Mit tanulhat a kiberbiztonsági szakma a légi közlekedéstől? A szingapúri ISACA (Information Systems Audit and Control Association) szervezet igazgatója, Serge Christiaans, első kézből szerezte ezzel kapcsolatos tapasztalatait. Amellett, hogy katonai pilóta volt, 17 éve dolgozik a kiberbiztonsági szakmában.
A szingapúri Smart Cybersecurity Summiton tartott előadásában fejtette ki, hogyan is kellene elképzelni ezt. Mint a The Register írja beszámolójában, Christiaans a légiközlekedési trendekkel világította meg, hogyan érdemes kezelni a biztonsági kérdéseket. Kiindulópontja az a kiberbiztonsági közhely, hogy a védelemben a leggyengébb láncszem az ember. Tehát a munkatársakra kell koncentrálni.
Mint mondta, a 80-as években, amikor elkezdtek szaporodni a légi járatok, számuk növekedésével nőtt a halálos balesetek száma is. 10 millió járatra ekkor már 9 baleset jutott. A 90-es években tovább szaporodtak a járatok, a balesetek száma azonban elkezdett csökkenni. A 90-es évek elején 6-ra, majd 1995 és 2001 között 3-ra. Ma már naponta több millió ember repked a világban, és egyre ritkábban hallani légi katasztrófákról.
Christiaans szerint ehhez sokat hozzátettek a technológiai fejlesztések, de a javulás legfontosabb eleme a méltányossági alapú repülésbiztonsági kultúra (just culture) általánossá válása volt. A just culture elfogadja: az emberek hibáznak. Éppen ezért arra koncentrál, hogy elérje: aki hibázott, az jelentse is, ami lehetővé teszi a biztonság folyamatos javítását.
Nem szabad hibáztatni, nem szabad ujjal mutogatni a hibázóra, hanem meg kell próbálni feltárni a hiba okait, mondta. Azt persze ő is elismerte, hogy vannak kivételek, amikor gondatlanságból következik be valami probléma, de egyéb esetekben mindenki szabadon beszélhet (azt ugyanakkor nem fejtette ki, hogy hol húzódik a határ a gondatlanság és a vétlen hiba között, pedig azon is nagyon sok múlik). Ezzel hozzájárul ahhoz, hogy fény derüljön esetleg olyan rendszerszintű problémákra is, amelyek újabb emberi hibákhoz vezethetnek.
A just culture nem működik utasításra
Azt, hogy ez a szemlélet a vállalati kultúrában nem honosodott meg, Christiaans szerint azért van, mert a kiberbiztonsági iparág is felülről lefelé haladva dolgozik. Csakhogy azok, akik ma a csúcson ülnek, keményen megdolgoztak, hogy vezetői pozícióba kerüljenek, ám eközben immunisakká váltak a változásokkal, különösen a kultúraváltással szemben. Ezért a just culture-t csak lentről fölfelé lehet "teríteni". Az újonnan érkező fiatal kollégákkal kell kezdeni, hogy amikor nyolc-tíz év múlva feljutnak a csúcsra, akkor már a lételemükké váljon. Ez lassú folyamat, legalább egy generációra lesz szükség, hogy meghonosodjon egy szervezetben, mondta Christiaans.
Ez szép is lenne, de azért a The Register némileg szkeptikusan hozzáteszi: olyan közegben meglehetősen nehéz átültetni a gyakorlatba, ahol különböző KPI-knak van alárendelve a vezetés. Erre épp a légi közlekedés hoz látványos – negatív – példát, írja a brit lap. A Boeingnél 737 MAX repülőgépek katasztrófája kapcsán a vállalat egyik mérnöke ezt úgy fogalmazta meg: hogy miközben a Boing esetében nem lehetne másodlagos a biztonság, azt félresöpri az a kultúra, amely a design-to-marketet és a költségcsökkentést helyezi előtérbe. És ennek megfelelően kezelik az alkalmazottakat is, akinek elsődleges feladata, hogy megvalósítsák a cégvezetés lázálmait.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak