Docendo discimus [5]: Błądzić jest rzeczą ludzką

O czynniku ludzkim - sprawcy wszystkich (cyber) katastrof. O błędach wynikających z braku kultury i nawykach, które tę kulturę współtworzą. O Internecie któremu ufamy, choć nie znamy i zmianie zasad gry - dla naszego dobra.



Ten tekst pierwotnie ukazał się w drugim kwartale 2017 roku na łamach biuletynu Polskiego Towarzystwa Informatycznego 
(http://www.biuletyn.pti.org.pl/BiuletynPTI_2017-02.pdf)

Errare humanum est, sed in errare perseverare diabolicum. Trzymając się oryginału: „mylić się jest rzeczą ludzką, jednak obstawanie przy błędzie jest diabelską”. Co współcześnie nie brzmi najlepiej i zastępowane jest najczęściej: „Błądzić jest rzeczą ludzką, trwać w błędzie - głupotą.” Prawdopodobnie każdy z nas kiedyś słyszał tę sentencję przypisywaną Senece i równie prawdopodobne jest, że okoliczności towarzyszące tej sytuacji, nie należą do chętnie wspominanych, samotnie, czy w towarzystwie.

Z drugiej strony czasami słyszymy o kimś, kto publicznie szczerze przyznaje, że nawet jeśli mógłby, nie cofnąłby swoich błędnych decyzji i dodatkowo wygląda na szczęśliwego. Dlaczego? Aby odpowiedzieć na to pytanie warto przypomnieć sobie swoje dzieciństwo i wysiłek nauki. Doświadczenie wynikające z popełnionych błędów było tym, które kształtowało naszą osobowość i charakter. I wbrew opinii o „nasiąkniętej skorupce” formuje ją aż do końca.

Błędy jednak bywają różne i konsekwencje z nich wynikające również. Kto się przecież spodziewa, że klikając w załącznik wiadomości mailowej doprowadzi do zaszyfrowania wszystkich windowsowych komputerów w miejscu pracy? A taki scenariusz miał miejsce w rzeczywistości całkiem niedawno w ramach kampanii złośliwego oprogramowania zwanego WanaCry dekryptor [A]. Warto poświęcić chwilę i przyjrzeć się różnego rodzaju błędom typowo popełnianym przez ludzi. 

Problem ten jest aktywnie badany w innych branżach, gdzie pomyłki personelu mogą być tragiczne w skutkach, jak to ma miejsce w przypadku linii lotniczych. W wyniku analiz wypadków i incydentów w lotnictwie opracowana została lista typowych błędów popełnianych przez ludzi. Zwana jest jako „Dirty Dozen” czyli Brudna Dwunastka (będziemy ją również później nazywać na blogu Pechową Dwunastką, przyp. autora). Warto je poznać i unikać zarówno w pracy jak i życiu prywatnym.

Są to, po pierwsze: brak komunikacji i konsultacji gdy zadanie nie zostało wykonane, bo jedynie około 30% polecenia zostało zrozumiane, a zapamiętane zazwyczaj początek i koniec wypowiedzi. Błędu unikniesz używając list zadań (checklist) oraz powtarzając kluczowe kwestie kilkukrotnie. 

Po drugie: przecenianie siebie szczególnie gdy sytuacja dotyczy powtarzalnych zadań i rutyny, która jak wiadomo – zabija poprzez utratę czujności. Błędów tej klasy unikamy spodziewając się pomyłek wynikających z czynności wykonywanych bez zastanowienia (wychodząc zamknęliśmy drzwi czy nie? – sprawdzenie rozwiewa wątpliwości). Nie warto ręczyć za wykonanie czynności przez kogoś, jeśli nas przy tym nie było. Zawsze wyciąganie nauki z błędów innych pomaga unikać swoich, a stosowanie listy zadań pozwala nie przeoczyć czegoś istotnego.

Po trzecie: brak wiedzy niezbędnej do poprawnego wykonania zadania, co może wynikać ze zbyt krótkiego szkolenia, nie przywiązywania uwagi do szczegółów czy wręcz ignorancji. Przeciwdziałać tym błędom możesz zapoznając się z aktualną instrukcją obsługi czy procedurą, pytając gdy nie masz pewności, uważając na treningach. Jednym zdaniem: nie zgadując ale znając odpowiedź.

Po czwarte: roztargnienie i brak uwagi nie tylko opóźniają wykonanie zadania czy wręcz je uniemożliwiają, ale również są głównym powodem zapominania o tym co było do zrobienia. Warto przeciwdziałać tym błędom stosując listy zadań, czy wracając do wcześniejszych czynności gdy ktoś nam przerwie, tak aby upewnić się, że ciągłość zadania jest zapewniona.

Po piąte: brak pracy zespołowej nadmiernie obciąża nas odpowiedzialnością za wykonanie zadania narażając nas na błędy i porażkę. Warto konsultować zadania w zespole, upewnić się, że wszyscy biorący udział są świadomi swoich obowiązków, zgadzają się i wiedzą jak je realizować.

Po szóste: zmęczenie wpływa negatywnie na naszą koncentrację i zdolność oceny sytuacji, co praktycznie skutkuje popełnieniem błędu. Warto przeciwdziałać każdej formie zmęczenia czy to fizycznego, psychicznego czy również tego, wynikającego z niezrealizowanych procedur, planów. Warto monitorować zmęczenie nie tylko u siebie, ale i u innych członków zespołu i reagować choćby poprzez wzajemną weryfikację wykonanej pracy.

Po siódme: brak zasobów prowadzi do nadmiernej kreatywności lub oszczędności przy realizacji zadania, co skutkuje wytworzeniem efektu różnego od spodziewanego. Właściwe przygotowanie do zadania, zapewnienie zasobów, procedur, planów znacznie redukuje występowanie takich błędów.

Po ósme: presja czy czasu, czy jakości, czy ceny – szczególnie długoterminowa, prowadzi do kumulacji błędów wynikających z pozostałych czynników z listy Brudnej Dwunastki. Przydzielenie dodatkowych zasobów, komunikacja problemów i przestrzeganie procedur to podstawowe czynniki redukujące błędy wynikające z pracy pod presją.

Po dziewiąte: brak zaangażowania wyrażający się w wiecznym narzekaniem lub ignorowaniem sytuacji, bez proponowania rozwiązania problemu lub nawet jego nazwania. Uwzględnianie sygnałów, promowanie pozytywnych rozwiązań i asertywnej postawy adresuje ryzyka wystąpienia takich błędów.

Po dziesiąte: stres wprowadzający nieracjonalne sytuacje i atmosferę konfliktu, gdzie nadmiar emocji utrudnia lub uniemożliwia realizację zadania. Stosowanie przerw, dyskutowanie problemów i racjonalizacja sytuacji to czynniki zmniejszające wystąpienie tego typu błędów.

Po jedenaste: brak świadomości kontekstu skutkujący niemożliwością przewidzenia konsekwencji czynów jest poważnym zagrożeniem zarówno dla realizacji zadania jak przede wszystkim dla personelu. Aby unikać tego typu błędów upewnij się, że wiesz co robisz, jakie są tego konsekwencje i co się dzieje wokoło ciebie w czasie realizacji zadania. Pamiętaj, że zazwyczaj jesteś częścią „większego obrazu” – postaraj się go dostrzec i swoją w nim rolę.

Po dwunaste: brak lub błędne wdrożenie norm które pozwalają powtórzyć zadanie i osiągnąć taki sam, oczekiwany skutek, nawet z użyciem innego personelu. Jeśli każdy realizuje swoje zadania wg własnego pomysłu bez uwzględnienia innych, nie tylko utrudnia proces i identyfikację błędów, ale również może doprowadzić do nieprzewidzianych strat i zagrożenia dla personelu. Unikaj tych błędów poprzez identyfikację i eliminację szkodliwych zwyczajów, promuj bezpieczne i dobre praktyki i zachowaj czujność.



O ile zupełnie zrozumiałe wydaje się wprowadzenie wszystkich tych porad dla personelu linii lotniczych to pytać można czy i o ile, mają one sens w przypadku pracy z informacjami zarówno służbowo jak i prywatnie. Odpowiedź jest krótka. Tak mają. I co więcej dotyczą one każdej branży, każdej czynności która wykonywana jest przez człowieka. Przykłady można mnożyć ale skoncentrujmy się na dwóch przypadkach: pisaniu oprogramowania i ochronie przed oprogramowaniem żądającym okupu za zaszyfrowane dane (ransomware). 

W pierwszym wypadku tworzenie nowego oprogramowania z użyciem określonych istniejących komponentów zawsze jest narażone na błędy związane z: brakiem komunikacji z zamawiającym w zakresie wydajności i funkcjonalności programu, nadmiarem własnej pewności co do wcześniej używanych schematów postępowania, brakiem wiedzy przy implementacji nowych komponentów, przerywaniem pracy, błędami w zespole, zmęczeniem, brakiem zasobów (sztywne frameworki, brak testerów), presją czasu i wymagań klienta, brakiem zaangażowania w usuwanie potencjalnie małych bugów (błędów kodowania), stres terminu zakończenia (deadline) i zmian w ostatnim momencie, brak kontekstu użytkowania przez klienta (dużego obrazka), luźne stosowanie norm i dobrych praktyk. Ta lista błędów ludzkich prowadzi do występowania w oprogramowaniu luk, które później są wykorzystywane przez przestępców do ominięcia zabezpieczeń. Błędów nieznanych wytwórcy programu (zero-day), albo znanych ale kosztownych do poprawienia/usunięcia. Co więcej, należy uwzględnić, że proces poprawy błędu jest również obarczony Brudną Dwunastką, czyli może wprowadzić inne błędy naprawiając już istniejący.

Sytuacja, gdy znany błąd jest wykorzystywany do dystrybucji, instalacji i uruchomienia złośliwego oprogramowania w dodatku bez użycia użytkownika wydaje się wystarczająco przerażającym scenariuszem teoretycznym, którego świadomość w społeczeństwie profesjonalistów od cyberbezpieczeństwa jest wysoka. Ostatnie miesiące pokazały, że sama świadomość nie wystarczy [A]. W tym przypadku również zastosowanie miała lista Brudnej Dwunastki.

Nieskuteczna komunikacja ryzyka, które się zmaterializowało, nadmierna wiara w skuteczność obsługi incydentu, brak wiedzy o własnym środowisku, niedokończenie analiz ryzyka uwzględniających takie zagrożenie, brak współpracy pomiędzy sobą, zmęczenie wiecznym tematem łatania dziur, braki kadrowe i kompetencyjne jak również w zakresie stosowanych technologii, presja ze strony pracodawcy i jego klientów, brak racjonalnego pomysłu na rozwiązanie problemu z podatnościami, stres związany z paniką szerzoną przez media, zaciemnienie prawdziwego obrazu sytuacji i ostatecznie brak norm czy dobrych praktyk w zakresie ochrony sieciowej czy utwardzania systemów operacyjnych i zarządzania podatnościami – to jest Brudna Dwunastka profesjonalistów cyberbezpieczeństwa w 150 krajach dotkniętych przez WanaCry.

Podsumowując, błędy ludzkie są nieuniknione. Nawet jeśli zastąpi nas automat, to budując go popełnimy błędy, błędnie też określimy jego cele, nawet jeśli będzie w stanie te błędy identyfikować i się na nich uczyć. Proces ten nie ma końca.

Zamiast zatem wstydzić się błędów, uczmy się na błędach innych unikając swoich. Najlepszym do tego sposobem jest zbudowanie kultury, w której błędy są akceptowane, jeśli nie są powtarzane. To właśnie kultura bezpieczeństwa. Budować ją można na szereg sposobów, najlepiej jednak poprzez nawyki i zwyczaje. Te pozytywne.

Nawyki powstają w wyniku automatyzacji odpowiedzi mózgu na ten sam (lub zbliżony) bodziec. Jeśli mamy wyjść na zewnątrz, zakładamy buty. Praktycznie nie rozważamy zasadności zakładania butów, co najwyżej zastanawiamy się nad ich konkretnym rodzajem. Ta forma automatu pozwala mózgowi zająć się w tym czasie innymi tematami co jest zyskiem i swoistą „nagrodą” dla niego. To, że nasz umysł ma tendencję do szukania nagród a przez to budowania nawyków gdzie tylko może jest faktem, którego istnienie może potwierdzić każdy indywidualnie. Warto jednak aby tworzone nawyki, pomagały a nie szkodziły. Dlatego należy świadomie się im przyjrzeć.

Ile czasu spędzamy ze smartfonem, mailem, telewizorem? A ile czasu z bliskimi nam człowiekiem? Jedno i drugie to nawyk zdobywania informacji, ale jak pierwsze obarczone jest potężną ilością zbędnych danych, tak drugie jest ważne dla tworzenia więzi z tymi, którymi się otaczamy. Warto sprawdzić czy błędy z Brudnej Dwunastki czają się przy tych negatywnych nawykach.

Obecnie, powszechnie uważa się że w dobie Internetu, smart-rzeczy i ciągłego strumienia informacji, to człowiek jest najsłabszym ogniwem procesu przekazywania informacji. Niektórzy uważają, że Brudna Dwunastka jest „dowodem skazującym” człowieka w tej dyskusji. Ja jestem daleki od zgody z tą opinią i nie jestem w tym przekonaniu, na szczęście, osamotniony.

Ludzie popełniają błędy, to fakt. Ale prawdziwym problemem nie jest to, że je popełniają, tylko że nie chcą przestać tego robić.

Ten stan rzeczy wynika ze złej kultury konsumpcji informacji, z tego w jaki sposób obecnie funkcjonuje Internet i jak łączy ludzi.

Warto krótko rzucić na to okiem:

Po pierwsze – zapamiętujemy mało, mamy problemy z komunikacją bo zwyczajnie nie wiemy która informacja jest dla nas cenna i ważna. Reklamy muszą się sprzedać, więc zwracają uwagę – ale czy to jest cenna informacja z naszego punktu widzenia? Co najwyżej przydatna.

Po drugie – cały Internetowy świat, Facebook, platformy VOD, producenci smartfonów przekonują nas, że nowa technologia jest łatwa i prosta, w zasadzie nie potrzeba do tego instrukcji, znajomości zasad itd.

Po trzecie – brak wiedzy o stosowanej technologii i wynikających z tego konsekwencjach, czy to natychmiastowych w formie utraty środków bądź danych w wyniku phishingu, czy odłożonych w czasie, w wyniku utraty prywatności. Brak nam czasu na zapoznanie się z instrukcją czy dobrymi praktykami użytkowania technologii. W sytuacji braku wiedzy nasz mózg stosuje schematy myślowe dla starszej technologii – dlatego używamy smartfona jak telefonu i wierzymy w to co „wydrukowane”, nawet w Internecie.

Po czwarte – nasza uwaga to pieniądz, więc trzeba o niego walczyć, kto przykuje uwagę, ten wygrywa – tylko użytkownik staje się coraz bardziej zirytowany powiadomieniami, i informacją bez treści.

Po piąte – medialni giganci nie współpracują. Internet naturalnie stworzony do współpracy stał się polem konkurencyjności negatywnie weryfikowanej krzykliwymi nagłówkami i wymyślonymi problemami – totalna dezorientacja prowadzi nawet do odrodzenia absurdalnych teorii jak kreacjonizm, ruch antyszczepionkowy czy płaskość Ziemi.

Po szóste – znalezienie wartościowej informacji jest obarczone za dużym wysiłkiem przez co w większość klikamy automatycznie.

Po siódme – pomimo puchnięcia zasobów informacyjnych, wyraźnie odczuwamy pogorszenie ich jakości i wydłużenie czasu niezbędnego do uzyskania użytecznej odpowiedzi – zamiast faktów natrafiamy głównie na opinie.

Po ósme – każdy gdzieś się spieszy, ma ważne rzeczy do zrobienia, a to co robi, robi szybko i mało skutecznie lub na raty.

Po dziewiąte – większość nawet nie wie, kiedy utraciła kontrolę nad swoimi nawykami i choć zdaje sobie z tego sprawę i narzeka, to nie ma pomysłu jak wyjść z tej sytuacji.

Po dziesiąte – stres generowany przez wielokanałowo docierającą informację, ciągłe „podłączenie i śledzenie” wypacza zwyczajne sytuacje wprowadzając nieadekwatne reakcje i emocje. Najgorsze jest to, że na przepraszanie i refleksję też nie mamy czasu.

Po jedenaste – już dawno utraciliśmy „duży obrazek” – za wiele wątków informacyjnych, za mało zaufania do treści, sprzeczne komunikaty naprzemiennie do nas docierające zaciemniają sytuację. Trudno się nam odnaleźć w świecie wokół nas, który coraz bardziej staje się obcy.

Po dwunaste – nikt praktycznie nie wie jak zachowywać się w sieci, jakie normy zachowań, kultury warto zaadoptować przy używaniu smart-rzeczy, mieszaniu świata realnego i wirtualnego w tej samej przestrzeni, z tymi samymi ludźmi...



Może warto nauczyć się na błędach innych oraz tych kilku swoich i zmienić swoje nawyki związane z konsumpcją informacji budując zręby nowej kultury? Takiej adekwatnej do czasów, technologii i nas samych?

Pamiętajmy, że kultury nie zbudują reklamy w kinie nakazujące nam wyłączenie czy wyciszenie telefonów...

A to dopiero początek drogi. Internet jaki znamy z opowieści czy szkoły już nie istnieje. Informacje docierają do nas z sieci dystrybucji treści (Content Delivery Network), uruchomienie przez nas przeglądarki i żądanie wyświetlenia strony (czy aplikacji na telefonie) rozpoczyna błyskawiczną giełdę na której to nasze preferencje zakupowe, styl życia, znajomi, historia aktywności służą do rozstrzygnięcia, który dostawca produktów zapłacił najwięcej za reklamę, w którą prawdopodobnie klikniemy. A sytuacja staje się jeszcze ciekawsza, gdy używamy Facebooka jako aplikacji na telefonie... szerzej na ten temat przy innej okazji.

Warto zmienić zasady gry. Warto uczyć się na błędach i nie trwać w nich, bo jak w cytacie Seneki na początku tego rozważania – nie świadczy to o nas najlepiej.

We wspólnym budowaniu kultury bezpieczeństwa przydatne mogą być materiały jakie zgromadziliśmy w ramach naszej działalności, a które dostępne na naszym blogu IKB https://sci-ikb.blogspot.com


[A] Meta analiza na temat sytuacji związanej z problemem złośliwego oprogramowania "Wannacry" w Polsce. https://zaufanatrzeciastrona.pl/post/komunikacja-polskich-instytucji-panstwowych-na-temat-wannacry-analiza/


Popularne posty