Med penn og papir

Det er ikke garantert at vårt digitale samfunn fungerer i en virkelig krise. Det kan kanskje være lurt at kritiske samfunnsfunksjoner noen ganger øver bevisst med penn og papir.

Illustrasjon

Foto: Arne Røed Simonsen

Noen ganger går det ikke som planlagt. Det fikk Politiet erfare forrige uke hvor de var tilbake til penn og papir i noen timer. Slikt skal selvsagt ikke skje i 2016, men det skjer, og det kommer til å skje igjen, uavhengig av sektor, offentlig eller privat. En mann ved navn Murphy er fortsatt like aktuell med sine «lover» i 2016, som han var i 1949. «Alt som kan gå galt, vil gå galt».

De fleste «penn og papir» situasjoner er forårsaket av feil i teknologi eller skyldes menneskelig svikt. Noen ganger i kombinasjon med hverandre. De fleste virksomheter gjør sitt ytterste for å unngå slike situasjoner, men hva om situasjonen er ønsket og forårsaket av andre krefter? Det er heller ikke noe nytt at andre forsøker å skape slike hendelser, motivene kan variere fra økonomisk utbytte eller bare det faktum at det lar seg gjøre. Men det er ikke svikt i teknologi, mennesker eller aktivitet fra «kriminelle miljøer» jeg skal fokusere på. For stort sett går det jo bra i det daglige. Stort sett håndterer det norske samfunnet det som kriminelle og andre er i stand til å gjøre av «ugagn» på nett. I hvert fall sett fra ønsket om at systemene skal fungere 24/7.

Så stort sett går det jo bra.

Fra å være et land som i 1971 hadde stortingsdebatt om vi skulle ha fargefjernsyn i Norge, driver vi nå fremover i en utviklingstakt som vi ikke har sett maken til. Enda er det mange som ikke er fornøyd med hastigheten – det må gå enda raskere! Det kan være mye positivt å si om utviklingen og implementering av ny teknologi. Men siden dette blir skrevet på Sikkerhetsbloggen blir fokuset ikke på de positive sidene.

I tidens løp har endring og ny teknologi blitt møtt med store motforestillinger. Sikkerhetsfolk har bidratt med stor skepsis og vært i overmåte pessimistiske de siste hundre år. Dette er mitt bidrag.

En av de største utfordringene med sikkerhetsarbeidet på nasjonalt nivå er at vi arbeider mot ressurssterke nasjonalstater som arbeider langsiktig og strategisk. De spiller i angrep og vi spiller i forsvar. Vi bytter ikke en gang side etter første omgang, fordi kampen pågår 24/7. Samtidig er den pågående kampen muligens bare en treningskamp, fordi vår angriper ikke har ønske om, eller behov for å score mål eller vinne akkurat nå. For å si det rett ut. De har ikke behov for å få oss over på penn og papir nå, men oppgaven er å skaffe muligheten til å kunne skade oss når landet deres trenger det som mest.  Det kan være om 14 dager, 3 måneder, 2 år, eller aldri.

I de fleste væpnede konflikter i verdenshistorien har en eller flere av de involverte parter fremvist ny teknologi eller kapasiteter som har kommet overraskende på motstanderen. I nyere historie, etter at mobil- og internettrevolusjonen fant sted, har vi ennå ikke hatt en væpnet konflikt hvor en nasjonalstat har sett det nødvendig å vise sin fulle kapasitet i det digitale rom. Ingen har interesse av å vise frem hva de kan før de virkelig trenger det.

Etter at Stuxnet «koden» angivelig satte iranske atomanlegg ute av spill i 2010, har flere sikkerhetseksperter sammenlignet Stuxnet mot øvrig kjent ondsinnet kode og beskrevet det som om en F-16 skulle ha dukket opp i luftrommet over skyttergravene i Frankrike under første verdenskrig. Med andre ord, noe svært avansert som man ikke hadde sett før.

Det er ingen grunn til å tro at verden har full oversikt eller kunnskap over hvilke kapasiteter som enkelte nasjonalstater har i det digitale rom. Om de i tillegg har vilje til, og kombinerer dette med fysiske kapasiteter er det få eller ingen som vet hva som er mulig. Så hvorfor ser det ut som vi lykkelig fornektende forutsetter at vi vil ha kontroll på strøm, vann, kommunikasjon m.m. når vi vil trenge det som aller mest? For å sitere Murphy: «Hvis alt ser ut til å gå godt - så har man tydeligvis oversett et eller annet».

Så innimellom kan det kanskje være lurt at kritiske samfunnsfunksjoner øver bevisst med penn og papir. Det er ikke garantert at vårt digitale samfunn fungerer i en virkelig krise. Spesielt ikke om den bevisst er skapt av andre. Penn og papir kan kanskje være det mest realistiske scenario vi kan trene oss til å bruke.

Jeg håper inderlig at jeg har feil.

 

Murphys lover

Ingenting er så lett, som det ser ut til.

Alt tar lengre tid, enn du tror.

Alt som kan gå galt, vil gå galt.

Hvis det er mulighet for at flere ting kan gå galt, vil den ting som vil forårsake mest skade, være den ting som går galt. Følge: Hvis det er et tidspunkt hvor det vil være spesielt dumt at noe går galt – så vil det skje på det tidspunktet.

Hvis det er noe som ikke kan gå galt, så går det likevel galt.

Hvis det er fire måter en prosedyre kan gå galt på, og man forutser dette, så vil en femte og uforutsett måte øyeblikkelig forekomme.

Når ting blir overlatt til seg selv, vil det gå fra å være dårlig til virkelig dårlig.

Hvis alt ser ut til å gå godt - så har man tydeligvis oversett et eller annet.

Moder natur holder alltid med de skjulte mangler.

Det er umulig og lage ting idiot- sikkert, for idioter er så u- geniale.

Når du har bestemt deg for å lage en bestemt ting, er det noe annet som må gjøres først.

Enhver løsning avler nye problemer.

Næringslivets Sikkerhetsråd | Postboks 5493 Majorstuen | 0305 Oslo | Middelthunsgt 27, Majorstuen | nsr@nsr-org.no

Følg oss