Karakteristikker relatert til Normale ulykker (Normal Accidents)

Informasjonssystemer skiller seg ikke ut fra andre systemer i forhold til Perrows (1984) beskrivelse.

Informasjonssystemer kan være tett eller løst koplede. De kan samtidig også være enten lineære eller komplekse. Perrows teori om Normale ulykker er derfor like relevant for informasjons-systemer som for andre system. Ansvar og myndighet for å styre slike informasjons-systemer, bør i henhold til Perrow, organiseres som angitt i tabell 3. Storulykker hvor informasjonssystemer er involvert, skyldes ofte et misforhold mellom egenskapene til teknologien og organisasjonen som er ansvarlig for å kontrollere systemene. Storulykker er derfor noe man må forvente vil kunne skje. En må organisere seg for best mulig å forebygge disse, og også for å håndtere konsekvenser av slike ulykker etter at de har skjedd.

Siden Internett er så sentralt i det moderne informasjonssamfunn relateres det i det følgende til Perrows systemnedbrytning, og det brukes som basis for å diskutere karakteristikker med det Normale ulykker-perspektivet. Internett er i henhold til Perrows definisjon, et løst koplet system siden systemet vil kunne fungere så lenge det finnes alternative trafikkveier. Trafikkveiene i Internett er ikke forutbestemte og de som er tilgjengelige er alle kandidater til å bli brukt. Dette er med på å bidra til at Internett som system, blir feiltolerant.

71

Figur 24: Internett modellert iht. Perrows systeminndeling

Figur 24 viser en skjematisk oversikt over Internett hvor hver tjenesteleverandørs nett eller hierarki av nett, er betegnet sub-system (ENISA 2011). I noen tilfeller betegnes dette som Autonome Systemer. Noder som Perrow omtaler som enheter, kan for eksempel være PCer som er tilkoplet nettet (smarte mobiltelefoner, datamaskiner, iPad, iPhone, eller lignende). En del blir, i henhold til Perrows systeminndeling, en bruker som betjener en maskin eller en applikasjon som kjøres på en Web server eller på en av enhetene som er koplet til Internett. Komplekse interaksjoner mellom tjenester og deler er en av egenskapene til Internett og Internett må derfor kunne betraktes som et komplekst system.

Ved å assosiere hele Internettet til Perrows systeminndeling blir:

 Lag 4: Systemet: Hele Internettet

 Lag 3: Sub-system: Et Internett segment slik det blir levert og drevet av en sub-system eier (også kalt ISP = Internett Service Provider)

 Lag 2: Enhet: Ruter, linjeforbindelser, noder som kan være Multiplexere, servere, brannvegger

 Lag 1: Del: Internett-brukere, tjenester på Internett som applikasjoner, E-post-tjenester, sosiale medier.

Perrow (1984) mener at løst koplede systemer gir økt sikkerhet også i komplekse systemer. En desentral organisasjon er best egnet til å håndtere uforutsette interaksjoner. Det ser ut som denne teorien passer bra for Internett slik det eksisterer i dag. Kanskje den høye grad av erfart feiltoleranse i Internettet skyldes de løse koplinger og at hver enkelt aktør har et selvstendig ansvar for å holde sitt sub-system operativt. Mye nedetid i et sub-system vil føre til misfornøyde kunder som betaler

72

for nett-tilgang eller for drift av informasjonssystemer. For den globale Internett-trafikken vil ikke nedetid hos en sub-system-leverandør bety så mye så lenge det finnes alternative transportruter i nettet.

Til tross for sin kompleksitet har Internett så langt vært stabilt. Hendelser som har påvirket nettet har raskt vært utbedret. Ifølge Normale ulykker-perspektivet må vi forvente og være forberedt på at det kommer til å skje ulykker enten med lokale eller globale konsekvenser. I henhold til ENISA¹⁵ (2011) vil slike ulykker typisk kunne være:

 Regionale feil på den fysiske infrastrukturen eller svikt i den menneskelige infrastrukturen som er etablert for å vedlikeholde den.

 En kaskade av tekniske feil hvor den nærliggende oppgradering fra Internett Protokoll versjon 4 (IPv4) til versjon 6 er den største utfordring på kort sikt. Dette er en nødvendig oppgradering for blant annet å øke lengden på adressefeltet (Nødvendig for å kunne ha flere unike adresser på enheter og deler i Internett). En rekke nettverkskomponenter og programvare i tilkoplede enheter må oppgraderes samtidig.

 Sabotasje ved at BGP (Border Gateway protocol), som holder rede på «routingen» mellom de forskjellige sub-system blir gjort korrupt.

Mange informasjonssystemer er i dag avhengig av et kontinuerlig tilgjengelig Internett. Blir Internett utilgjengelig vil også informasjonssystemene bli utilgjengelig eller informasjonen i systemene bli upålitelig.

I eksemplene Barings Bank og tilfellet «David» dreier det seg om løst koplede systemer med komplekse interaksjoner. Det finnes alternativer hvis en del svikter. I tilfellet «David» burde man sende manuelle innkallinger til pasientene når de automatiske sviktet (løst koplet), men mange funksjoner var sannsynligvis avhengig av informasjon (leger, administratorer, pasienter). I Barings Bank kunne man også benytte manuelle rutiner, gjennomganger og rapporteringer som alternativ til de automatiske, men mange var avhengig av denne informasjon. Perrow (1984) sier at slike systemer håndteres best av en desentral organisasjon. Dette virker riktig i disse to eksemplene.

Hendelsene 22/7 i Oslo og på Utøya, og også beredskapen før 9/11 i USA, må kunne sies å være håndtert av desentrale organisasjoner. Informasjonssystemene ble ikke brukt til, eller var ikke forbered på, effektiv kommunikasjon. Mange enheter jobbet hver for seg uten at vital informasjon ble delt. Enhetene hadde forskjellige fokusområder og opererte uten sentral styring. Systemene var komplekse men burde vært lineære. De var løst koplet, men burde vært tett koplet. Med lineære menes at informasjon som ble samlet inn, burde distribueres etter faste forutbestemte rutiner og i

15 ENISA = The European Network and Information Security Agency is an EU agency created to advance the functioning of the internal market.(ENISA 2011)

73

felles informasjonssystemer. Håndtering av denne type situasjoner krever øyeblikkelig handling og aktivitetene må være planlagte og koplet til hverandre. Med tett koplet menes at informasjonsutvekslingen vil følge faste forhåndsdefinerte veier og være avhengig av at alle delsystemer fungerer som forutsatt. Perrow (1984) mener at en sentral organisering er nødvendig for å håndtere tette koplinger. For politiets beredskaps- og alarmsystemer oppfattes dette som riktig.

Utviklingen, drift og operering av slike informasjonssystemer må styre sentralt. Det må ikke være den minste tvil om hvordan de skal fungere i en nødsituasjon.

I alle eksemplene må informasjonssystemene betraktes som en integrert del av totalsystemet. De er med på å bidra til totalsystemets kompleksitet. Samspillet mellom de delsystemer som inngår blir ytterst komplekst og ingen er i stand til å ha en total detaljert oversikt over alle detaljer som bidrar i samspillet. I tillegg til at man må ha eksperter som kjenner delsystemene må disse også kunne koordinere og verifisere sine systemer i forhold til totaliteten. Man må etablere samhandlings-mønstre som håndterer totaliteten på en tilfredsstillende måte. Dette var ikke tilfelle i eksemplene.