelle: Menneskelig svikt er hovedårsak til 80-90 prosent av alle typer sikkerhetsproblemer.På initiativ fra Nærings- og handelsdepartementet, Justisdepartementet og Forsvarsdepartementet vedtok Regjeringen nylig en nasjonal strategi for informasjonssikkerhet. Den sikter til:Å redusere sårbarheten ved alminnelig bruk av IT og kritisk IT-infrastruktur.Å legge til rette for trygg elektronisk forretningsdrift i privat og offentlig sektor, samt sikre pålitelige nettjenester fra det offentlige.Regjeringen ser en sikkerhetskultur som et overordnet mål: «Alle aktører skal bevisstgjøres når det gjelder trusselbilde, muligheter, begrensninger og nødvendige tiltak for å bidra til etablering av en kultur for IT-sikkerhet».Som tiltak foreslås informasjonskampanjer. Men tidenes største kampanje for trafikksikkerhet (Bilist 2000) måtte stanses. Den hadde ingen effekt, men kostet 25 millioner kroner. IT-sikkerhet er et langt mer komplisert problem: Er det derfor grunn til å tro at kampanjer for å skape en kultur for IT-sikkerhet lykkes bedre enn Bilist 2000?En gåtefull hindring står i veien for sikkerhetskulturen: Etterlevelsen av rutiner, uansett type sikkerhet, blir gradvis verre, inntil skade, kanskje, gjør en klok. Til ettertanke: 1) Forut for Tsjernobyl-ulykken brøt operatørene utallige ganger sikkerhetsreglene, men de følte seg trygge. 2) I 1980-årene rammet AIDS epidemien seksuelt meget aktive homofile menn og svært mange av dem døde. Kampanjer for sikker sex ble forbilledlig organisert av de homofile menns organisasjoner. Praktiseringen av sikker sex var høy, og synlig ved at seksuelt overførbare sykdommer med kort inkubasjon, gonoré m. fl., nesten forsvant. Etter hvert kom også resultatene for AIDS, som har lang inkubasjon, ved at epidemiens fart avtok: Antall HIV-smittede økte fortsatt, om enn langsommere. Men oppslutningen om sikker sex stupte i amerikanske storbyer (igjen er det de seksuelt overførbare sykdommene med kort inkubasjon som varsler trenden). En slik erosjon av sikkerhetskulturen er uro- og tankevekkende, siden homofile menn er gjerne høyt utdannede og kunnskapsrike.Lignende fenomener er kjent fra IT, luftfart og endog fra 11.9.2001, da terrorister uhindret passerte kontrollene på flyplassene (samt at rutiner hos CIA og FBI, som kunne ha avverget udåden, sviktet). Forskning på Høgskolen i Agder ved undertegnede og Kristiansand kommunes doktorgradsstipendiat Agata Sawicka har økt kunnskapen om årsaken til dette gåtefulle fenomenet: Oppbygging av skjødeløshet basert på uberettiget trygghetsfølelse. Dette forårsakes av samspillet mellom forsterkning av feil læring gjennom belønning, og misoppfatning av risiko knyttet til sjeldne foreteelser.Dyr og mennesker lærer fort å assosiere etterfølgende hendelser. Pus vet på lyden av karakteristiske fottrinn at matmor kommer. Barn lærer språkregler uanstrengt av gjentatte mønstre. At denne ubevisste læringen er sterk, opplever vi stadig da vi av vanvare kjører den sedvanlige traseen enda målet var et annet. Denne instrumentelle læring forsterkes av belønning. Men hva hvis en gal innsikt eller et galt atferdmønster belønnes? Nettopp dette skjer da etterlevelse av sikkerhetsrutiner svekkes og skjødeløshet bygges opp, paret med uberettiget trygghetsfølelse.Kondom svekker den seksuelle nytelsen. Før eller siden har man usikker sex, kanskje av vanvare. Fordi HIV er lite smittsomt, belønnes de fleste sikkerhetsbrudd med økt nytelse etterfulgt av erkjennelsen at risikoen tross alt ikke var så høy. Hver gjentagelse tærer på livsmønsteret sikker sex.Tilsvarende er ikke kjernekraftverk bygget slik at de går i luften ved slurv med sikkerheten. Snarveier gjør straks livet lettere (slendrian belønnes) og lar en oppdage at sikkerhetsreglene er overdrevent strenge: Moderne teknologi er meget robust mot de fleste sikkerhetsbrudd. Igjen bygger skjødeløshet seg gradvis opp på uberettiget trygghetsfølelse. Våre modeller simulerer menneskelig sikkerhetsatferd og de forklarer mønstre som forekommer i virkeligheten. Modellene tilsier at noen parametere har stor innflytelse på sikkerhetsatferden: Omkostninger, hvor flyktig risikooppfatningen er, samt hvor forståelig trusselbildet er. Eksemplene nedenfor forklarer dette nærmere.Hvorfor ferdes fotgjengere trygt, mens mange sjåfører kjører stygt? Og hvorfor slites sikkerhetsatferd knyttet til IT ut? Gode fotgjengervaner - å sjekke om det er trygt å krysse veien - koster lite. Biler som passerer maner fram faren: Trusselbildet er forståelig. Derimot koster kjørekulturen mye, fordi mange sjåfører ønsker fart og spenning. De aller fleste risikofylte manøvrer forblir uten følger - trusselbildet er mindre present og forståelig. På samme måte koster gode IT-vaner - de er omstendelige, står i veien for primære aktiviteter - og trusselbildet er abstrakt, ugjennomsiktig og ganske uforståelig for de fleste. Fotgjengernes risikooppfatning oppdateres stadig gjennom påminnelse om faren, biler som passerer. Sjåfører i moderne biler med alskens sikkerhetsinnretninger får et galt bilde av sikkerhet. Og IT-aktører blir sjelden konfrontert med risiko: Antivirussystem, brannmur og andre forsvarmekanismer skjermer av. Dessuten krever IT-sikkerhet full oppslutning: Det er nok at én medarbeider svikter, bruker passord som lett kan gjettes eller bli lurt til å gi bort passordet sitt, og bedriftens datanettverk er åpent som en låvedør på tross av verdens beste kryptografiske algoritmer, brannmurer og antivirussystemer. Stjernehacker Kevin Mitnick (The Art of Deception) dokumenterer utallige sikkerhetssvikter fordi godtroende medarbeidere lot seg lure.Så hvordan skal kampanjer for å bidra til etablering av en kultur for IT-sikkerhet utformes? Vi vet fremdeles lite om langtidsvirkningen av kampanjer, men nyere erkjennelser peker ut visse faktorer. Erosjonen av sikkerhetskulturen skyldes i bunn og grunn feil læring. Å rope ulv står for å mane fram en trussel som uteblir. Livets skole formidler gal læring fordi de fleste sikkerhetsregler virker overdrevne. Således må gode kampanjer for sikkerhet ikke gå i fellen og rope ulv. De må motvirke den falske læringen, sikte mot enkle sikkerhetstiltak som ikke belaster folk (koster lite) og være permanente, for å motvirke den løpende erosjonen av sikkerhetskulturen.