Varför vi är så dåliga på att hantera risker?

I dag bygger mycket på att när det händer något, då fixar vi det. Sedan händer det något annat – och då fixar vi det. Sedan händer det något nytt på grund av något man gjorde när man fixade den första saken. Det är silvertejp och gummisnoddar – nödlösningar i stridens hetta – alltför många brandkårsutryckningar, när det är det förebyggande arbetet som är det viktigare.

En hel del av detta bottnar i att vi människor verkar vara besatta av att tjäna pengar till varje pris. Men det finns också en annan viktig, mer mänsklig faktor, som spelar roll.

Visst kommer ni ihåg Tage Danielssons oförglömliga monolog om Harrisburgh, eller Three Mile Island. Många i ansvarig ställning gör inte sin hemläxa. De gör ett dåligt jobb när det gäller att uppskatta sannolikheten för att en händelse kan komma att inträffa – men som medför enorma konsekvenser och kostnader om den skulle inträffa, hur osannolik den än är. De föredrar att tänka på pengarna, vinsten, bonusen, tillväxten, eller vad det nu kan vara.

Det finns många människor vars jobb är att bedöma risken för att händelser ska inträffa som har låg sannolikhet men medför höga kostnader. Det är precis sådana händelser som är så utomordentligt svåra för oss människor att agera korrekt och rationellt på. Vi har helt enkelt inte tillräckligt livlig fantasi för att kunna föreställa oss konsekvenserna och vi tenderar att underskatta sannolikheten.

Jag menar, hur många kärnkraftverk hade havererat före Harrisburg, vem trodde att huspriserna skulle sjunka så dramatiskt under finanskrisen i USA, de som alltid hade gått upp förut och hur många oljeriggar har exploderat i ansiktet på BP före Deepwater Horizon?

Förmodligen inga, i alla fall inte för dem, och inte där eller på det sättet, vilket sannolikt är vad de tänker. Risker är alltid teoretiska till dess att något inträffar. Det är mycket svårare att argumentera för något som aldrig har inträffat förut eller kanske ens aldrig kommer att inträffa.

Lika stort ekonomiskt incitament som det finns för att fortsätta framåt, lika stor ekonomisk nackdel är det att bromsa. De flesta i ansvarig position idag belönas om de når budget och visar resultat. Säkerhet arbetar i allmänhet på tvärs mot detta och drar oftast också det kortaste strået mot mer påtagliga kommersiella vinster och PR. Därför vill jag slå fast:

• Säkerhet är en outnyttjad konkurrensfördel
• Säkerhet är en styrka, inte ett hinder
• Säkerhet gör företag mer framgångsrika och intressanta om de utnyttjar investeringen i säkerhet till att förädla affärsmodeller, erbjudanden och prissättning.

I boken Risk, skriven av en brittisk forskare vid namn John Adams förklarar han vilka faktorer som påverkar hur vi bedömer eller missbedömer risker. Adams citerar en annan författare, Frank Knight, som skrev en bok med titeln Risk, Uncertainty and Profit (1921), vilket dessutom indikerar att problemområdet ingalunda är nytt.

Så vad kan vi göra? Tyvärr erbjuder varken författarna eller deras böcker något entydigt, enkelt svar. Några exempel kan dock vara illustrativa. Flygindustrin har uppnått imponerande resultat genom åtgärder och praktisk övning.

Dagens flygplan har minst två piloter, minst två motorer, minst två elsystem. Backup på backup. De är designade för att få ner folk säkert på marken, även om mer än en sak skulle gå fel. Och för att förhindra piloterna från att ta allt större risker är deras processer tydligt reglerade, definierade, dokumenterade och övade.

Så, vi kan lära oss ett par saker från flygindustrin:

1. Allting kan och kommer att gå sönder, inklusive backup-system
2. Förvänta dig det oväntade, och planera därefter.

Anne-Marie Eklund Löwinder är kvalitets- och säkerhetschef på .SE. Anne-Marie har rankats som en av Sveriges främsta IT-säkerhetsexperter av CS och har även mottagit Kjell Hultman-stipendiet av Dataföreningen för sina insatser inom området. Hon sitter som ledamot i styrelserna för ISOC-SE och för föreningen SNUS, Swedish Network Users' Society.

Ann-Marie satt också med i de första arbets- och referensgrupperna för informations- säkerhetsstandarden LIS inom standardisteringsorganen SIS och myndigheten Swedac. Hon läser och besvarar flitigt remisser på statens offentliga utredningar inom allt som berör Internet och säkerhet. Bland tidigare arbetsgivare finns Statskontoret och IT-kommissionen. Ann-Marie har en systemvetenskaplig utbildning från Stockholms universitet.