Interview: Mindre kontrol af medarbejderne giver mere sikre it-systemer.
Det lyder måske som en selvmodsigelse, men det er ikke desto mindre det, som Niels Christian Juul, lektor i datalogi på Roskilde Universitet (RUC), påstår kunne have forhindret den ulovlige udveksling af data og kontanter mellem Se og Hør og Nets/PBS.
"Når en medarbejder bliver kontrolleret eller overvåget af sin arbejdsgiver, forsvinder tillidsforholdet, og når tilliden er forsvundet, er risikoen for, at data forsvinder, kommet på banen."
Han mener, at medarbejderen mister ejerskabet og i nogle tilfælde ligefrem vil bekæmpe kontrollen.
"Der er selvfølgelige nogle basale sikkerhedsfaktorer, der skal være på plads som eksempelvis, at medarbejderen kun har adgang til de nødvendige data i de nødvendige perioder."
"Det skal vedligeholdes dynamisk og er i sig selv en øvelse, der kan give problemer for mange," fortæller han.
Kontrol af sig selv
Ligeledes er logning en vigtig sikkerhedsforanstaltning, men den er langt fra skudsikker.
"Ofte er det højt placerede it-personer, der har adgang til følsomme data. De samme it-folk har typisk også adgang til log-filer, og derfor kan det hænde, at de skal kontrollere sig selv, hvilket ikke er hensigtsmæssigt. Så bliver det ræven, der vogter gæs."
Kan man ikke dele ansvaret ud på flere personer, så man skal være flere om at tilgå data, så en enkelt ansat ikke fristes?
"Det er en mulighed. I gamle dage var man også flere i bogholderiet. En til at føre regnskabet og en til at styre kassen. Men det er ofte vellønnede personer, der sidder på de vigtige poster, og det koster. Derfor ser man ikke denne model så ofte."
"Det handler i bund og grund om tillid," vurderer han.
Danmark er da også et land med en lang tradition for tillid mellem medarbejder og arbejdsgiver, men Niels Christian Juul peger på, at det forhold har ændret sig markant igennem de sidste 15 år.
"Vores arbejdskultur har været baseret på tillid, men det er blevet politisk-saboteret gennem new public management, som blandt andre Anders Fogh Rasmussen har været fortaler for. Man vil hellere kontrollere end have tillid. Det gælder mange områder, ikke kun i it-branchen."
Derfor argumenterer han for, at mindre kontrol vil give en større tilknytning til arbejdet og et langt mere funderet tillidsforhold, hvor man ikke sælger ud af sine data til Se og Hør, fordi man 'selv ejer' sit arbejde.
"Har man det godt på sin arbejdsplads, bedrager man ikke sin arbejdsgiver. Så simpelt er det."
Outsourcing gør distancen
I den konkrete sag får outsourcing'en fra Nets til IBM tingene til at smuldre endnu mere.
"Hvis det er foregået, som mange medier skriver, ved, at opgaven hos Nets er blevet outsourcet til IBM, bliver tillidsforholdet mellem arbejdsgiver og medarbejder endnu tyndere. Medarbejderen bliver bare tredje eller fjerde led i en kæde. Det bliver bare data, som man ikke selv 'ejer'," lyder hans analyse.
Og når ejerskabet og tilliden forsvinder, vil en medarbejder ifølge Niels Christian Juul ikke have dårlig samvittighed ved at sælge ud af dataguldet.
Så Nets-lækket kunne være undgået ved mindre kontrol?
"Ja, muligvis. Det ville i hvert tilfælde have mindsket risikoen for svindel betragteligt."
Læs også:
Avis: Kreditkort-spion var ansat i IBM