Kriseplan for krisetid

/post - Offentliggjort:

Det forrige året var preget av kriser - politiske, geopolitiske, klimmamessige, digitale, og økonomiske. Ting skjer, og det er langt fra alt vi har særlig mye kontroll over enten som enkeltpersoner, eller som organisasjoner. Hvordan kan vi da tåle det uventede og negative?

Ukraina-krigen har vist oss betydningen av gode venner. Siden de ble angrepet av Russland i fjor, har de fått massiv støtte fra vesten, inkludert hjelp med etterretning, store leveranser av våpen, og opplæring av flere soldater. Uten denne hjelpen hadde nok russerne hatt større fremgang med invasjonen.

Likevel er det klart at Ukrainas evne til å stå imot med kompetent forsvarsledelse, gode soldater og vilje til å kjempe er det mest avgjørnde. Vi trenger en plan, vi trenger hverandre, og vi må ha mot og vilje til å fortsette.

I nyttårstalen sin, var Kongen inne på mye av det samme.

Vi faller, og vi reiser oss. Igjen og igjen. Men vi klarer det sjelden alene. Vi trenger hverandre.

Trekker vi dette over til våre mindre alvorlige kriser, som for eksempel datainnbrudd eller høye priser i matbutikken, ser vi at ingrediensene gode venner, og det å ha en plan og vilje til å gjennomføre den betyr mye for hvor godt vi kommer ut av en vanskelig situasjon.

Sauer på gress
Å ikke stå alene er en styrke i kriser - som krever at vi pleier gode relasjoner i rolige tider.
# Digitale kriser Man kan ikke forutse alt, men man kan forvente at ikke alt går etter planen. Man må kunne forvente at systemer blir misbrukt, at de slutter å virke, og at det vi har laget for å gjøre livet enkelt, noen ganger kan gjøre livet vanskeligere for oss. I det digitale rom, tenker vi ofte på dataangrep som kilden til slike problemer, og det er definitivt en årsak til problemer. Samtidig kan det være at gjennomføringen av digitale prosjekter i seg selv også kan skape problemer - som media har dokumentert i detalj når det kommer til kriseprosjektet Helseplattformen - som nå [utsettes innført ved andre sykehus](https://www.adressa.no/nyheter/innenriks/i/zEMqlr/innfoering-av-helseplattformen-utsettes-paa-flere-sykehus-i-helse-midt-norge) etter alle problemene ved St. Olavs Hospital.

Dataangrep som kilde til krisesstemning

Dataangrep kan i et heldigitalisert samfunn føre til enorme problemer. Produksjonen ved fabrikker kan stoppe opp, logistikken svikter og butikkene kan bli tomme for mat, betalingssystemer slutter å virke, sykehusene klarer ikke å operere pasienter som planlagt, og personlige data kan komme på avveie. Om man som privatperson eller bedrift blir rammet av angrep som har alvorlige konsekvenser, er det greit å ha litt beredskap og en plan. Da kan man fortsatt puste, og fokusere på å løse problemene.

En plan for kriser

Det mest utfordrende med kriser, er forvirring. Hva gjør vi nå? En plan vil gjøre denne forvirringsfasen mye kortere, og vi kommer oss frem til praktisk håndtering. For dataangrep er det greit å ha en konkret plan for håndtering. En slik plan bør dekke flere faser:

  • Forberede
  • Oppdage
  • Håndtere
  • Gjenopprette

I hver fase bør vi han plan for hva som skal gjøres, og hvilke ressurser vi behøver for å gjennomføre disse. Disse resssursene kan være tekniske, som programvare, brukerkontoer og liknende, men enda viktigere er det å ha en tydelig plan for hvem som skal gjøre de forskjellige tingene.

Når vi diskutere hvem som skal gjøre hva, kommer vi fort frem til behovet for å ha gode venner. Kanskje må vi gjøre ting vi ikke kan så mye om, eller det blir rett og slett for mange opgaver til å håndtere alt selv. Der er det lurt å lage noen avtaler på forhånd om hjelp. I bedriftssammenheng kan dette være tiltak som å leie inn et eksternt selskap til å gjøre sikkerhetsovervåkning, eller ha en avtale om bistand til håndtering ved dataangrep.

Til daglig jobber jeg med sikkerhet for kritisk infrastruktur og industri - og har skrevet litt om samme tema på jobb også: dnv.com/cybersecurity.

Du er ikke alene

Du trenger ikke håndtere kriser alene, men du må velge å søke allianser. Disse kan være internt i samme organisasjon, men de kan også være andre man har avtaler med. Det kan også være kunder, og leverandører. Det er lurt å tenke gjennom hvilke handelspartnere man kan ha bruk for å samarbeide med om krisehåndtering. I en digital verden, henger sytemene gjerne tett sammen, og det å ha leverandøren av et viktig system på hurtigring, kan være gull verdt når krisen rammer.

Se for deg at du driver en fabrikk som lager plastposer som brukes til å frakte blodplasma til sykehusene. Posene har kort levetid før de ikke kan brukes mer, og produseres dermed direkte til bruk. Produksjonen skalerer dynamisk etter prognosene fra sykehusene om antall pasienter de neste to ukene. Her vil tett integrasjon gjøre at sykehusene og plastposefabrikken bør samarbeide om å håndtere dataangrep som kan påvirke denne verdikjeden.

  • Om plastposefabrikken ikke kan produsere på grunn av et dataangrep, vil sykehusenes evne til å behandle pasienter bli påvirket
  • Om sykehusenes datasystemer ikke lenger kan levere prognoser, blir ikke nye plastposer bestilt og evnen til å operere blir påvirket

Hvis plastposefabrikken forutser disse avhengighetene når de lager håndteringsplanen, kan de ta høyude for dette og jobbe med sykehuset om hvordan man skal håndtere slike hendelser. Samfunnet tjener på at vi sikrer verdikjeder og systemer, ikke bare enkeltkomponenter.

Digitale brannøvelser

Det hjelper å ha en plan, og gode venner som kan hjelpe. Likevel er det stor sjanse for å bli handlingslammet når kriser oppstår, om man ikke har øvd på hva man skal gjøre.

Dette er spesielt sant for komplekse scenarier, som krever samarbeid med flere orgnaisasjoner, avdelinger osv. For å kunne håndtere dataaangrep, må de som har oppgaver i forbindelse med håndteringen øve på dette - hvis ikke er det helt sikkert at man ikke klarer å samhandle effektivt, og at beslutninger vil ta for lang tid. Slike øvelser bør foretas jevnlig, og være planlagt og styrt.

Etter terrorangrepet 22. juli i 2011, ble det nedsatt en kommisjon, Gjørv-kommisjonen, som skulle granske håndteringen av angrepet fra myndigheter og nødetater. Rapporten fra kommisjonen er offentlig og god lesning for alle som jobber med beredskap. Der fikk øvingsarbeidet som var gjort tidligere kritikk for tre ting det er verdt å merke seg:

  • Evnen til å koordinere og samhandle har vært for dårlig
  • Evnen til å ta lærdom fra risikovurderinger og øvelser har vært for dårlig
  • Ledelsens evne og vilje til å klargjøre ansvar, sette tydelige mål og treffe tiltak for å oppnå resultater har vært for dårlig

Dette er nok noe mange kan kjenne seg igjen i i dag, også i privat næringsliv. Blir tiltakene fra risikovurderinger gjennomført? Når vi samler læringspunkter etter øvelser, blir disse omsatt i praksis? Er beredskapsmålene for organisasjonen tydelig definert og iverksatt med klart eierskap? Ofte vet vi hva vi bør gjøre, men gjennomføringen kan det ofte skorte på.

Vi må tåle å tape - så må vi reise oss

Noen ganger går det galt. De kriminelle lykkes, og vi kommer ikke helt helskinnet fra det. Noen ganger har vi ikke annet valg, enn at det må vi tåle. Men gode relasjoner, til hverandre som mennesker, og mellom organisasjoner som jobber sammen, gjør det lettere å tåle konsekvensene av kriser. Åpenhet og tillit er drivere for gode fellesskap. Kongen har rett: "Vi faller, og vi reiser oss. Igjen og igjen. Men vi klarer det sjelden alene. Vi trenger hverandre."