I mitt arbete på Göteborgs universitet använder jag en dator, som är uppkopplad på Internet via universitets nätverk. Det finns också ett stort antal IT-system och servrar på universitetet som jag använder dagligen och som kräver att jag loggar in med mina personliga uppgifter. Detta är standard på de flesta kontorsarbetsplatser i vårt land, antar jag.
När jag loggar in på GU:s nätverk dyker det titt som tätt (ca en gång i halvåret) upp en dialogruta där jag ska godkänna Göteborgs universitets IT-regler. Efter att ha frågat runt en smula bland mina kollegor verkar det som de flesta användare klickar i rutan "Jag godkänner" och sedan fortsätter med sina liv, utan att bry sig om vad som står i IT-reglerna. I många andra sammanhang gör jag samma sak, men gentemot min arbetsgivare känner jag ett större ansvar. (Jag är ju också tjänsteman i staten och tycker att jag måste hålla mig informerad om vilka regler som gäller för mig.) Alltså läser jag IT-reglerna innan jag godkänner. Det är ingen rolig läsning, kan jag meddela. Här är några regler som stör mig:
- "Alla dokument/filer ska virustestas innan de laddas ner på användarens dator."
Jag ska alltså virustesta filer innan jag laddar ned dem till min dator. Då behöver jag väl hyra en annan dator utanför universitets nätverk, ladda ned filen dit och virustesta den där, och sedan flytta filen till min jobbdator.
- "Användaren får aldrig ladda ner program och filer till en dator som är ansluten till GU:s IT-resurser utan att analysera säkerhetsrisken."
Här undrar man lite vad som avses med "analysera". Är det samma som att "tänka på"? Eller krävs det en större utredning? Man får ju ändå intrycket att det handlar om lite mer än att bara vara medveten om att filer som man laddar ned kan innehålla skadlig kod. Ett kort möte med kollegor? Ett pm som skickas in till registrator?
- "Ett lösenord skall vara konstruerat med minst 8 tecken som inte får utgöra enkla ord eller dylikt och inte heller bestå av tangenter som sitter i grupp."
"Enkla ord eller dylikt". För det första undrar jag vilka ord som är enkla? Ett lösenord som BrunaBenMedRödaStrumpor består av ganska enkla ord, tycker jag. Är det inte tillåtet? Adress tycker jag är svårt - stavas det med ett eller två d? - är det enkelt? Eller är det ord som ribonukleinsyra vi ska betrakta som "inte enkla"? Det är otydligheten i detta som gör det svårt. Och sedan kommer vi till "dylikt". Vad menas med "enkla ord eller dylikt"? Är det svåra ord som avses? Eller enkla... tal?
Vidare får lösenorden inte får bestå av "tangenter om sitter i grupp". Vad menas med det? Vi har till exempel en grupp tangenter som sitter på den vänstra halvan av tangentbordet. De tangenterna får alltså inte ingå. Sedan har vi en annan grupp tangenter som sitter på den högra halvan av tangentbordet. De får inte heller ingå. Då är det inte mycket kvar. Kanske tecken som inte kan skrivas med tangentbordet? Þ till exempel, det tror jag inte jag kan skriva med tangentbordet utan det måste jag plocka fram med ett särskilt teckenvisningsprogram.
- "Universitetets IT-resurser får inte nyttjas för att på otillbörligt eller oetiskt sätt förvara information som är personligt kränkande eller stötande."
Detta åter ju rätt vettigt till en början, tills man försöker förstå gränserna för det. Jag får alltså förvara information som är personligt kränkande eller stötande, bara jag inte gör det på ett sätt som är otillbörligt eller oetiskt. "Oetiskt" vet jag vad det betyder, men problemet är förstås att det är väldigt oklart vilket etiskt system det handlar om. (Observera att det inte står "olagligt", så rimligen avses här saker som är lagliga men ändå oetiska.)
Jag tvingas erkänna att jag är osäker på den exakta betydelsen av "otillbörlig". Den ordbok jag har bekväm tillgång till säger "oacceptabel med hänsyn till rimliga (sociala eller moraliska) normer". Det gjorde ju inte saken tydligare. Och vi ska nu komma ihåg att vi pratar om metoder för att förvara information på en dator. Det enda jag kan tänka mig att det skulle handla om är att man borde kryptera känslig information, men då skulle man ju skriva att känslig information ska förvaras säkert, inte "otillbörligt eller oetiskt". Jag har helt ärligt inte en aning om vad de menar.
Nu tycker många läsare (asså, det är ju inte så många som läser den här bloggen över huvud taget, så "många" ska förstås bildligt) kanske att jag är mer gnälligt petig än vanligt. Att några IT-tjommar på ett universitet har snott ihop ett antal regler som inte hela vägen håller för en kritisk granskning är väl inte hela världen. Ska jag uppröras av att ett meddelande från förskolan innehåller en särskrivning för mycket också? Men, kära läsare, hav tålamod!
Om IT-reglerna bara hade varit IT-enhetens egna regler så hade det inte spelat så stor roll. Men nu ingår de i ett betydligt större sammanhang. Den där rutan jag klickar i för att godkänna universitetets IT-regler visar sig vid en noggrann läsning vara del av en ansvarsförbindelse, där jag som anställd förbinder mig att följa arbetsgivarens regler:
Jag är medveten om att en överträdelse mot dessa regler kan leda till (...) att disciplinära och/eller rättsliga åtgärder kan riktas mot mig.
Jag tycker att jag har en bra arbetsgivare som knappast skulle ge mig löneavdrag för att jag har ett alltför lättgissat lösenord, men när man nu upprättar en "ansvarsförbindelse" säger arbetsgivaren att det i denna fråga inte räcker med att vi har förtroende för varandras goda uppsåt. Och då är det ju viktigt att reglerna är rimliga och framförallt tydliga. Det ska inte finnas något utrymme för tolkning. Om det finns ett stort utrymme för tolkning — till exempel genom ett ord som "dylikt" — kan arbetsgivaren töja på reglerna efter egna behov. Om det skulle uppstå en konflikt mellan mig och min arbetsgivare så vore busenkelt för arbetsgivaren att leta upp ett par IT-regler som jag inte har följt, och så skulle det vara fullt motiverat att säga upp mig eller omplacera mig eller ge mig nya arbetsuppgifter eller vad det nu skulle vara.
Kanske överdriver jag. Men man kan också se saken från ett annat och mer konstruktivt håll. Om nu inte IT-reglerna finns till för att arbetsgivaren ska skaffa sig ammunition mot sina anställda i eventuella arbetsrättsliga konflikter, så vad finns de till för? Vilket syfte har de? Det finns lagar som hanterar det som är brottsligt, typ barnporr och sabotage, så det kan ju inte vara syftet med reglerna. När det gäller skadlig programvara finns det brandväggar och virusskydd och liknande, och den malware som inte fångas den vägen är det mycket svårt för vanliga användare att göra så mycket åt. Man kan tänka sig att reglerna syftar till att göra användarna medvetna om vilka risker som finns, som till exempel vilka lösenord som är lättgissade eller att man inte ska klicka på länkar i mejl om man inte är väldigt säker på avsändaren. Men som jag skrev i inledningen av denna litania så verkar det ju som att de flesta på min arbetsplats inte alls läser reglerna, så någon medvetenhetshöjande effekt lär de inte ha.
Så varför finns de? Har de något syfte alls, eller är de bara resultatet av så många kompromisser och halvfärdigt tänkande att de är helt meningslösa? Förslag mottages tacksamt!