Advarer mot reguleringsiver innen IT

Nye lover om regnskap og telespor varsler et tiår med kvelende reguleringer, frykter IT-professor Ian Angell.

IT-professor Ian Angell ved London School of Economics er kjent for sine angrep mot alle former for overdrevne forventninger til informasjonsteknologi og datasystemer. Han advarte mot luftslott den tiden andre trodde på dotcom-boblen. Han mener mange akademikere innen IT driver med «psevdovitenskap», spesielt innen kunstig intelligens og kunnskapsforvaltning.

Blant Angells interessefelter er datasystemer og risiko, samt forretningsstrategier for framgangsrik bruk av Internett. Fagfeltet, kjendisfaktoren og evnen til spissformuleringer, gjorde ham til et naturlig valg som ekstern hovedtaler på det europeiske sikkerhetssymposiet som analyseselskapet Gartner åpnet i London mandag.

Angell peker på at amerikansk og europeisk lovgivning etter terrorangrepene 11. september 2001, og i kjølvannet av Enron- og Worldcom-skandalene, dreier seg ofte om å sikre og oppbevare dataspor og annen digital informasjon, samt sørge for sporbarhet i alle slags IT-systemer, fra e-post og telefoni, til regnskap og økonomiske transaksjoner.

– Lovgiverne kommer med pålegg som de ikke aner rekkevidden av. De vil ikke gi oss økt sikkerhet. I stedet fører de til IT-systemer av uant kompleksitet, som ikke lar seg styre, og som man ikke kan stole på. De gir inntrykk av at politikerne løser problemene, mens de i virkeligheten fremmer kaos. Vi ser videre hvordan pålegg om reguleringer fungerer som en form for utpressing, der myndighetene tyner penger ut av næringslivet til fordel for sine egne budsjetter.

Tendenser til dette er allerede registrert i USA. Det amerikanske kredittilsynet SEC gjør gjerne opp på kammerset med bedrifter der det er oppdaget uregelmessigheter i de digitale sporene.

– Alle slags uregelmessigheter har i dag et evig liv i datasystemers digitale spor. Det er ikke vanskelig for SEC å oppdage ting, og de fleste velger å gjøre opp gjennom et forlik, der de slipper en offentlig sak, og der de heller ikke innrømmer skyld.

Angell frykter at dette kan utvikle seg til et nytt tiår, der liberaliseringen går i revers, og der vi i stedet for en videre deregulering, vil oppleve en stadig mer kvelende reregulering.

– Politikerne ser ut til å tro at regulering av IT-systemer og IT-baserte kontrolltiltak kan løse problemer i samfunnet. Det er ikke mulig. For å løse disse problemene må man forholde seg til spissfindighet, tvetydighet og kompleksitet. IT-systemer kan bare brukes der problemene er strukturerte, objektive og kjent i detalj. Teknologi kan brukes, men det må balanseres med hensyn til unike forhold ved samfunn, organisasjoner og særlig personer.

Angell ser påleggene om kontrollerende IT-systemer som et mareritt av kompleksitet for brukerne, samtidig som det er en stor forretningsmulighet for dem innen IT som driver med lagring og sikkerhet.

– I sin kamp mot alt fra pedofili og hvitvasking til terrorisme og utpressing, har ikke politikerne noen ide om problemene de påfører næringslivet. Jeg ser for meg et nytt tiår med deliberalisering og reregulering. Jeg ser også for meg at man vil krysse en grense, der man vil forutsettes å være skyldig, med mindre man kan motbevise det ved å dokumentere sine elektroniske spor.

Å behandle enorme mengder med digital informasjon, vil kreve IT-systemer som foretar automatiske analyser og vurderinger. Erfaringene hittil er at slike systemer bare bør fungere veiledende. I sin innledning tok Angell opp to eksempler.

– Amazon.com har drevet med profilering i mange år, og toppsjef Jeff Bezos er stolt over systemet sitt. Men da han nylig skulle demonstrere sin egen Amazon-profil for åpen scene, måtte han bortforklare en oppfordring til å kjøpe mykporno: Systemet hadde helt feiltolket hans kunstinteresse. Et annet tilfelle er bedriften som oppnådde en ekstraordinær skatterabatt, bokførte det på lovlig vis, og opplevde at bankens hvitvaskingsprogram meldte det som tegn på at de hadde gjort noe kriminelt.

Slike systemer kan, og vil, forbedres over tid. Angells poeng er at de aldri bør lages med tanke på å ta avgjørelser, men at de skal forsyne «tenkende ledere» med materiale som lar dem ta avgjørelser. Og tenkende og kyndige ledere er en begrenset ressurs.

– Det kan føre til at kontrollerende IT-systemer som produserer hyppige varsler, får sine parametere justert slik at varselfrekvensen tilpasses ressursene i organisasjonen. Det vil føre til at tilfeller som kunne vært oppdaget, passerer. Kriminelle vil lære seg forskjellen mellom hva som passerer og hva som blir oppdaget, og tilpasse seg det.

Alle systemer for automatisk analyse bygger på en eller annen form for statistisk behandling. Angell mener de følgelig, i sitt vesen, er avskåret fra å reagere på det han kaller «singulariteter», det vil si den enestående begivenheten som ingen har tenkt på når systemet ble laget. Terrorister er mestrer i å utnytte slike singulariteter, påpeker Angell.

Angells anbefaling er å bruke teknologi med omhu, og å støtte opp om «tenkende ledere».

– Noen må alltid vurdere det et datasystem produserer. Teknologien må styres svært nøye. Vi må forstå når vi ikke skal bruke teknologien. Bedrifter må selv anstrenge seg for å forstå kompleksiteten i sitt eget miljø. De må for all del unngå situasjonen man kommer oppi dersom man har to ur og ikke kan si hva klokka er, fordi de ikke viser samme tid.

Gartners egne analytikere deler langt på vei Angells kritikk. De peker på at det å rette seg etter pålegg utenfra kan gi en følelse av falsk trygghet, at man har gjort det man bør gjøre, mens de virkelige sikkerhetsproblemene står uløst. Heller enn å være overivrig i å etterkomme pålegg, mener Gartner man bør innlemme offentlige pålegg i en helhetlig risikovurdering. Kan hende risikoen ved ikke å etterkomme offentlige pålegg ikke er så stor, og at annen risikoreduksjon bør prioriteres, har flere av selskapets ledende analytikere uttalt.

Til toppen