Studiebloggen header 3

It-sikkerhed: Hvor mange gange skal der råbes 'Ulven kommer'?

Efter DR Nyheder's seneste afsløring om Energinet.dk's sikkerhed, eller manglen på samme, kan jeg ikke lade være med at tænke på, om folkene bag virkelig ikke tænker på sikkerhed.

Det kan da ikke passe, at man forbinder en enhed til internettet uden at have kortlagt, hvem der kan tilgå enheden, og om det i virkeligheden er nødvendigt for denne enhed at have internetforbindelse.

Det er over 4 år siden, vi læste om, hvor meget skade Stuxnet-ormen kunne gøre. Det er over 2 år siden, at Henning Mortensen fra ITEK advarede om lige præcis dette. Og igen tidligere i år kunne vi læse om manglende sikkerhed ved trafiklys. Er det bare normen, at de mest vitale systemer i vores samfund ikke behøver sikkerhed? Hvor mange gange skal der råbes “Ulven kommer”?

Er det, fordi it-branchen er en relativt ung branche, og landets love ikke har formået at følge med udviklingen? Skal der en større katastrofe til, før vi tager it-sikkerhed seriøst? Skal vi have en Fukushima inden for it-sikkerhed, før man begynder at lukke systemernes internetadgang og får styr på, hvem der har adgang?

Jeg synes, man burde kræve, at der bliver indført undervisning i it-sikkerhed, svarende til mindst 5-­10 ECTS-point, på alle it-uddannelser, så næste generation af it-folk har et minimum af basisviden om emnet.

Er det bare mig, der synes, at det burde være strafbart med så ligegyldig sikkerhedshåndtering? Ville det ikke være en ide at have en lovpligtig it-sikkerhedsrevision, som kunne påbyde en virksomhed at rette ind, eller, i værste tilfælde, politianmelde den pågældende virksomhed? Endvidere kunne man have en whistleblowerordning til denne revision, hvor medarbejdere kunne tippe anonymt.

Nu vi står foran et folketingsvalg, kunne det være interessant at se, om nogle af partierne har nogle konkrete bud på disse. Om den næste regering vil sætte som mål at f.eks. inden for 2­3 år skal landets mest vitale infrastruktur være sikret og underlagt en revision. At inden for 5 år skal alle virksomheder følge en pågældende standard inden for sikkerhed og håndtering af data.

Så er spørgsmålet, om det er ønsketænkning og uvirkeligt at realisere dette inden for denne tidsramme. Jeg er overbevist om, at det kommer - spørgsmålet er bare hvornår, og om den store katastrofe rammer før ...

Kommentarer (25)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Peter Makholm Blogger

IT-sikkerhed høre efter min mening til klassen af problemer der er så komplekse at man ikek kan forvente at ikke-fagfolk magter at skelne skidt og kanel. Derfor tror jeg hverken den almindelige borger, politikkeren eller den normale embedsmand er i stand til at udforme konkrete bud for IT-sikkerheden af vital infrastruktur.

Så hvis du bare afventer at politikkerne gør eller lover noget ved næste folketingsvalg, så bliver du slemt skuffet.

  • 13
  • 1
#3 Rasmus Iversen

Lige en detalje omkring sproget: At råbe "Ulven kommer!" eller referere til den gamle historie, handler jo netop om at advare om et problem (en ulv), der ikke findes - hvilket så medfører, at problemet ikke tages alvorligt, når det findes. Altså omvendt af, hvad der rent faktisk foregår ude i den virkelige verden, hvor problemet allerede findes, men ikke tages alvorligt.

  • 22
  • 1
#4 Nicolai Møller-Andersen

Moderne ledelse læner sig meget op af risikovurdering fremfor etik, moral og personlig integritet; Deri ligger problemet: Ledelsen kan ikke se, forstå eller kvantificere risikoen ved IT. Når risikoen ikke kan kvantificeres, så er det svært at bruge penge på at minimere denne. Ude af syne ude af sind.

Prøv at spørge en politiker, om det er ok, at alle trafiklys har knapper, som alle kan trykke på og få dem til at gå i flimmer. Spørg så en virksomhedsleder, om det er ok, at virksomhedens interne produktionstegninger og opskrifter ikke er låst af, så alle kan se dem.

Fortæl dem så, at sådan er det i virkeligheden også med IT, og du vil møde vantro og argumenter som, jamen det virker jo. Komplexiteten i problemet og løsningen er desværre ofte af en sådan natur, at det ikke kan koges ned på de krævede tre linier i et executive summary.

Nej, jeg tror ikke, IT folkene mangler viden om sikkerhed. Jeg er ret sikker på, at de bliver presset til at overse det.

  • 12
  • 0
#5 Ulrik Suhr

Jeg er imod anarkisme og kriminalitet. Dog har beslutningsdeltagerne i DK for længst valgt at sluge den blå pille.

Det sagt så har jeg oplevet aktivisme inden for IT er den eneste måde ikke IT personer fatter det. Jeg havde engang for lang tid siden et sikkerhedskursus på DTU. Det som du efterlyser :) Det var i en tid hvor wireless lige var sat op på DTU. Lidt tid efter fandt man ud af web krypteringen var implementeret forkert og de fleste access points kunne derfor hackes. DTU valgte i første omgang ikke at skifte disse da brugerne jo oftest var på området og ledelsen var ligeglad. Tror det var efter 3-4 lektion hvor gennemgang af sikkerheds probing og deraf udnyttelse blev lært blev der sendt daglige emails ud til alle studerende "At hacking var forbudt og lad så være med at hacke DTU's net!!". Det forsatte i 1-2 uger hvorefter DTU's ledelse til sidst skiftede alle deres forældede accesspoints ud.

Så ja. Begynd at undervise/lave guides/youtube vidioer om hvordan man hacker skole systemer og ændre sin egen karakter. hacke motorregistret og give tilladelse til større motorcykel etc. vise hvordan man ændre i tinglysnings databasen så studerende uden bopæl kunne blive ejer af diverse lejligheder etc. så tror jeg systemerne vil blive ændret inden for dette år.

Personligt har jeg mistet modet for min tids politikere da de ret beset ikke besidder nødvendig viden eller mental kapacitet. Jeg kender kun 1 tysk politiker som på første hånd opfattede hvad der sker omkring hende og har taget affære (en fru Merkel). Hvis det samme skete for Helle Torning kunne hun stadig ikke tage affære da hun ret faktisk ikke fatter nødvendigheden af situationen. Om det er et parti problem eller politisk ved jeg ikke. Politikers sikkerhedsforståelse billedligt fortalt viser man ikke bør være sikker hvis en politiker bliver udstyret med en plastik kniv.

  • 4
  • 1
#7 Jan Gundtofte-Bruun

Problemet er dels, at man sagtens kan udvikle et system til at være funktionelt uden at det er synderlig sikkert. Og vi ved jo alle, at lige så snart der er hul igennem så er brugerne glade. Argumenter om at systemer skal hærdes mødes tit med "jamen det virker jo allerede" og en modvilje til at smide penge efter noget man ikke oplever som en forbedring.

Problemet er dels, at mange brugere (deriblandt opdragsgivere og lovforfattere) har fået sine forventninger og rettigheder eroderet langsomt over mange år, så "folk" er blevet næsten ligeglade med at EULA'er tager alt, alt for meget ejerskab af brugernes data. Man er blevet "opdraget" til at ikke tænke på, at hvis man ikke er kunden så er man sgu nok produktet, og dem som gør opmærksom på det bliver anset for lige så hysteriske som dem der traver ned ad gågaden med et "dommedag kommer!" skilt.

Problemet er, at vi HAR haft en hel stribe "Fukushima" events -- der var bare ingen (af betydning) som syntes det var så galt igen. Jeg nævner: Amanda, tele-logning, Polsag, NemId, Rejsekortet, CSC fadæsen, og sikkert mange flere.

Og apropos Fukushima: Der skal mere til end dét. For hvor meget er der egentlig sket siden denne grumme sag startede (for den er jo stadig "ongoing")? Ikke rigtig noget, selv om der stadig er potentiale for en meget større ulykke på værket. Samtidigt ser vi, at inkompetente organisationer påstår at der er fuld kontrol på tingene, og fremlægger action planer som kan være endog meget risikofyldte.

Vi skal have opdraget en hel "social networking" generation til at være mere "tinfoil hat" i alt hvad de kommer i berøring med, og det helst uden at fratage dem fornøjelsen og tilliden ved at være del af et åbent samfund.

Når jeg kommer til magten, skal al statslig IT drives på dansk jord af danske selskaber, og profit skal være en ikke-parameter. Så burde vi kunne undgå både CSC og et nyt Kommunedata. Når jeg kommer til magten, skal al statslig IT bygge på open source software, og rettigheder til software som produceres for statens penge skal overgå til staten eller public domain. Så burde vi kunne undgå vendor lock-in og lukkede, umoderne systemer. ...der er i det hele taget meget der bliver anderledes "når jeg kommer til magten".

  • 5
  • 0
#10 Jens Jönsson

Det kan da ikke passe, at man forbinder en enhed til internettet uden at have kortlagt, hvem der kan tilgå enheden, og om det i virkeligheden er nødvendigt for denne enhed at have internetforbindelse.

Jo, det kan passe. Årsagen er at mere eller mindre alt kan tilsluttes til Internet og fjernstyres, og det giver nye muligheder og gør det let. Derfor tilslutter en tekniker (ikke IT tekniker) udstyret til Internet, for så kan han I ro og mag sidde hjemme på kontoret og hygge sig med at konfigurere systemet, f.eks. en PLC.

F.eks. har jeg oplevet et alarmfirma der ville have åbnet for indgående port i firmas firewall, så deres kørende vagter kunne få videoovervågning fra det sted alarm gik, på deres mobiltelefon. I sig selv en smart måde at forberede sig på, man kan se hvad der sker og hvem vagten evt. skal op imod. Problemet var så bare at der var standard brugernavn og password på, som sjovt nok ikke kunne ændres og en scanning af porten afslørede et system bag ved (webserver), der brugte meget gammel kode (udgået version) der skulle opdateres for at være sikkert.

I EnergiNet.dk's tilfælde drejer det sig sikkert om elektrikere der har forstand på elnettet, ikke IT sikkerhed, som tilslutter systemerne til Internet. De kan så sidde hjemme og overvåge. Det er ikke engang sikkert at IT afdelingen har været inde over, for masser at systemer i den branche sælges med en Ethernet port.

  • 1
  • 0
#11 Mette Nikander

Til information om netop frustrationer om manglende lov og uddannelse....Jeg sidder med i bl.a. DI ITEK IT sikkerhedsudvalget og i Rådet for Digital sikkerhed, og svarer på høringsspørgsmål i forbindelse med f.eks. høringen om den nye EU persondataforordning der er på vej og som skal træde i kraft i stedet for det nuværende danske direkti. Der arbejdes for at der skal være skrappere retningslinjer for IT sikkerhed...og i øvrigt væsentlige bøder ved overtrædelser,som f.eks. tab af personhenførbare data.Derudover prøver vi også i mange sammenhænge, at lægge op til, at der kommer bedre uddannelser på IT sikkerhedsområdet. Der er bl.a netop afleveret et debatoplæg fra DI ITEK "Offentlige sikkerhedstiltag der gør en forskel", som også adresserer ønsket om bedre IT sikkerheds uddannelser. Selv sidder jeg også i en arbejdsgruppe, der er ved at lave et pilotprojekt på undervisningsmateriale til i første omgang Folkeskoletrin 5-7 klasse. Tanken er selvfølgelig at kunne bære det videre til flere klassetrin på et senere tidspunkt. Lærerne har ikke forudsætninger for at lave undervisning i dette på egen hånd og derfor vil vi være en del frivillige fagfolk fra forskellige sektorer og brancher, som skal udarbejde materialet, så det både bliver pædagogisk, dynamisk og fagligt korrekt. Vil man vide mere om disse forskellige emner jeg har nævnt her, så er jeg at træffe hos C-cure på Tlf. 45411446 Med venlig hilsen Mette Nikander- www.C-cure.dk

  • 2
  • 0
#12 Maciej Szeliga

...om folkene bag virkelig ikke tænker på sikkerhed.

Det har meget ofte en meget lav prioritet og håndteres ofte som "vi fikser det, hvis det bliver nødvendigt." Det ses tydeligt af alle de der "det sker jo ikke", "det kræver for meget at angribe", "det kræver at hackeren sidder på samme tid som en bruger" tåbligheder man hører fra folk som BESTEMMER uden at have den fjerneste ide om hvad de bestemmer OVER. Holdningen er at man behøver ikke at forstå noget for at bestemme over det bare man har gode rådgivere, problemet er at man nægter at acceptere de råd som kommer så nytter det ikke at man BESTEMMER for man ar kun en TÅBE.

  • 0
  • 0
#13 Jens Jakob Andersen

IT-sikkerhed behøver ikke at være et problem i dagens Danmark, hverken i det offentlige eller private (såvel privatprivat som privat erhvervsliv.)

Der findes meget godt materiale om emnet, gode uddannelser, dygtige virksomheder der rådgiver på området - og mange dygtige folk indenfor det offentlige som arbejder hårdt med at håndtere sikkerheden på it-området. (Og også andre områder.)

Og et af de steder hvor Danmark er langt fremme, er med beslutningen om at implementere offentlig it-sikkerhed ud fra velkendte standarder, først med DS484, og derefter med ISO27001.

Der foregår et langt sejgt træk, både på operationelt niveau, og på ledelsesplan.

Det drejer sig om fokus på implementering, kommunikation og eksekvering. Og bagefter løbende vurdering, måling, opfølgning og forbedring.

Men hvad er så det svære? (Hvis der er noget som er svært?)

Det er at forsvarerne skal være 100% på vagt 100% af tiden - hvorimod at angriberne kun behøver at ramme rigtigt én eneste gang. Det er tæt på mission impossible.

Derfor er første skridt i sikkerhedsprojekter at foretage en vurdering af de trusler og sårbarheder der eksponerer organisationen - og derudfra fastlægge et afbalanceret niveau for sikkerhed.

Så en god dialog om it-sikkerhed, bør starte med fokus på aktivoversigten og risikoanalysen - først derefter ligger der et oplyst grundlag at tale om rette niveau af sikkerhed ud fra.

  • 0
  • 0
#14 Jens Dalsgaard Nielsen

Det lyder jo meget flot og udglattende. Men Det (retoriske) spørgsmål. Kan du du give nogle eksempler på ... 1) uddannelser der udklækker folk der virkelig har fokus på sikkerhed 2) ds484 der er "implementeret" feks på universiteter 3) steder der har et kapabelt beredskab.

Og jeg er helt uenig i med dig at man starter med en risikovurdering. De steder hvor det er helt galt starter man med at lukke alt (hvis man kan finde ud af det) og derefter gå i gang med at lukke for det der ber brug for. Og der skal være meget store argumenter for at eks energinet skal have deres PPC'ere på det store net. Aller allerhøjst et lukket VPN. Magelighed tæller ikke rigtig her.

Det ville være helt fint hvis man på en eller andens pind lukkede ned en uge for at begynde at få styr på det.

Gør det ikke sværere end det er pg lad der ikke gå "djøf" (undskyld udtrykket) i det.

  • 1
  • 0
#16 Jens Jakob Andersen
  1. Uddannelser der klæder folk på til IT-sikkerhed? DIKU, DTU mm. Gerne folk der kombination af erfaring fra softwareudvikling og drift - tilsat strategi, projektledelse og diplomati. Og en god dosis erhvervserfaring - one size doesnt fit all.
  2. Der er mange steder hvor IT-sikkerhed efter DS484 eller ISO 27001 er implementeret og giver gode løft i sikkerheden. Google er din ven ;-)
  3. Steder der har et kapabelt beredskab. Ja, der er mange. Her er et par stykker af dem: http://brs.dk/planlaegning/helhed/krisoev2013/Pages/default.aspx
  • 0
  • 0
#17 Per Hansen

Politikerne har ansvaret. Og politikerne vælges af befolkningen og afspejler derfor befolkningens viden, intelligens og prioriteter. Og befolkningen bekymrer sig ikke meget om it-sikkerhed og forstår det ikke. Vi ser det samme på vejene: statistikken viser at fart dræber flere hundrede mennesker om året bare her i Danmark. Alligevel kører de fleste for hurtigt, ud fra en forsimplet forståelse af virkeligheden: "Der sker nok ikke noget, og der er ikke sket mig noget endnu." Først når folk personligt har været indblandet i en ulykke og enten selv er kommet til skade eller har skadet eller dræbt andre, vågner de op. Det er en eller anden dyreagtig reaktion, som måske fungerer godt i naturen, men som fungerer rigtig dårligt når det gælder unaturligt kraftfulde ting såsom kraftige maskiner og it-systemer - fordi konsekvenserne, når det går galt, hvilket det altid gør, er så langt større end konsekvenserne i naturen, hvor man fx normalt kun kan skade sig selv ved en fejl, men sjældent andre, og aldrig skade en større gruppe.

  • 0
  • 0
#18 Jens Dalsgaard Nielsen

1.Uddannelser der klæder folk på til IT-sikkerhed? DIKU, DTU mm. Gerne folk der kombination af erfaring fra softwareudvikling og drift - tilsat strategi, projektledelse og diplomati. Og en god dosis erhvervserfaring - one size doesnt fit all.

Det er vel ikke et eneste REELT eksempel - hvad hedder de uddannelser ?. Har også hørt og lignende uddannelser i Skæve ;-)

[quote] 2.Der er mange steder hvor IT-sikkerhed efter DS484 eller ISO 27001 er implementeret og giver gode løft i sikkerheden. Google er din ven ;-) Steder der har et kapabelt beredskab. Ja, der er mange.

Igen ikke et svar ! :-)

  1. Her er et par stykker af dem:

Ser ud som et skrivebordsgeneralstykke når de tager hele officielle Danmark :-) Har (næsten) aldrig hørt om nogen der har prøvet at rykke hele systemet ned og trille backuppen ind.

Så uden at være tøsesur ser jeg ikke et reelt svar. Jeg har også set ds484 sikkerhed oplyst overfor folket hvor man bla fokuceres på om usb nøgler var røde eller grønne - og når manu ved at 8% af den mandlige befolkning er rød-grøn farveblindhed. DS484 og det offentlige og er par ord i flæng, google docs dropbox usb sticks backup af personlige bærebare/tablets, kryptering af data osv osv. hmmm

god weekend herfra.

  • 1
  • 0
#21 Kim Jensen

Jeg har sagt det før og nu siger det så igen, og jeg ved at jeg sikkert for en mængde hade mails i hovedet ganske som alle de andre jeg har nævnt det !

Det går af h til med it sikkerhed i DK, og det er der mange grunde til. En af grundende er at meget undervisning i DK foregår på et helt ufatteligt lavt niveau bla. rent it sikkerheds mæssigt, og en anden grund er at politikere og forretningsfolk lytter på såkaldte eksperter, der siger at IT sikkerhed et langt stykke hen ad vejen drejer sig om opdateringer og antivirus, og at sætte firewalls på totalt hullede systemer osv. F.eks. har jeg mødt flere uddannede IT folk der tror at man ikke kan blive hacket eller få malware hvis man har et godt antivirus program og en firewall, men hvis man læser og lærer om malware vil man se at sandheden meget langt fra er sådan. Fordummelsen skyldes et langt stykke ad vejen brugen af Microsoft, og deres totalt uansvarlige 'fault by design' OS'er, som enhver der har givet sig tid virkelig at læse/lære om hacking og malware VED er hullede som en si, og så er Microsoft også nærmest ligeglade med at rette deres mange huller. Sikkerheds huller fundet i Microsoft systemer findes i årevis på hackersider (eller er bare kendt i hacker miljøer), og selv om eksperter advarer Microsoft om hullerne, så sker der intet før at hullerne er så kendte at en 10-årig begynder kan bruge dem, og selv da har de ofte været kendt i den brede offentlig i månedsvis før der sker noget. Og da det meste statslige IT (og mange firmaer) kører Microsoft, så er det nærmest bare at vælge et sikkerhedshul fra de MEGET lange lister man kan finde om emnet. Ikke dermed sagt at *nix systemer altid er totalt sikre, man man er i miljøet en sund paranoia og er ekstremt hurtige til at løse problemerne og har en grundlæggende OS struktur der muliggør sikker IT (og muligheder for bla. effektiv overvågning i forhold til ændringer i systemet, hvilket er nærmest i håbløst med Microsoft), og hvis man seriøst begynder at uddanne IT folk i danmark til *nix systemerne, så vil man radikalt kunne øge sikkerheden. Hvis landet i stedet skiftede til f.eks. OpenBSD (som nok er det mest sikre ikke militære OS i verdenen) OG uddanner eksperter på området, så vil det blive meget svært at hacke systemerne.

En anden grund er at DK har totalt berøringsangst i forhold til hacker kulturen, og man bliver straks stigmatiseret som en beskidt ussel slyngel hvis man søger indsigt i emnet eller taler om det. Hvis landet i stedet opfordrede til at have en stærk hacker kultur, så ville vi kunne opbygge et seriøst defensiveness. Og ved at have en intern 'konkurrence' på området, så vil vi få sandheden at vide om sikkerheden i vores systemer, i stedet for at udenlandske hackere som nu bare tager magten fra os. I fremtiden må man regne med at hacking nok vil blive et af de vigtigste våben, bla. landene imellem, og landet burde derfor opbygge og opfordre til at opbygge en så stærk hær af hackere som muligt (f.eks. ved at lave hacker konkurrencer i TV i stedet for f.eks. bage kage og gætte antikviteter konkurrencer), da dette vil skabe en bredde som også vil medføre en større elite på området. I stedet for at bare at tro på og lade sig styre af landets typisk højtuddannede autoriteter der bestemmer landets IT politik (typisk er de jo bare uddannet i fortiden, og er aldrig bliver testet af IT sikkerhed virkeligheden, og typisk er de ikke engang indviet i emnet), så burde man konfrontere virkeligheden og på relativ kontrolleret vis lytte til og anvende alle 'slynglerne' (hackerne) der i konkurrence med hinanden nok skal få sagt hvordan virkeligt IT sikkerhed skal opbygges, og altid teste hinanden om det nu også fungerer (ligesom man i hæren ofte bruger rå beskidte brutale typer på kontrolleret vis, da de kan klare virkeligheden i krig) ! Hvis vi i DK skal være sikre inden for IT, så skal vi også kunne være rigtig 'beskidte', da vi ellers ikke kan fatte virkeligheden. Oversat til militær sprog, så har DK p.t. en IT hær af primært velfriseret søde artige luksus drenge i pænt tøj, der aldrig har haft møg under neglene, og prøvet smerte og/eller blevet testet i virkelighedens grimme beskidte verden, og sådan en hær kan enhver vel se er dømt til at falde i virkelig krig ! Og man er nok meget naiv og uviden hvis man ikke kan se at fremtidens kampe, bla. landene imellem, i høj grad også vil være en cyberkrig, og efter min mening er det tåbeligt ikke at forberede sig realistisk til den virkelighed (og realisme er en beskidt videnskab).

  • 1
  • 1
#22 Frithiof Andreas Jensen

Og politikerne vælges af befolkningen ...

Det er ikke rigtigt! Politikerne välges af deres respektive politiske partier. Det er ikke befolkningens skyld at der ikke er noget at välge imellem på "hylderne".

"Forretningen Danmark" körer präcis sådan som de udvalgte beslutningstagere, af mange forskellige grunde, önsker, eller behöver. Det kan man ikke bebrejde välgerne, de som har allermindst inflydelse på resultatet, for - selv om det naturligvis er belejligt for de ansvarlige.

  • 1
  • 1
#24 Povl H. Pedersen

Nu kender jeg til til industrial IT, som man vel også kan kalde energinets udstyr for. Oppetid i et system er væsentligere end patches, og så må man håbe at der ikke kommer ondsindede forbi. Eller at et enkelt angreb er billigere end de nedetider der evt ville have været i forbindelse med patch.

Man har ikke set og anerkendt truslen. Og folk i industrial IT branchen er ikke med på beatet. De elsker WEP kryptering, og Pentium processorer. Det er gammelt, det er afprøvet, og har vist at det kan køre 5+ år. Produkter der er supporteret af leverandøren er ikke tilstrækkeligt testet til at man tror på dets driftsstabilitet.

Og så køber man IT løsninger der gerne skulle holde i mange år. 10-15-20 års levetid er vel minimum. Så de er forlængst ude af support halvvejs i deres liv. De 5 års support der er i eksempelvis Ubuntu LTS er ingenting. Og hvis der er databaser, så opgraderes de nok aldrig. Så det er vigtigt at attack surface holdes nede, for systemet vil være sårbart en stor del af sit liv.

  • 0
  • 0
#25 Peter Makholm Blogger

Vi ser det samme på vejene: statistikken viser at fart dræber flere hundrede mennesker om året bare her i Danmark.

Hvordan definerer du 'flere hundrede'?

Over de sidste 5 år svinger antallet af trafikdræbte mellem 303 (2009) og 167 (2012) (Kilde Danmarks Statistik. Danmarks Statistik ser ikke ud til at have en opgørelse over ulykkestypen, men jeg tvivler på at samtlige trafikdræbte hovedsagligt skyldes fartoverskridelser. Derfor tror jeg ikke at dit udsagn holder vand, eller i det mindste kun lige med nød og næppe kan betragtes som korrekt i dag.

Jeg anser ikke trafiksikkerhed i sig selv som et særligt kompliceret problem, men eksemplet illustrerer fint en række pointer:

  • Risikovurdering er svært, selv når der er meget konkret statistik tilgængelig.
  • Risikovurdering sker ofte på grundlag af myter og forældet statistik.
  • Hvis teknologien er gennemgribende nok i samfundet er selv den ultimative fejlsituation (dræbte) acceptabel.

Specielt det sidste er interessant, for hvor går den tilsvarende grænse for hvilke fejl som digitaliseringen af samnfundet medfører og kan vi for et givet IT-system overhovedet måle om indførelsen af IT har ændret på fejlraten?

Det er for eksempel helt klart at en fejl i et digitalt medicinerings-system kan have fatale konsekvenser (dræbte, eller det der er værre), men det skal holdes op imod risikoen for menneskelige fejl i et system der blandt andet afhænger af at sygeplejesken kan læse lægens noter korrekt. Det tror jeg fø®e til en risikovurdering der er meget mere kompliceret end ved trafiksikkerhed.

  • 0
  • 0
Log ind eller Opret konto for at kommentere