Hårda paket framför mjuka paket?

2021-12-30
2021 närmar sig sitt slut, ett år helt präglat av Covid-19. Vi har ställt om, vi har anpassat oss och vi har blivit mästare på att försöka tyda termer och begrepp som vi inte har för vana att agera utifrån. Vad betyder egentligen ”allmänna sammankomster” och vad skiljer det från ”offentliga tillställningar”? Att inte ha en tydlighet i kommunikationen mitt i en kris är knappast det som lägger grunden till en effektiv krishantering. Här finns det mycket mer att önska framgent.

Kalix kommun har fått mycket beröm för sin kriskommunikation under incidenten som inträffade mitt i julruschen, under en brinnande pandemi och kanske i kölvattnet av att hantera sårbarheten i Log4j (CVE-2021-44228 med flera). Inte den bästa tänkbara tidpunkten, men kanske det som också gjorde valet av den öppna och inkluderande hållningen i kriskommunikationen som den självklara vägen fram. Kanske inspirerade av kriskommunikationen som Nacka kommun tillämpade med samma metodik redan för 10 år sedan i samband med det stora Tieto-haveriet?

Lika imponerande kriskommunikation var det inte när Facebook, förlåt Meta-koncernen, i oktober råkade såga av grenen till internet och det blev uppenbart att den bara hängde i en gren. Sedan ska det dock sägas att de i efterhand varit hyggligt öppna med vad som inträffade. Snyggt också att deras återkomst efter knappa sex timmar hanterades med så pass mycket is i magen att återkomsten i sig inte gav nya problem för den globala internetinfrastrukturen. Förvånande dock, trots det inträffade, att deras DNS-infrastruktur fortsatt förlitar sig på ett och samma autonoma system (AS). Varför envisas de med att fortsatt lägga äggen i samma korg? För att korgen är robustare än alternativen?

I samband med dessa incidenter blir det uppenbart att media, med några få undantag, söker tekniska lösningar på mänskliga problem. I de intervjuer som följt av incidenten i Kalix, har exempelvis SVT varit ljumt intresserade av att ta med de delar i intervjumaterialet som rör vikten av de systematiska och riskbaserade informationssäkerhetsarbetet. De har i stället valt att fokusera på det mer it-säkerhetsnära, i tron av att det primärt är tekniska utmaningar vi brottas med. Jag ska villigt erkänna att jag var skeptisk till SVT:s serie ”Hackad” då jag såg framför mig att man återigen skulle glorifiera den ensamma experten som med ett välriktat trollslag lamslår den mycket väl rustade organisationen. Oaktat frånvaron att lyfta fram vikten av lagarbetet och systematiken har serien lyckats med utmaningen att lyfta fram de mjuka frågorna.

Awareness-effekten av SVT-serien är bättre än något annat hittills. Gemene man förstår i större utsträckningen betydelsen av att inte klicka på länken till det magiska erbjudandet, att avstå från att öppna den spännande filen och att faktiskt se till att hålla alla sina tingel-tangel prylar hyggligt uppdaterade för att inte vara bidragande till nästa överbelastningsattack. Det kanske inte var seriens avsikt, men det är en otroligt lyckad informationskampanj glorifieringen till trots. Eller kanske just därför?

Med julen färskt i minnet kan jag inte låta bli att tänka på hur jag som liten föredrog hårda paket framför mjuka paket. I takt med ökad mognad så har det passerat många omtyckta mjuka paket, och med ytterligare mognad så infinner sig det faktum att det är tanken som räknas. När det gäller att bemästra framtida utmaningar så är det vare sig det ena eller det andra utan det är ett väl fungerande samspel mellan tekniska och organisatoriska åtgärder som ska eftersträvas. Tanken ska inte heller underskattas. Ofta är det just tanken som är direkt avgörande för att få en långsiktigt hållbar säkerhetsstrategi i organisationen.

Säkert är att de incidenter som inträffar kommer att påverka oss allt mer. Om vi fortsatt lever i tron att det enbart är tekniska utmaningar vi står inför är vi illa ute. Vi är lika illa ute om vi fortsatt inte förmår att kommunicera eller uttrycka oss begripligt vilket inte minst hanteringen av pandemin visat tydliga avtryck av. Här finns de klart största förbättringspotentialerna!