Det viktigaste för IT-säkerhet är ledarskap och människor. För att travestera Homer Simpson: ”Människor – problemet bakom, och lösningen på, alla IT-säkerhetsproblem”. 

Ett antal debattörer är inne på en av delarna av ledarskapet: att ta rätt beslut, att göra säkerhetsbedömningar, tillsätta kompetens med mera. Men det handlar även om att odla en bra kultur inom organisationen.

Världens största flygolycka hände 1977 i dimma på Teneriffas flygplats. Två starkt bidragande orsaker var att KLM:s kapten hade bråttom hem så han slapp bo över på grund av övertidsregler, samt att styrman inte vågade säga ifrån när kaptenen drog på gasen utan att fått tillstånd att starta.

Rymdfärjan Challenger exploderade 1986 över Florida efter att chefer i möte efter möte hade kört över ingenjörerna som muntligen och skriftligen skrikit sig hesa om att o-ringarna inte skulle hålla vid start i kallt väder.

Hur ser det ut inom IT på viktiga svenska institutioner? Jag kliver bort till min uppdragsgivares bord några meter bort och säger:

– Du vet systemet som hanterar alla rättigheter för alla system? Det är inte som ni sa, att det bara är två lager. Utan allt är ihopknycklat, så man inte har överblick.

– Nej.

– Jo, men jag har alltså gjort en översyn och ritat upp läget. Häng med bort till mitt skrivbord så kan jag visa dig det skarpt.

– Nej, så är det inte.

IT-chefen kommer in till vårt ”war room” mitt under brinnande incident där jag är ansvarig för koordineringen för att få upp systemet som just nu hindrar cirka 2.500 personer från att arbeta.

Då jag är i telefon skriver han på whiteboarden: ”Vad är problemet?” Jag tar över pennan och skriver under: ”System X är bortom räddning!”

Han tittar på mig, skakar på huvudet och lämnar rummet.

Efter att ha blivit inhyrd av verksamheten för att se över ett system som hanterar ritningar för ett av Sveriges stora skyddsobjekt upptäcker jag att det är oskyddat.

Det hela faller under Säkerhetskyddslagen. Så från att varit ett uppdrag där jag skulle kryssa i rutor ifall systemet uppfyllde informationssäkerhetskraven, så tittar vi nu på risken att styrelsen för organisationen kan hamna i fängelse. Detta då de inte uppfyllt lagkravet att utse en säkerhetsskyddchef.

Min uppdragsgivare blir nervös över vad hens chef kommer säga och när en IT-chef på detta bolag får höra att jag befinner mig i lokalerna så blir jag beordrad av vakt att lämna området. Rapport lämnas in och därefter blir det tyst.

Min uppdragsgivare vågar inte prata med mig. Jag vet inte ens om de ansvariga agerade.

Hur kommer det sig då att jag kan ta exempel från luftfarten? Svaret är haveriutredningar med offentliga rapporter.

Redan på hobbypilotnivå utbildas vi på säkerhet med exempel från verkliga livet om hur snett saker kan gå. Om vi sedan under vårt flygande liv gör avsteg från säkerhetsrutinerna så kan vårt flygcertifikat dras in av Transportstyrelsen... Tro inte att moln eller koordinatorer kommer rädda oss!

• Börja med ledarskapet och skapa en sund kultur där problem och risken glatt tas emot som utmaningar och ”att göra-listor”!
• Se till att samla in erfarenheter kring IT-haverier så i alla fall nästa kull ledare kan utbildas i att göra rätt.

En organisation som kan det här finns redan – den heter Haverikommissionen! Den behöver bara få mandat att ta hand om IT-haverier också.