17. Gammeldags tenkning i moderne organisasjoner?

17. Gammeldags tenkning i moderne organisasjoner? Om IKT-sikkerhet i kunnskapsorganisasjoner Eirik Albrechtsen Institutt for industriell økonomi og teknologiledelse, NTNU eirik.albrechtsen@iot.ntnu.no Tor Olav Grøtan SINTEF tor.o.grotan@sintef.no Innledning IKT-sikkerhet er ikke er et rent teknologisk fagfelt. Ivaretakelse av menneskelige, administrative og organisatoriske aspekter er nødvendig for å sikre en helhetlig og meningsfull tilnærming til sikkerhet ved anvendelse og nyttiggjøring av IKTsystemer. Artikkelen er derfor skrevet med et organisatorisk fokus og utgangspunkt. Hensikten er å reise og utdype følgende spørsmål: Er dagens tradisjonelle tilnærming til IKT-sikkerhet hensiktsmessig for dagens og morgendagens moderne, kunnskapsintensive, nettverksorienterte og virtuelle organisasjoner? Fagområdet vi går inn i, kalles vekselvis datasikkerhet, informasjonssikkerhet, IT-sikkerhet og IKT-sikkerhet. Vi vil her benytte oss av betegnelsen IKT-sikkerhet 1. Fagområdet betegnes oftest som security til forskjell fra safety. Det er 1 ISO standarden 17799 Information technolgy Code of practice for information security management definerer IKT-sikkerhet (informasjonssikkerhet) som beskyttelse av informasjons konfidensialitet, integritet og tilgjengelighet. Herunder beskyttelse av IKT-systemer og informasjon både i og utenfor IKT-systemene. 335

17. Gammeldags tenkning i moderne organisasjoner? vanskelig å skille security-begrepet klart fra safety-begrepet, men de har ulike tyngdepunkt. Security forbindes med beskyttelse mot tilsiktede og ondsinnete handlinger, mens safety forbindes med beskyttelse mot ulykker, feilhandlinger og teknisk svikt. IKT-sikkerhet har tradisjonelt fokusert på tilsiktede, ondsinnete handlinger, f.eks. hacking, noe som reflekteres i den mest benyttete engelske betegnelsen på fagområdet: information security. Vi har i denne teksten tolket IKT-sikkerhet som både en security og safety utfordring. Det er en konseptuell forskjell mellom data, informasjon og kunnskap. Tidligere snakket man om databehandling, nå snakkes det heller om f.eks. kunnskapsdeling. Dette har sammenheng med at det stadig forventes mer av IKT. Vår påstand og vårt utgangspunkt er at fagfeltets dominante logikk og rådende paradigmer ble født i og fremdeles befinner seg i en datakontekst. Å bringe det over i en informasjonskontekst krever mer enn å skifte navn fra datasikkerhet til informasjonssikkerhet. Overgangen til en kunnskapskontekst er enda mer dramatisk og krevende. En eventuell kunnskapssikkerhet vil bevege seg inn på områder som tradisjonelt har blitt belyst gjennom begreper som f.eks. brukervennlighet og funksjonalitet. Teksten er bygd opp på følgende måte: I neste kapittel vil vi beskrive hva vi legger i begrepet kunnskapsorganisasjoner. Deretter beskrives IKT-sårbarhet på tre nivåer relatert til 1) IKT som generelt verktøy, 2) «business automation», og 3) hvordan takle det uventede. Vi argumenterer for at virksomheter befinner seg i en skjør tilstand hvor små feil kan føre til store, uønskede hendelser. Videre beskrives hvordan fagfeltet tradisjonelt har håndtert trusler og sårbarheter. Med utgangspunkt i den tradisjonelle tilnærmingen og de tre nivåene av sårbarhet drøftes mulige svakheter og utfordringer, samt mulige løsninger for å kunne håndtere IKT-sårbarhet i kunnskapsorganisasjoner. Kapittelet konkluderer med at det er behov for at fagområdet IKT-sikkerhet åpner opp for nye perspektiver på organisasjon og ledelse, f.eks. relatert til dynamiske, kunnskapsintensive organisasjoner, organisasjoner som kultur og organisasjoner bestående av ulike, ressurssterke mennesker. Kunnskapsorganisasjoner Mange uttrykk blir benyttet for å beskrive dagens og morgendagens IKT-baserte organisasjoner. For å nevne noen: kunnskaps-, kunnskapsintensive, kunnskapsavhengige, moderne, fremtidige, virtuelle og imaginære organisasjoner. De fleste av dagens organisasjoner bruker i større eller mindre grad IKTsystemer. Utnyttelse av fordeler ved IKT-systemene skaper nye organisasjonsformer. En av disse nye organisasjonsformene er kunnskapsorganisasjonen, som denne artikkelen fokuserer på. Disse kan kjennetegnes blant annet ved 336

Eirik Albrechtsen og Tor Olav Grøtan prosjektorientering i nærkontakt med markedet og systematisk kunnskapsdeling og innovasjon (Klev og Carlsen 2002). Det siste punktet er kjernen i kunnskapsintensive bedrifters produksjonsprosesser og kan utdypes i tre grener: 1) bruk av teknologi til systematisk kunnskapsdeling, 2) selvstyrt, uformell og fleksibel koordinering, men også noen aktiviteter som er underlagt fastlagte rutiner, og 3) samhandling på prosjekter på tvers av faggrenser og fysiske steder. Slike virksomheter har i mindre grad en fast organisasjon i forhold til arbeidsoppgaver, men er under kontinuerlig endring. Informasjon, kunnskap og kommunikasjon, samt de tekniske mediene som brukes, er en sentral, bærende og premissgivende del av organiseringen. En slik organisering fokuserer på relasjonelle ferdigheter, kommunikativ kompetanse, lagarbeid, allsidig kunnskapsgrunnlag, og sosiale, kulturelle og intellektuelle verdier. Samspill med andre og med teknologiske hjelpemidler er en essensiell del av organiseringen. Situasjonen er omskiftelig. Vår drøfting og forståelse av IKT-sikkerhet i kunnskapsorganisasjonen impliserer ikke at den kan beskrives og fanges i en entydig form eller modell. Kunnskapsorganisasjoner må heller forstås som en betegnelse på en type organisasjoner som er under kontinuerlig utvikling, der IKT er en av driverne for utvikling. Slike utviklingsprosesser kan vi studere f.eks. i offshorenæringen (edrift), helsevesenet (helhetlige pasientforløp) og i konsulentbransjen. IKT-sårbarhet i tre nivåer Den IKT-relaterte sårbarheten er i stadig utvikling. Vi skisserer her en grov og skjematisk inndeling av denne utviklingen, i tre nivåer. Hensikten er ikke å gi den hele, fulle og balanserte historie, men å trekke fram noen poenger vi mener er relevante for fremtidens IKT-sikkerhet. Merk at vi her omtaler sårbarheten i sin ytterste konsekvens, og ikke drøfter mottiltak inngående. Nivåene er formulert ut fra et virksomhetsperspektiv, men kan også utvides til et samfunnsperspektiv. Sårbarhetsnivå 1: IKT som generelt verktøy IKT er et verktøy som virksomheter er blitt mer og mer avhengig av. Hvis dette svikter eller tapes, mister i ytterste konsekvens organisasjonen sin historie og er så å si bombet tilbake til steinalderen. IKT har blitt en av de viktigste bærebjelkene i dagens samfunn, og en svikt i disse er en av de alvorligste sårbarhetene i dagens samfunn (NOU 2000). 337

17. Gammeldags tenkning i moderne organisasjoner? Etablerte begreper med hensyn til ulike beskyttelsesmål (konfidensialitet, integritet og tilgjengelighet 2 ) stammer fra dette grunnleggende sårbarhetsnivået. De er avledet fra og representerer temmelig ulike motiver og interesser. Men så lenge at det er IKT-systemer og data (ikke prosesser, produkter og resultater) som er hovedperspektivet, synes en rimelig balanse mellom de ulike beskyttelsesbehovene å være inne rekkevidde. Konseptet «trusted systems» oppstod også i dette perspektivet. Det fremstår som en rasjonell målsetting å lage IKT-systemer som beskytter data/informasjon i henhold til en prinsipiell, formalisert logikk, f.eks. graderingsnivåer. Alt dette på en så gjennomført og solid måte at sikkerheten ikke skal trues nevneverdig av hva mer eller mindre forsvarlige brukere kan «finne på». Sårbarhetsnivå 2: «Business-automation» IKT-utviklingen de senere år har et klart preg av at sentrale prosesser (verdikjeder) i og mellom virksomheter ikke bare forutsetter at IKT-infrastruktur og data/informasjon er tilstede, men at sentrale funksjoner og tjenester (ledd i verdikjeden) automatiseres gjennom IKT. Med dette oppstår en ny type sårbarhet i måten IKT skaper og setter rammer for organisasjonsstrukturer/-modeller. Det blir en meget betydelig utfordring å definere informasjonsmodeller og lage fullverdige beskrivelser over komplekse samhandlingsmønstre, funksjonsområder og saksområder. Lista blir lagt høyere og fallet blir langt mer alvorlig. På dette nivået skjerpes sakte men sikkert tonen mellom konfidensialitet på den ene side og integritet/tilgjengelighet på den andre. Informasjonsbehovet i viktige prosesser (kjeder) kan synes umettelig. Pålegget med hensyn til kvalitet, effektivitet og HMS-systemer er sterkt. Bekymringene sett fra f.eks. et personvernperspektiv øker. Et begrep som «de gode hensikters tyranni» avspeiler en frustrasjon over et sluttresultat som er utilfredsstillende, samtidig som at byggesteinene hver for seg er vanskelige å kritisere. Virksomhetsgrensene blir en viktig kontrollpost for å ivareta konfidensialiteten, men dette utfordres stadig av ønsket om å effektivisere samhandlingen mellom ulike virksomheter innen en sektor. IKT-systemene blir stadig mer komplekse og integrerte. De endres/vedlikeholdes kontinuerlig, og det blir stadig vanskeligere å garantere for at de virker på en bestemt måte over tid. Forventningen til IKT-sikkerhet dreies i mer pragmatisk retning knyttet opp mot IKT-systemenes evne til å understøtte en konkret 2 IKT-sikkerhet blir vanligvis definert som sikring av data/informasjons konfidensialitet, integritet og tilgjengelighet. ISO 17799 definerer begrepene slik: Konfidensialitet defineres som sikring av at informasjon er aksesserbar bare for de som er autorisert til å ha adgang til den. Integritet er å verne nøyaktigheten og fullstendigheten av informasjon og behandlingsmetoder. Tilgjengelighet skal sikre at autoriserte brukere har tilgang til informasjon og tilknyttet utstyr 338

Eirik Albrechtsen og Tor Olav Grøtan prosess og konkrete problemstillinger, og mindre mot en prinsipiell beskyttelse av data. Samtidig øker interessen for rollekonsepter og -skjema, som i betydelig grad forutsetter en mekanistisk, prosessorientert organisasjonsforståelse. Sårbarhetsnivå 3: Hvordan takle det uventede En vellykket «business automation» er, som vi har sett på nivå 2, en utfordring i seg selv med hensyn til god nok modellering og beskrivelse. Det skapes en ny type sårbarhet som er nært knyttet til selve tilnærmingen/metoden. En kompleks data- eller informasjonsmodell kan bare forstås av eksperter. Datamodeller er heller ikke spesielt velegnet for å fange opp det uventede, den tause kunnskapen, den nye innsikten og erfaringen, eller den subtile sammenhengen. Forutsetningen for rollebaserte strategier kan med dette betviles. Samhandlingen kan bli så kompleks og dynamisk at rollebeskrivelsen blir uhåndterlig i praksis og dermed setter virksomheter i en sårbar tilstand. Overgangen fra nivå 2 til nivå 3 er innfløkt. Det som først og fremst skiller dem, er at nivå 2 fokuserer på sårbarhet i faste informasjons- og organisasjonsmodeller, mens nivå 3 fokuserer på sårbarhet i samspillet mellom ulike roller i modellene. Samtidig er grunnlaget for tillit (trust) til IKT-systemene forvitret. I CIST (1999:189) beskrives denne utfordringen slik: «The combination of more open and decentralized networking environments and an increasing use of electronic communications and transactions suggest an increasing demand for major business automation systems. This continuing decentralization may render less and less applicable the concepts of control inherent in traditional approaches to security, reliability, and safety. In particular, there will be an increasing need for more individuals to be able to make trustworthiness judgements on an ad-hoc, real time basis». Data, informasjon og kunnskap I presentasjonen av de tre sårbarhetsnivåene har vi brukt begrepene data, informasjon og kunnskap. Disse begrepene er nært knyttet til hverandre, men er på ingen måte synonyme (selv om de ofte blir brukt om hver andre). Særlig begrepet kunnskap kan forstås på mange vis. Meningsfulle grenseoppganger vil variere avhengig av om vi snakker om taus eller eksplisitt kunnskap, om kvalitativ eller kvantitativ informasjon, om vi sverger til kunnskap som objektiv, generell og allmenngyldig, nøytral og eksakt, knyttet til hjerne og refleksjon, lagret og statisk, eller om vi aksepterer et kunnskapssyn som i større grad vektlegger at kunnskap er situasjonsavhengig, lokal, knyttet til kontekst, og kropp, formålsdrevet, levende, selvmodifiserende og omtrentlig (Carlsen 2002). Vi skal ikke diskutere 339

17. Gammeldags tenkning i moderne organisasjoner? distinksjonene videre her. Vårt poeng her er at IKT-sikkerhet har et taust, og kanskje ubevisst, forhold til slike distinksjoner. På sårbarhetsnivå 1 er det heller ikke nødvendig å skille mellom de tre begrepene. På sårbarhetsnivå 2 derimot, skjer det en relativt ubemerket forskyvning fra data til informasjon. Et eksempel illustrerer dette: Begrepet integritet defineres på høyst ulike måter i ulike regelverk og standarder, f.eks. i Personopplysningsforskriften(POF) og ISO17799. Forskjellen kan forstås som en datakontekst (POF) versus en informasjonskontekst (ISO17799). I en datakontekst handler integritet om å hindre uautorisert endring av data som en materiell og statisk ressurs. Trusselen i en informasjonskontekst ligger ikke bare i at data endres ukontrollert, men vel så mye i at informasjonsinnholdet ikke endres, dvs. ikke holdes oppdatert, relevant, presist, komplett eller aktuelt i en gitt situasjon. Sistnevnte type egenskaper ved informasjonsinnholdet trues av forhold som åpenbart overskrider det som kan kontrolleres gjennom å hindre utilsiktet endring av data. I dette ligger en implikasjon som IKT-sikkerheten lett ignorerer. Informasjonens integritet styrkes når informasjonen er i arbeid, kontinuerlig blir holdt opp mot den virkelighet den beskriver, og blir oppdatert. Dataintegritet kan i så måte være kontraproduktiv i forhold til informasjonens integritet fordi den styrkes av at informasjonen så å si ligger i skuffen, en forutsetning som er vanskelig å holde fast på i en informasjonskontekst, for ikke å snakke om i en kunnskapskontekst. En vellykket håndtering av sårbarhetsnivå 2 inneholder en kime for sårbarhetsnivå 3, jamfør den intrikate overgangen mellom nivå 2 og 3. Kimen er forveksling av informasjon og kunnskap. Forskjellen er vanskelig å se når alt går «på skinner». Samtidig er det uhyre lite som skal til for at data og informasjon forstyrrer vesentlige elementer ved kunnskapsprosessen, som f.eks. fornyelse, (av)læring, improvisasjon, flertydighet og tvetydighet. En slik innfallsvinkel vil tvinge oss til å revidere bruken av konfidensialitet, integritet og tilgjengelighet ytterligere, men vil også reise mer fundamentale spørsmål om hvorvidt det er riktig å la disse begrepene fremstå som selve kvintessensen av IKT-sikkerhet Vår påstand er at hvis IKT-sikkerhet som fagområde skal «henge med» ift. kunnskapsorganisasjonene, må alle de tre sårbarhetsnivåene anerkjennes. Spesielt må man vurdere implikasjonene av å skille mellom data, informasjon og kunnskap. Hvis ikke vil vi oppleve IKT-relaterte ulykker selv om IKT-systemene fungerer «normalt». Kanskje har slike allerede skjedd. En svikt eller kollaps i en kunnskapsprosess kan bli svært synlig, men behøver ikke nødvendigvis avgi et «smell» høyt nok til at vi hører mer enn vi vil høre. En ulykke på en oljeinstallasjon overvåket gjennom et virtuelt kontrollrom kan være et eksempel på det siste. Sviktende pasientsikkerhet, eller død, pga. sviktende koordinering, kan være eksempel på det første. 340

Eirik Albrechtsen og Tor Olav Grøtan Systemulykker og sensemaking Det er en fellesnevner i disse tre, i utgangspunktet høyst ulike nivåene, nemlig det sosiologen Charles Perrow (1999) kaller en systemulykke. Systemulykker inntreffer når et system har strukturelle egenskaper som gjør at selv en liten hendelse kan gi store og alvorlige konsekvenser. Disse egenskapene dreier seg om komplekse interaksjoner (dvs. det er vanskelig å forutse og kontrollere unormale hendelser) og tette koblinger (dvs. forstyrrelser/feil vil forplante seg raskt gjennom systemet). Dersom de komplekse interaksjonene ikke lar seg redusere, anbefaler Perrow å desentralisere organisasjonen. På samme måte anbefaler han at dersom tette koblinger ikke kan gjøres løsere, skal organisasjonen sentraliseres. Dersom et system både er komplekst og tett koblet, oppstår et organisatorisk dilemma: Skal systemet både sentraliseres og desentraliseres? Perrow diskuterer IKT-sårbarhet i postscriptet i 1999-utageven av boka «Normal Accidents», hvor han benytter sin teori om systemulykker på år 2000 problemet, Y2K-problemet (en problemstilling som kan plasseres på sårbarhetsnivå 1). I en heller pessimistisk drøfting av det, den gang, meget omtalte Y2Kproblemet (merk at Perrows drøfting er fra 1999!) belyser Perrow hvordan uforutsette og uønskede hendelser kunne inntreffe 1.Januar 2000. Perrow sier det slik: «[ ] Y2K has the potential for making a linear, loosely coupled system more complex and tightly coupled than anyone had any reason to anticipate» (Perrow 1999:392). I dag vet vi at verdens IKT-systemer 1.Januar 2000 virket slik de gjorde noen timer før, i 1999. At det gikk så bra den gangen, må nok ses i sammenheng med det grundige forarbeidet som ble gjort for å hindre mulige kollaps. Av Y2K-problemet kan vi lære at vi har (hadde?) effektive nok metoder og verktøy til å håndtere en slik stor og omtalt teknologisk sårbarhet i IKT-systemene. På den annen side: Y2K ble forhindret gjennom en massiv innsats som man ikke kan gjenta stadig vekk. Det kan ikke forventes samme innsats mot for eksempel stadige virusangrep av den typen som i verste fall har vist seg å kunne slå ut en hel organisasjon. 3 Men systemulykketeorien har implikasjoner ut over dette. På alle tre sårbarhetsnivåer blir et viktig spørsmål; når situasjonen avviker fra det normale, og vi så å si er i antenningsfasen til en systemulykke blir IKT-løsningene en klamp om foten som låser handlingene til det forventede, eller blir IKT et hjelpemiddel for å improvisere, gripe, forandre og forvandle? Strekker vi ambisjonene for samhandling på teknologiens premisser alene, og konstruerer vi blinde flekker som kan bli fatalenår noe uventet skjer? Deter lett å glemmearistoteles ordom at det er sannsynlig at noe usannsynlig skjer, når vi er «fanget» i teknologiens velde. Og vi kan ikke unnlate å peke på det som fremstår som en vesentlig svakhet ved 3 For eksempel Sasser-viruset som blant annet slo ut If Skadeforsikring, våren 2004. 341

17. Gammeldags tenkning i moderne organisasjoner? den tradisjonelle tilnærmingen til IKT-sikkerhet: Alle våre bestrebelser og IKTmuligheter til tross, det er den menneskelige faktor som kan velte lasset. Individet må bedømme troverdigheten i det han/hun får presentert gjennom IKTsystemene. Forskjellen er bare at (det ulykkelige) individet blir stilt i en situasjon der IKT-systemene, og kunnskapen om disse, 4 prestrukturerer situasjonen og gir et overveldende inntrykk av kontroll og trygghet. Hendelsen eller feilen som får det hele til å rakne, er liten og unnselig, helt til den har skjedd med fatale konsekvenser. I Perrowsk ånd vil vi tillate oss å kalle det en systemsvakhet at enkeltpersoner blir eksponert for slike situasjoner. Karl Weicks (1995) bok om sensemaking belyser nettopp antenningsfasen til systemuluykker. Sensemaking handler om hvordan virkeligheten konstituerer seg i organisasjoner. 5 Weick beskriver en virkelighetsoppfatning som er langt fra stabil, men som befinner seg i en kontinuerlig fullførelsesprosess. Perspektivet knyttes eksplisitt til og utdyper Perrows begrep om systemulykker. Individet tvinges til å velge (bort) informasjon i en stresset og dynamisk situasjon. Svikten ligger like mye i grensene for menneskelig sensemaking som kompleksiteten i det tekniske systemet. Systemet kollapser fordi meningsdannelsen(sensemaking) kollapser. Sensemakinghandler ikke om hendelsene selv, men om den konteksten de forstås i. Velorganiserte og spesialiserte systemer er spesielt utsatt, og spesielt i de tilfeller der IKT er brukt som et støtteverktøy som predefinerer situasjonsforståelser og hendelsesforløp.vi ser her at IKT er i en dobbeltrolle, der det 1) er en viktig del av det sosiotekniske systemet som står i fare for å kollapse, og 2) prestrukturerer forståelser og handlingsmuligheter som bidrar til å føre fram til kollapsen. Weicks (1995) nærstudie av systemulykken gir med dette noen spennende nøkler til en innsikt som kan hjelpe oss til å forstå hvordan høykompetente organisasjoner kan komme i situasjoner som av ettertiden blir karakterisert på samme måte som f.eks. NASA etter Challenger-ulykken (Baumard 1999): Grensene for risikopersepsjon ble konstant modifisert som følge av at man mestret en kompleks teknologi. Til og med en kunnskapsorganisasjon som NASA er i stand til å «venne seg til» sin egen kunnskap, for så å bli forrådt av den. 4 F.eks. gjennom tradisjonelle risikoanalyser 5 Mennesker skaper retrospektiv mening i de sitasjoner de befinner seg i, og dette former organisatorisk struktur og atferd. Sensemaking handler om at aktører strukturer det ukjente og gir det mening. Retrospektive erfaringer og sannheter produserer forklaringer på overraskelser. Sensemaking er en kompleks interaksjon mellom søking etter informasjon, tilskrivelse av mening, samt handling. 342

Eirik Albrechtsen og Tor Olav Grøtan Det tradisjonelle utgangspunktet for IKT-sikkerhet Her vil vi beskrive hvordan de sårbarhetene vi introduserte i kapittel 3, tradisjonelt har blitt håndtert innen fagfeltet IKT-sikkerhet. Noen av de trekk vi oppfatter som utgangspunktet for dagens IKT-sikkerhet presenteres, før vi viser hvordan dette tradisjonelle perspektivet kan være et godt utgangspunkt for et nytt trinn på en IKT-sikkerhetstrapp. Trappemetaforen brukes for å understreke følgende: 1) IKT-sikkerhet må være en evolusjonær prosess, der ny kunnskap og praksis bygger på, men også til en viss grad, erstatter gammel kunnskap og praksis, og 2) det haster med å lage et nytt trinn på IKTsikkerhetstrappen! Teknologi og teknokrati IKT-sikkerhet, eller datasikkerhet som det ble kalt den gangen, oppstod og ble formet som fagområdet i en tidsbestemt teknologisk kontekst, nemlig databehandling og EDB. Det er vår påstand at fagområdet IKT-sikkerhet fremdeles er det som det ble unnfanget som, nemlig datasikkerhet tilpasset EDB-stadiet i IKT-utviklingen. Datasikkerhetsparadigmet avspeiler en mekanistisk forståelse av informasjon som en materiell og statisk ressurs som kan beskyttes ved teknologiske hjelpemidler, f.eks. kryptering. Siden den gang har det meste av det som er praktisert, sagt og skrevet dreid seg om tekniske løsninger på teknologiske problemer (Albrechtsen 2002). IKT-sikkerhetseksperten Bruce Schneier (2000:xii) har uttrykt dette veldig kompakt: «If you think technology can solve your security problems, then you don t understand the problems and you don t understand the technology». Det er altså behov for å rive seg løs fra de teknologiske tilnærminger til fagfeltet og åpne opp for hensiktsmessige aspekter ved mennesker, ledelse og organisering i tillegg. Styring og ledelse har i stor grad skjedd gjennom kunnskap, ekspertmakt og evnen til å løse relevante problemer. Denne teknokratiske styringsformen gjenspeiles i at toppledelsen legger alt ansvar i hendene på IKT-sikkerhetspersonell. En av forfatterne hørte en gang en norsk toppleder på en sikkerhetskonferanse si: «Det er ingen i min organisasjon som jeg har gitt så mye ansvar og tillit som IKT-sikkerhetssjefen min». Som oftest har IKT-sikkerhetspersonellet teknologisk utdanning, det er derfor også, forståelig nok, lett å ty til teknologiske løsninger. Tiltrodde systemer (trusted systems)? I IKT-sikkerhetens militære barndom var utgangspunktet for beskyttelse av data/ informasjon formelle modeller, for eksempel basert på graderingsnivåer. Implementering var et spørsmål om kompetent engineering. Et «trusted» system var pr. definisjon både «safe» og «secure». Både på det sivile og det militære området 343

17. Gammeldags tenkning i moderne organisasjoner? kom de formelle modellene imidlertid til kort overfor virkelighetens verden. Kartet stemte ikke med terrenget, og formell verifikasjon av IKT-systemer ble dessuten svært kostbart. IKT sikkerhet har derfor etter hvert beveget seg vekk fra formelle analyser til å vektlegge håndtering av konkrete utfordringer. Nye trusler oppstår stadig, ikke minst knyttet til virus og andre «infeksjoner». Det kan reises tvil om utviklingen går i retning av bedre sikkerhet og mindre sårbarhet. Det finnes eksempler på at sikkerhetsteknologien i seg selv blir en trussel. IKT-avhengige virksomheter og organisasjoner som opererer i en markedsøkonomi tar seg sjelden råd til å ta i bruk det ypperste av sikkerhetsteknologi (CIST 1999). Beslutninger på dette området preges dessuten av en kompetanseforskyvning (fra brukerne til leverandørene) som resultat av bevegelse fra proprietære løsninger til mer ferdigpakkede, standardiserte 6 IKT-løsninger. Mekanistisk organisasjonssyn Den dominerende organisasjonsforståelseni IKT-sikkerhet er hovedsaklig mekanistisk/byråkratisk og taylorsk. Viktige kjennetegn på denne forståelsen er utøvelse av myndighet i henhold til regler, tydelig hierarkisk med klare maktskiller, skarp oppgavedeling, overvåkningssystemer og detaljerte regler/bestemmelser for organisatorisk atferd (Taylor 1911, Weber 1971). Slektskapet med tekniske problemer og løsninger er tydelig, og organisasjonen fremstår som mekanistisk. Denne påstanden bekreftes langt på vei av Dhillon og Backhouse (2001) som i en kartlegging av forskning på IKT-sikkerhet peker på at forskning rettet mot organisasjon og ledelse har vært preget av et fokus på kontroll og reguleringer. Kontroll har vært håndtert ved overvåkning, tilgangsrettigheter og forsøk på å styre atferd ved hjelp av retningslinjer. Vi har allerede stilt spørsmål om IKTløsningene blir en klamp om foten eller et hjelpemiddel til å improvisere når systemulykken initieres. Det samme spørsmålet kan stilles om et mekanistisk organisasjonssyn, og svaret er trolig at et slikt organisasjonssyn pr. definisjon blir en klamp om foten når systemulykken er i antennelsesfasen i kunnskapsorganisasjoner, blant annet fordi rommet for tilfeldig gjenopprettelse er begrenset. En slik byråkratisk forståelse av organisasjoner tilsvarer i stor grad Bolman og Deals (1991) strukturelle perspektiv på organisasjoner 7 og Morgans (1998) metafor om organisasjoner som maskiner 8. Både Bolman/Deal og Morgan frem- 6 COTS-løsninger (commercial off-the-shelf) 7 Organisasjoner eksisterer primært for å oppnå etablerte målsettinger gjennom etablerte målsettinger vha hensiktsmessig strukturering. Koordinasjon skjer gjennom hierarki og regler. 8 Forventing om at organisasjoner fungerer som maskiner, dvs. rutinemessig, effektivt, pålitelig og forutsigbart. Styring ved byråkratiske prinsipper. 344

Eirik Albrechtsen og Tor Olav Grøtan hever at dette er bare en av flere måter å forstå organisasjoner på, et poeng som synes å være mangelvare i IKT-sikkerhetssammenheng. Det synes som om regelverk som eksempelvis Personopplysningslovenog Sikkerhetsloven samt ISO standard 17799 9 er preget av, og oppfordrer til, nettopp slike strukturelle og byråkratiske organisasjonsforståelser. Premissen synes å være at alle organisasjoner pr. definisjon er hierarkiske og rasjonelt målsøkende, og at enkeltindivider er rasjonelle aktører som kan læres felles holdninger og atferd. Det fremstår etter vårt syn som en smule ironisk, og kanskje skremmende, at en av de mest moderne og muliggjørende teknologiene, IKT, skal temmes gjennom et reduksjonistisk og flatt menneskesyn, byråkratisk organisasjonsforståelse, tro på objektiv risiko og håndtering av denne, og et ensidig «rasjonelt» verdensbilde. Security-fokus Selv om det også arbeides med IKT-safetyaspekter innen fagfelt som eksempelvis menneske-maskin interaksjon og systempålitelighet, har den tradisjonelle tilnærmingen til IKT-sikkerhet i hovedsak vært security-rettet, dvs. rettet mot å avverge tilsiktete, ondsinnete angrep (f.eks. hacker-angrep). Denne type trusler har akselerert de siste årene, og preger nyhetsbildet nesten daglig. Faren er at det overskygger risikoen knyttet til andre farekilder i IKT-systemer som inntar stadig flere samfunnsområder, og særlig de som bygger seg opp over tid. Høsten 2001 var sentrale banktjenester utilgjengelige for kundene en hel uke, uten at en eneste hacker eller utro tjener var involvert. Kan det samme skje med annen kritisk infrastruktur, et sykehus, eller innen olje- og gassproduksjon? IKT-sikkerhet er ikke et spørsmål om bare å sikre seg mot tilsiktede, ondsinnete handlinger. Utilsiktede menneskelige feilhandlinger er også en viktig utfordring, ikke minst på sårbarhetsnivå 2 og 3. Vi står altså overfor en eksplosiv blanding av feilhandlinger, ondsinnete handlinger og teknologiske feil, hver for seg og i kombinasjon. Det er en betydelig utfordring å håndtere denne eksplosive blandingen. Kanskje krever de hver for seg ulike tankesett, men det er også nødvendig å se dem i sammenheng. Tradisjon og evolusjon Vårt utgangspunkt er som tidligere nevnt at det er behov for et nytt trinn på IKT-sikkerhetstrappen. I år 2004, på et tidspunkt der vi forventer mer av IKT enn noen gang, er det verdt å se tilbake og vurdere om de opprinnelige paradigmene trenger modernisering. Rapporten Trust in Cyberspace fra det amerikanske National Research 9 Information Technology Code of practice for information security management 345

17. Gammeldags tenkning i moderne organisasjoner? Council antyder at vi kan finne litt av hvert. Her sies det at «the largely disappointing results from more than two decades of work based on what might be called the «theory of security» invites a new approach to viewing security based on a «theory of insecurity» (CIST 1999:109). Dette underbygger vår påstand om at fagområdet IKT-sikkerhet fremdeles er det det ble unnfanget som, nemlig datasikkerhet tilpasset EDB/ADB-stadiet i IKT-utviklingen. I forhold til sårbarheter, farer og trusler i teknologi og infrastruktur (sårbarhetsnivå 1) kan det tradisjonelle datasikkerhetsparadigmet være hensiktsmessig. På den måten er ikke tradisjonen på noen måte feil, og den trengs fortsatt i fremtiden. Det er imidlertid behov for å bygge et nytt trinn med nye forståelser for ledelse og organisasjon som en videreføring av den trappen som tradisjonen representerer. Konstruksjonen av et nytt trappetrinn Som det sikkert har gått frem for leseren, er det vår mening at de tradisjonelle tilnærmingene til IKT-sikkerhet er utilstrekkelige. Å forkaste de tradisjonelle perspektivene vil imidlertid være som å tømme barnet ut med badevannet. Vi har allerede brukt trappemetaforen. IKT-sikkerhet er fremdeles i stor grad et teknisk spørsmål. Utfordringen er å forene dette med et ikke-teknisk syn på organisasjoner og de mennesker som er del av disse organisasjonene. Organisasjoner som maskiner kan også være en velegnet forståelse i visse situasjoner, men kan ikke være en absolutt forståelse 10. Blant dagens og morgendagens kunnskapsorganisasjoner er det bare et fåtall som passer for en mekanistisk tilnærming til sikkerhetsarbeidet. Det må derfor tilstrebes en helhetlig IKT-sikkerhet, hvor teknologi, mennesker og organisasjon går hånd i hånd. I det videre vil vi vise noen av de «materialer» et nytt trappetrinn kan bygges av. Mennesker som de er? Det menneskelige element gjør virksomheter sårbare for tilsiktede, ondsinnete handlinger og utilsiktede hendelser (feilhandlinger), og er ofte tuen som får et stort lass til å velte. Donn B. Parker (1998) illustrerer denne sårbarheten med en analogi til Kublai Khans herjinger på siste del av 1200-tallet. Gang på gang forsøkte Kublai Khan og hans mongolske horder å komme seg over, gjen- 10 Morgan (1998) hevder at et mekanistisk perspektiv på organisasjoner er velegnet bare når maskinene fungerer bra, dvs. når det er en enkel oppgave som skal utføres, når miljøet omkring er stabilt, når samme produkt produseres om igjen og om igjen, når det er høye krav til presisjon og når de menneskelige komponentene oppfører seg som planlagt. Et eksempel på en organisasjon hvor dette benyttes i dag, er hamburgerkjeden McDonald s. 346

Eirik Albrechtsen og Tor Olav Grøtan nom, under og rundt den kinesiske mur, men den var for høy, solid, dyp og lang. Tilslutt kom mongolene seg forbi, ganske enkelt ved å bestikke en vokter. Eksemplet, som i høyeste grad er fra før IKT-tidsepoken, viser for det første at tekniske løsninger ikke er nok, og for det andre at sikkerhetsprogrammering av mennesker er umulig. Ikke alle vil gå i takt etter de føringer som er gitt i sikkerhetssystemet. Mennesker er ikke brikker i et mekanisk spill slik tradisjonen har lagt opp til gjennom kontroll og overvåkning av mennesker, samt dokumenterte retningslinjer for sikker atferd. En alternativ, ikke-mekanistisk og mer human tilnærming rettet mot mennesker må søkes. Et viktig stikkord i den forbindelse er brukerdeltakelse i utviklingen av sikkerhetstiltak. Risikoatferd og -håndtering i kunnskapsorganisasjoner Framtidens IKT-sårbarhet handler i stor grad om at IKT forfører oss til å forfølge stadig nye ambisjonsnivåer og at vi strekker mulighetene til bristepunktet. Vi står overfor risikoer vi overhodet ikke er forberedt på. Forventningen og betalingsvilligheten i forhold til «trusted systems» er i løpet av et par årtier erstattet av en tilbøyelighet til å ta sjansen med IKT. Årsaken til dette er kanskje at gevinsten er stor, og at alle baserer seg på at fremtidens teknologi vil løse alle problemer. Poenget er altså at IKT-sikkerhet må forstås i en større kontekst enn seg selv. Sosiologen Richard Sennett treffer antakelig spikeren på hodet når han sier at «risk in real life is driven more elementally by the fear of failing to act. In a dynamic society, passive people wither» (Sennett 1998:88). Weick(1995) går enda lengerenn Sennett i å antyde at risikoatferdiseg selv rett og slett er meningsbærende i moderne organisasjoner. Weicks argument er at i en organisatorisk virkelighet preget av konkurranse og ustabilitet, er presisjon ofte en kostbar luksus. Det primære målet er å etablere stabilitet og forutsigbarhet. I moderne organisasjoner er kostnaden med å være ubesluttsom høyere enn kostnaden med å være upresis. Når hurtighet og djervhet teller mest av alt, tenderer sensemaking mot å bli mer skjemadrevet (programmert) enn datadrevet. Tidspress stimulerer folk til å søke bekreftelse på forventninger, klynge seg til sine initielle, hypoteser og foretrekke en narrativ tankegang på bekostning av en datadrevet tankegang. Kombinasjonen av evig strev etter å etablere nye relasjoner og å håndtere tidsnød øker avhengigheten av forventninger, og av at folk innfrir disse fortest mulig. De fleste, i de fleste organisasjoner, bruker følgelig det meste av sin tid på å finne mening under forhold der selvoppfyllende profetier florerer, nettopp fordi selvoppfyllende profetier er en av de få sensemaking-prosesser som virker under slike forhold. Å argumentere seg frem til mening er bare mulig når verden er relativt stabil, og når formålet har en viss varighet. Weicks beskrivelse treffer her, etter vår mening, vesentlige sider ved kunnskapsorganisasjoners jakt på identitet, mening og kunnskaping. 347

17. Gammeldags tenkning i moderne organisasjoner? Risikotaking overskygger håndtering av nye risikoer. Hvordan disse nye risikoer skal håndteres, er på den annen side ikke lett, de er preget av stor grad av usikkerhet og kompleksitet (Albrechtsen 2004). På den måten kan det hevdes at føre-var strategier, som «trusted systems» er et forsøk på, kan være hensiktsmessige. Samtidig vil en risikobasert tilnærming bestående av analyser kunne bidra til å spå fremtidige risikoer ved risikoatferden. For å følge Klinke og Renns (2002) argumenter om risk management bør risikohåndtering og sikkerhetsledelse derfor bestå av en kombinasjon av risikobaserte, føre-var og diskursbaserte 11 strategier for å redusere risikoen. Læring fra safetyområdet 12 I forlengelsen av at IKT-sikkerhet er et safetyproblem så vel som et securityproblem, er det nærliggende å se hva som kan læres fra safetyområdet. Både security og safety vil i siste instans handle om å beskytte verdier vi er opptatt av mot trusler/farer. Selv om det er noen ulikheter mellom security og safety, vil det være betydelige læringspotensialer for ledelse og organisering. Læringspotensialet kommer godt fram ved å se på safety i et historisk perspektiv. Hale og Hovden (1998) har beskrevet tre tidsaldrer for safety forskning: Den første tidsalder som fokuserte på safety som et teknisk problem, den andre tidsalder som så på safety som et menneskelig problem og den tredje tidsalderen som så på safety som et problem relatert til ledelse, organisasjon og kultur. Dagens IKT-sikkerhetsforskning befinner seg tydelig på et nivå likt med safetyforskningens første tidsalder. Den første utfordringen for IKT-sikkerhet blir dermed å utvide perspektivet for dermed å klatre opp til et nivå minst på høyde med safetys tredje tidsalder. Safety er et område med en helt annen teoretisk ballast enn IKT-sikkerhet, en helt annen grad av pluralisme i tilnærmingsmåter og en pågående refleksjon over hvordan tiltak og løsninger fungerer i, og påvirker, de organisatoriske kontekstene som er aktuelle. Fagfeltet tør til og med å være fler-/tverrfaglig, som må kunne tolkes som et uttrykk for modenhet. I kontrast til dette er IKT-sikkerhet i sammenlikning temmelig selvrefererende, «det er liksom ikke noe å lære av andre» (annet enn de tekniske disipliner). Medvirkning og deltakelse i hele organisasjonen, som er lovfestet i internkontrollforskriften på safetyområdet, er et mulig læringspotensiale. Et annet aspekt der det er mye å lære fra både positive og negative erfaringer innen safety, er på individrette tiltak. 11 En strategi i sikkerhetsledelsesom fremmermedvirkningog deltakelsei hele organisasjonen.målet er å skape enighet mellom ulike grupper om risikohåndtering. 12 Med safety-området mener vi tradisjonelt sikkerhetsarbeid innen f.eks. industri og transport. 348

Eirik Albrechtsen og Tor Olav Grøtan En mer fleksibel og variert organisasjonsforståelse Som beskrevet, har nye organisasjonsformer vokst frem med IKT. Felles for disse nye virksomhetene er at de ikke er mekanistisk organisert som byråkratier. De må forstås som levende organismer, ikke som informasjonsprosesserende maskiner (Nonaka og Takeuchi 1995). I tabellen under har vi satt opp stikkord som kjennetegner henholdsvis kunnskapsorganisasjoner og det tradisjonelle synet på ledelse og organisasjon i forhold til IKT-sikkerhet. Tabell 1. Kjennetegn på kunnskapsorganisasjoner og ledelse/organisasjon i IKT-sikkerhet Kjennetegn på kunnskapsorganisasjoner Bruk av teknologi til systematisk kunnskapsdeling Selvstyrt, uformell og fleksibel koordinering Kommunikasjon og dynamisk kunnskapsutvikling. Samhandling på prosjekter på tvers av faggrenser og fysiske steder Kontinuerlig endring Allsidig kunnskapsgrunnlag og fokus på sosiale, kulturelle og intellektuelle verdier Fagfeltet IKT-sikkerhets tradisjonelle syn på ledelse og organisering Orientert mot sikring av data som fysisk ressurs Teknokrati Byråkrati Kontroll og reguleringer Dokumenterte retningslinjer Beskyttelse mot security-trusler Syn på org.medlemmer som rasjonelle aktører Den tradisjonelle organisatoriske tilnærmingen til IKT-sikkerhet forutsetter en organisasjonsform som vi ikke finner igjen i kunnskapsorganisasjonen. Det er da en fare for at sikkerhetsregimet avstøtes på samme måte som et fremmedelement i en menneskelig organisme. Et fremtidsrettet organisatorisk sikkerhetsperspektiv bør ta høyde for at enkeltaktørene i organisasjoner er ulike. En sikkerhet som forutsetter total uniformering og ensretting, er en skjør konstruksjon. Sikkerhet kan aldri oppnås ene og alene gjennom å programmere individer i henhold til en kollektiv mal. Det vil alltid finnes et avvik eller en avviker. Den organisatoriske forståelsen av IKT-sikkerhet og de metoder og verktøy som avledes av denne, må være tilpasset den aktuelle organisasjonen i den aktuelle konteksten. Det blir for lettvint å bare fortsette å anta at sikkerhetsledelse i en tradisjonell mekanistisk organisasjon kan overføres til hvilken som helst organisasjon. 349

17. Gammeldags tenkning i moderne organisasjoner? Organisasjon og ledelse kan forstås på mange måter, og det finnes ikke noe entydig svar på hvordan et nytt trinn IKT-sikkerhetstrappen vil se ut. Nye syn må utarbeides i nær kontakt med praktikere, og aksjonsforskning 13 er en mulig tilnærming til en slik prosess. For å gi inspirasjon til tenkning om mulige nye perspektiver på organisasjon og ledelse innen IKT-sikkerhetsområdet vises her noen eksempler på pluralistisk tenkning fra andre fagområder: Bolman og Deal (1991) og Morgan (1998) foreslår en rekke mulige syn på organisasjoner relatert til blant annet politikk og makt, kultur, læring, menneskelige ressurser og stadige endringer. I forhold til sikkerhetsledelse har Klinke og Renn (2002) foreslått tre strategier som kan være ledesnorer for ulike perspektiver på IKT-sikkerhetsledelse: risikobasert, føre-var og medvirkende strategier. Rosness et al. (2004) har beskrevet fem perspektiver for å forstå organisatoriske mekanismer relatert til storulykker: barrieretenkning, systemulykke, High Reliable Organisations (HRO), informasjonsprosessering og beslutningstaking. Alle disse er ment som mulige ideer til videre tenkning omkring nye perspektiver på IKT-sikkerhet. Noen av dem kan være mindre hensiktsmessige, og det vil også finnes andre perspektiver utover disse. Konklusjon I lys av dagens og morgendagens kunnskapsorganisasjoner, hvor IKT-systemer sammen med informasjon, kunnskap, kommunikasjon og samspill er blant premissgiverne, har vi i denne artikkelen forsøkt å se på IKT-sikkerhet med nye blikk. Et utgangspunkt og argument for et nytt syn på IKT-sikkerhet finnes på tre IKT-sårbarhetsnivåer i kunnskapsorganisasjoner. Disse tre nivåene er relatert til 1) IKT som generelt verktøy, 2) «business automation» og 3) hvordan takle det uventede. Felles for alle nivåene er at virksomheter har satt seg i en så sårbar situasjon at selv små utilsiktede og tilsiktede hendelser kan få store konsekvenser. Tradisjonelt har IKT-sårbarheter blitt forsøkt løst ved teknologiske løsninger. Dette er på ingen måte en feil håndtering, IKT-sikkerhet er og vil bli en teknisk 13 Aksjonsforskning(actionresearch)utføresavetteamsominkludererforskereogmedlemmeraven organisasjon eller et samfunn som forsøker å forbedre deres situasjon. Aksjonsforskning innebærer bred deltakelse i forskningsprosessen og støtter handling som førere til en bedre situasjon for alle interessenter. Forskere og deltakere utvikler sammen hva som skal undersøkes, genererer kunnskap om problemet sammen, og tolker resultater av handlingene basert på hva de har lært av prosessen (Greenwood og Levin 1998) 350

Eirik Albrechtsen og Tor Olav Grøtan utfordring. Teknologi alene er imidlertid ikke nok, menneskelige og organisatoriske aspekter må også inkluderes i sikkerhetsarbeidet. Disse aspektene har hovedsakelig gjenspeilet teknologien i et mekanistisk organisasjonssyn som inkluderer blant annet tro på organisasjonsmedlemmer som rasjonelle aktører, detaljerte bestemmelser for atferd, organisasjoner som statiske hierarkier, teknokratisk styring og beskyttelse mot tilsiktede, ondsinnete handlinger. Det tradisjonelle organisasjonssynet er på kollisjonskurs med verdier og kjennetegn på dagens og morgendagens kunnskapsorganisasjoner. Det er derfor behov for at fagfeltet åpner opp for nye tanker og ideer. Tradisjonen skal imidlertid ikke forkastes den er et godt utgangspunkt for å bygge et nytt trinn på IKT-sikkerhetstrappen bestående av nye perspektiver på organisasjon og ledelse. Hvordan en ny forståelse for ledelse og organisering vil se ut, er kontekstavhengig. Organisasjoner kan forståes og tolkes på mange måter (Bolman og Deal 1991, Morgan 1998). Dette reflekterer den pluralistiske tankegangen som finnes innen safety-fagfeltet, men som er mangelvare innen IKT-sikkerhetsområdet. De tradisjonelle tilnærmingene med tekniske løsninger og mekanistisk ledelse/ organisasjon er to av flere perspektiver. Andre mulige perspektiver kan være relatert til dynamiske organisasjoner, menneskelige faktorer, medvirkning og sikkerhetskultur. De tanker, utfordringer og mulige løsninger vi har foreslått i artikkelen tilhører et nytt og relativt lite utforsket område. I et forskningsperspektiv er det vår mening at veien mot en bedre forståelse for IKT-sikkerhet går gjennom aksjonsforskning, der forskere og medlemmer av en virksomhet sammen forsøker å forbedre situasjonen. Mulige forskningsspørsmål kan være hvordan tilrettelegge og utføre individrettete tiltak, hvordan virksomheter skal beskytte seg i en kunnskapskontekst, hvordan skape medvirkning i sikkerhetsarbeidet og hvordan alternative tilnærminger kan anerkjennes og tas i bruk. Ved at forskere kan publisere resultater fra slike prosesser, åpner det også for at andre virksomheter kan lære. Takk Takk til seniorforsker Ragnar Rosness ved SINTEF teknologiledelse for nyttige innspill. Eirik Albrechtsens PhD-stipend er finansiert av Vesta Forsikring AS. 351

17. Gammeldags tenkning i moderne organisasjoner? Referanser Albrechtsen, E. (2002): Risikovurderinger i informasjonssikkerhet utløsende faktor og oppfølging. Hovedoppgave, inst. for industriell økonomi og teknologiledelse, NTNU. Tilgjengelig på http://websterii.iot.ntnu.no/users/albrecht/ Albrechtsen, E. (2004): «Handling of uncertainty, complexity and ambiguity related to IT risk.» I Gattiker, E.E. (red), EICAR 2004 Conference CD Rom. København: EICAR e.v. Baumard, P. (1999): Tacit Knowledge in Organizations. Sage Publications. Bolman, L.G og T.E. Deal (1991): Nytt perspektiv på organisasjon og ledelse. Strukturer, sosiale relasjoner, politikk og symboler, Oslo: ad Notam Gyldendal. Carlsen, A. (2002): Om kunnskap i KIFT-bedrifter. SINTEF rapport STF38 S99912. Tilgjengelig på www.kunne.no. CIST (Committee on Information Systems Trustworthiness), 1999. Trust in Cyberspace. National Research Council (USA). Tilgjengelig på http://stills.nap.edu/html/trust/ index.htm. Dhillon, G. og J. Backhouse (2001): «Current directions in IS security research: towards socioorganizational perspectives», i Information Systems Journal, vol. 11, nr.2 s.127-153. ISO17799. (2000): ISO standard 17799 Information technology Code of practices for information security management. Klev, R. og A. Carlsen. (2002): På sporet av noe? Kjennetegn og kjente tegn i kunnskapsbedrifter. SINTEF rapport STF38 S00912. Tilgjengelig på www.kunne.no. Klinke A. og O.Renn. (2002): «A new approach to risk evaluation and management: Riskbased, precaution-based and discourse-based strategies» i Risk Analysis, vol.22, nr.6, s.1071-1094 Greenwood, D.J og M.Levin. (1998). Introduction to Action Research. London: Sage Publications. Hale, A og Hovden, J., (1998): Management and culture; the third age of safety, i A.M. Feger and A.Williamson (eds.) Occupational Injury: risk, prevention and interventions, Taylor & Francis, London s.129-166. Morgan, G. (1998): Organisasjonsbilder. Innføring i organisasjonsteori, Oslo: Universitetsforlaget. NonakaI. og H.Takeuchi.(1995): The Knowledge-CreatingCompany. OxfordUniversityPress. NOU (2000). Et sårbart samfunn. Utfordringer for sikkerhets- og beredskapsarbeidet i samfunnet. Norges offentlige utredninger 2000:24 Perrow, C. (1999): Normal Accidents: living with high-risk technologies. Princeton, New Jersey: Princeton University Press. Personopplysningsloven (2001): Lov av 14. April 2000 nr. 31 om behandling av personopplysninger (Personopplysningsloven) samt forskrifter. Parker, D.B. (1998): Fighting Computer Crime. A New Framework for Protecting Information, New York: John Wiley & Sons. Rosness, R., G.Guttormsen, T.Steiro, R.K.Tinmannsvik og I.A. Herrera. (2004): Organisational Accidents and Resilient Organisations: Five Perspectives. SINTEF rapport nr STF38A04403 Schneier, B. (2000): Secrets & Lies. Digital Security in a Networked World, New York: John Wiley & Sons. Sennett, R. (1998): The Corrosion of Character: The Personal Consequences of Work in the New Capitalism. W.W. Norton,. 352

Eirik Albrechtsen og Tor Olav Grøtan Sikkerhetsloven (2002) Lov om forebyggende sikkerhetstjeneste (Sikkerhetsloven) sist ved lov av 21.desember 2001 nr.117. Taylor, F.W. (1911): Principles of Scientific Management. New York: Harper & Bros. Weber, M. (1971): Makt og byråkrati. 3. utgave, 2. opplag, 2002. Oslo: Gyldendal Norsk Forlag AS Weick, K.E. (1995): Sensemaking in Organizations. Sage. 353