Det positive i å vite om det negative

Av Jan Helstad

Sammen med elleve organisasjoner fra tre EU-land utvikler SINTEF et analyseverktøy som leter opp mulige problemer og sikrer verdiene i et datasystem. Murphys lov sier at: «Om noe kan gå galt, så gjør det det» – eller sagt på en annen måte: «Ei brødskive faller alltid med smørsiden ned.» De som utvikler nye data-systemer er, som de fleste av oss andre, optimistiske. De ser for seg velvillige brukere og at systemene oppfører seg som ønsket.

Men bruk av IT-systemer medbringer også risiko for tap eller ødeleggelse av aktiva som f.eks. informasjon, hardware og menneskeliv. SINTEF Tele og data har utviklet en metodikk og et verktøy for å identifisere risiko i forbindelse med IT-systemer, som forteller hva som skal gjøres og hva det koster for å behandle disse risiki. Metoden baserer seg bl.a. på den anerkjente sikkerhetsstandarden ISO 17977 og tradisjonelle risikoanalyseteknikker. Modelleringsspråket UML (Unified Modelling Language) brukes for å beskrive systemet som skal analyseres, både som et medium for kommunikasjon og interaksjon mellom ulike interessenter involvert i analysen, og for å dokumentere analyseresultater.

Metoden adresserer risiko av både teknisk og organisatorisk art og gjør det enklere å velge behandlingsalternativer. En database i bunnen av systemet inneholder erfaringer fra tidligere analyser. Dette for å spare ressurser ved å slippe å gjøre hele analysen på nytt når bare en del av systemet endres, og for å kunne gjenbruke resultater i forbindelse med analyse av nye systemer.

Utviklingen skjer innenfor et EU-prosjekt kalt CORAS, med en ramme på 40 millioner kroner, og arbeidet forventes fullført i juni dette år.