Forbud mot inkompetanse?

Incompetent messy businessman with disorganized desk

Equifax-skandalen herjer fortsatt i media og blant politikere. Nye rapporter med nye innfallsvinkler utdyper det vi allerede vet: Inkompetanse, ansvarsløshet, unnasluntring og dekkoperasjoner – med katastrofale følger. Historien skriker etter handling, politikere leter forvirret og forgjeves i gamle verktøykasser. Hva gjør vi?

Å forby inkompetanse høres ut som en dårlig spøk, men er én av konklusjonene i en fersk rapport fra det amerikanske senatet. Rapporten bruker andre ord, men effekten er tydelig nok, som observert i britiske The Register nylig – i overskriften Tech security at Equifax was so diabolical, senators want to pass US laws making its incompetence illegal.

Politikk og tåkeprat til side, er det åpenbart at noe må gjøres for å redusere sjansene for fremtidige Equifax-skandaler. For 140+ millioner enkeltpersoner som fikk sine personlige data spredt for alle vinder på grunn av overlagt negligens, er det liten trøst i at selskapets vekst har flatet ut og toppene fjernet.

GDPR og tilsvarende hjelper – med økt bevissthet og fallhøyde ved 'non-compliance', men den praktiske effekten er beskjeden. Elendig sikkerhetskultur, ineffektive tiltak og fraværende rutiner lever i beste velgående også etter at punktene på GDPR-kontrollskjemaet er avkrysset. Vi kan forby inkompetanse, men hvordan etterforskes idioti og av hvem?

Vi tilgir politikerne, de vet ikke hva de gjør.
I all rettferdighet – vi tilgir politikerne, de vet ikke hva de gjør. Men de får ingen tilgivelse for manglende evne til å lytte, anvende sunn fornuft og kjenne sitt eget kompetansenivå. Ei heller har vi sans for japanernes innfallsvinkel (se Kan godtroenhet bli ulovlig?), som riktignok gjelder konsumentmarkedet, men som går langt over streken i forhold til privatlivets fred.

I stedet for å bruke tid på slakt av forslag fra politisk hold, kan vi som mener å ha den ‘riktige’ innsikten, komme med ideer om ‘riktige’ tiltak. For eksempel en task force, et swat team som med oppgave å kontrollere (utenfra) at virksomheter og forvaltning har akseptabel sikkerhet. Et teknisk ‘utrykningspoliti’ som i overført betydning står med radaren på tilfeldige steder, ilegger bøter på stedet for negligens og inkompetanse i praksis, og følger opp med nye kontroller.  Navnet på enheten spiller mindre rolle så lenge det signaliserer handling og reell avstand fra tradisjonelle ’tilsyn’.  ‘Cybertilsyn’ er en sikker taper, ‘cyberpoliti’ marginalt bedre, mens en offentlig navnekonkurranse er egnet til å både informere og skape positiv blest.

Det kreves verken stor organisasjon, store investeringer eller lang planlegging for å komme i gang med 'radarkontroller'. Det som kreves er et tydelig mandat og en håndfull personer med riktig ekspertise, holdninger og ambisjoner. Hvis 'vi skal gjøre Norge sikrere' er motto, spiller det ingen rolle om det er Lerøy Kolonial, Forsvaret eller PST som blir kontrollert og bøtelagt.

For egen del har vi foretatt sporadiske stikkprøver av ulike sikkerhetstiltak i nærlingsliv og forvaltning i mer enn 20 år, ofte med nedslående resultater – også hos organisasjoner som burde vite bedre og ha den riktige fokuseringen (se for eksempel NSM: Stabilt sideleie?). 

Vi kan ikke forby inkompetanse, men vi kan gjøre det kostbart og risikabelt å bruke den. 


Se også Politisk cybernaivitet.

Legg igjen kommentar

Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.