Det går snart inte ens en vecka mellan rapporteringar om att större sajter och stora organisationer drabbas av större störningar. Inte sällan har de gemensamt att allt fler ägg läggs i samma korg och att stora summor spenderas på redundanta lösningar. Ett tydligt inslag hos de drabbade, och hos de som än så länge haft tur, är att de inte har en aning om informationstillgångarnas krav på informationssäkerhet, ej heller vilka beroenden tillgångarna har till varandra och till grundläggande infrastruktur. Läget är minst sagt allvarligt!
Uttrycket med äggen och korgen är ju tämligen gammalt. Myntat långt långt tidigare än den digitaliserade tillvaro vi befinner oss i och sannolikt myntat efter en rad fadäser. Men även den digitaliserade tillvaron börjar också få några år på nacken och torde ha alla förutsättningar att dra lärdomar av. Ändå försätter vi oss fortsatt i situationer som borde vara allmänt kända att de bidrar till ökad risk. Varför?
För ett par decennier sedan när beroendet till Internet började öka byggdes redundanta lösningar i syfte att minska risken för frånvaro till Internet. En titt i backspegeln gör nog gällande att alla innovationer att bygga redundans inte var till godo, tvärtom bidrog allt för många (majoriteten?) till att antalet avbrott faktiskt ökade. Innovationerna lovade mycket, men sanningen är en annan.
Detta har gått igenom under åren. I takt med att vi identifierar kritiska komponenter så görs de redundanta med varierande resultat. Den erfarenhet vi sakta byggt upp borde signalera ganska starkt att alla ägg inte ska läggas i samma korg. Ändå gör vi det gång efter annan. Det görs så hårdnackat att till och med de mest vitala infrastrukturkomponenterna ska tvingas ner i samma korg.
Ärligt, hur många vågar testa redundansen på en lösning som stora delar av IT-miljön har ett beroende till? Min erfarenhet säger alltför få.
Skulle ett strukturerat informationssäkerhetsarbete göra skillnad? Svår fråga eftersom de drabbade sällan har ett strukturerat informationssäkerhetarbete. Eller det kanske är just svaret på frågan? Min uppfattning är att de som faktiskt identifierat sina informationstillgångar, klassificerat dem, gör återkommande riskanalyser, tillämpar resultatet osv. har en betydligt större förståelse för hur pusslet ska läggas än de som hämtar sin inspiration från ett kvartalsstint tillverkarled.
Just nu verkar lagringsnäten (SAN) ha sin glansperiod som hackkyckling. Vems tur är det härnäst? Någon kanske tänker att molnen är lösningen. Jo tjena, för att citera en glad realist. Vad talar för att vi inte lägger alla ägg i en korg även där? Erfarenheterna växer till sig även här och sista årens incidenter ger knappas sken av att molnen är felfria. Jag vågar påstå att än en gång har vi gladeligen tagit klivet över till nästa gräsmatta i tron att den klipper sig själv. Åtminstone vad det var som utlovades.
Hur ser kommande decennier ut? Jag är tämligen övertygad om att det blir än tydligare vilka som faktiskt gjort sin hemläxa. Med ett strukturerat informationssäkerhetsarbete som grund är det tämligen enkelt att anamma så väl dagens som morgondagens teknologier. Risken att hamna i oväntade situationer är i jämförelse ringa med dem som fortsatt lever i en ostrukturerad tillvaro. Under ett par år till är det sannolikt accepterat att hamna i okontrollerade situationer, men sedan är tålamodet slut. Det kommer fortsatt finnas en massa som tror att de går att ta genvägar, men när turen sviker så kommer verkligheten förr eller senare även i kapp dem. Förhoppningsvis också insikten!
Thomas Nilsson
