Det finns inte alltid en plan B

2021-08-27
Slutet av sommaren närmar sig och vädret är i skrivande stund långt från en glittrande sommardag. I minnet finns såväl soliga och väldigt varma sommardagar som dagar med stora mängder av nederbörd. Visst är klimatet under förändring och FN:s klimatpanels rapport som kom i början av augusti visar att klimatet förändras oerhört snabbt och utan motstycke på tusentals år.

 

I de samtalsämnen som passerat under sommaren har klimatet varit ett återkommande inslag, men under Coop-krisen överskuggades klimatkrisen helt i våra samtal. Till skillnad mot klimatkrisen är Coop-krisen väl inom ramen för min och mina kollegors profession och här kan ju ett och annat klargörande vara på sin plats för att nyansera den alarmistiska bilden.

Gemene man är skickad att ta till sig mer nyanserad information och låta den vara lärande. Det är vägen fram för att var och en ska vara bättre rustade för att möta dagens och morgondagens utmaningar som vårt samhälle står inför.

Vad gäller Coop-krisen så är ransomware-attacken mot Kaseya, den mjukvara som användes av Coops underleverantör för att fjärradministrera kassasystemet, ännu en ögonöppnare för hur en aktör med relativt små medel kan skaka om ett samhälle. Betänk att några fler livsmedelshandlare hade valt att fjärradministrera sina kassasystem med samma mjukvara. Det hade sannolikt fått ganska stor påverkan på livsmedelsförsörjningen. Syftet med den här attacken var inte att störa svensk livsmedelsförsörjning, utan snarare ytterligare ett angrepp i raden i syfte att pressa de drabbade på stora summor pengar. Coop valde för övrigt inte att gå angriparen till mötes vilket hedrar dem.

När vi under de senaste åren granskat just programvaror som kan användas för fjärradministration kan vi kort konstatera att vi tappat räkningen över alla sårbarheter vi rapporterat. Till detta ska läggas att detta bara är ett exempel på mjukvara som används för att åsidosätta zonmodeller och andra lösningar som ska hindra att de mest värdefulla tillgångarna blir ett lättfångat byte. Backupmjukvaror, integrationsmjukvaror och övervakningsmjukvaror är fler exempel på mjukvaror som om de infekterats av en angripare ritar om spelplanen rejält.

Om den illvillige vill störa försörjningen av livsmedel, vatten eller el hade givetvis angreppet varit mer riktat och mer genomtänkt än det som slumpmässigt drabbade Coop och andra organisationer. Oavsett gäller det att ha en plan B. Vad var Coops plan B? En fungerande kontanthantering hade väl varit en naturlig väg fram tänker jag. Det rimmar väl med Myndigheten för samhällsskydd och beredskaps råd att ha lite kontanter tillhands i händelse av en kris.

Sammantaget är detta inte något annat än förmågan att hantera risker. Vi tar mängder med medvetna risker varje dag och väljer att acceptera flertalet av dem. Andra risker vill vi åtgärda genom att minska sannolikheten för att de inträffar eller genom att reducera konsekvensen av det inträffade. Att hantera risker är det absolut viktigaste i det systematiska informationssäkerhetsarbetet och det finns inte någon plan B till att arbeta systematiskt.