Långt från autonom

2022-05-27
Få, inklusive mig själv, trodde väl att vi skulle få uppleva en pandemi i modern tid. Lika få, eller kanske ännu färre, trodde väl att Ryssland helt urskillningslöst och med sådan aggression skulle ge sig på ett land i Europa. Ett land som både till yta och befolkning är att av de största i Europa. I vår omedelbara närhet pågår samtidigt ett gängkrig av aldrig skådat slag. Det är sannerligen en prövningens tid.

 

I ett skeende likt detta är det inte lika självklart att stå upp för våra fri- och rättigheter, att värna om demokratin och allas lika rätt. I kampen mot pandemin och mot gängkriget har vi tydligt sett hur lagstiftningen som värnar dessa värden naggas i kanterna. Samtidigt som vi fortsatt är ett av de mest öppna länderna i Europa men ingenting av det som värnar om våra fri- och rättigheter får längre tas för givet.

Vi kan inte heller ta samhällsviktig försörjning som el, vatten och livsmedel för givet. Hela logistikkedjan påverkades ordentligt när M/V Ever Give grundstötte i Suezkanalen för drygt ett år sedan. Stängningen av kanalen som pågick i nästintill en vecka visade tydligt att det inte finns några marginaler utan allt är optimerat utifrån ett “just-in-time” normalläge där begreppet kris inte har fått något utrymme.

Under pandemin befarades att internet inte skulle tåla omställningen som pandemin bidrog till. Inte heller var det självklart att tjänsterna för virtuella möten skulle klara anstormningen. Det senare besannades och det tog en tid innan tjänsteleverantörerna hann i kapp. Det ska också sägas att det gjordes arbeten med internetinfrastrukturen för att möta förändringen men det var inte lika synligt. Vilken tur att komponentbristen vi lider av idag, inte infann sig tidigare, och vilken tur att förbindelsen till de allt igenom utländska tjänsteleverantörerna inte stördes ut.

När Facebook/Meta sågade av sin del av grenarna mot internet för drygt ett halvår sedan stod internet inför ytterligare en utmaning där en stor gren av internet plötsligt försvann. Det ska sägas att återkomst efter knappa sex timmars frånvaron hanterades med så pass mycket is i magen att återkomsten i sig inte gav nya problem för den globala internetinfrastrukturen. Händelsen visade att det vi inte trodde kunde hända, hände.

I skenet av allt detta så finns det krafter som i sin vardag tänker robusthet och funderar över plan B. Jag tänker på initiativ som Särimner som syftar till att det ska finnas en hemvist för bland annat samhällsviktiga webbplatser. Ett initiativ som lovordades när det presenterades hösten 2018 men som inte riktigt fick det förväntade fotfästet och heller inte den långsiktiga finansieringen. Jag skiner upp när jag läser ett stycke om Särimner i MSB:s svar på uppdraget att bedöma vilka åtgärder som bör vidtas för att stärka det civila försvaret (Ju2022/00865).

Det hade varit klädsamt om exempelvis Stiftelsen för Telematikens utveckling fått ett större gehör för sitt förslag fem små hus som presenterades för snart två år sedan för att säkerställa att internetinfrastrukturen står pall när vi möter nästa utmaning.

Det som är talande i ett större perspektiv är att styrningen och ledningen allt igenom är reaktiv. Det är först att när det sker en större incident eller när det blir tydligt att publicering i kvällspressen är nära förestående som viktiga beslut fattas. Gapet mellan de som fattar besluten och de som ser behovet av besluten växer. Det verkar inte längre finnas några krav på att beslutsfattaren ska ha kunskap kring besluten utan andra meriter har styrt vilket har lett till förlitandekedjor till verkligheten. Därför är det glädjande att se förslagen i exempelvis NIS2-direktivet som ställer krav på att ledningsorgans (läs styrelse  eller motsvarande) medlemmar regelbundet genomgår särskild utbildning för att skaffa sig tillräckliga kunskaper och kompetenser så att de förstår och kan bedöma cybersäkerhetsrisker. Dessutom kravställs på att säkerhet i leveranskedjan, inbegripet säkerhetsaspekter som rör förbindelser mellan varje entitet och dess leverantörer eller tjänsteleverantörer, ska beaktas samt att sårbarheter som är specifika för varje leverantör särskilt övervägs vid val av lämpliga åtgärder, ( jfr. artikel 17.2, 18.2d och 18.3 i förslaget till NIS2-direktiv). Frågan är om det är tillräckligt? Det lär dröja innan vi kan bedöma om dessa krav också efterlevs.

Under pandemin blev det tydligt hur beroende vi är till fungerande logistikkedjor och till utländska aktörer som bidrar med allt från munskydd till e-tjänster för virtuella möten. Nu när världens fjärde största exportör av livsmedel invaderas så kommer det att ånyo visa på brister och beroenden vilka kommer att bli tydliga i höst.

Det är uppenbart att globaliseringen har försatt oss i en situation som gör oss allt annat än robusta. Kritisk verksamhet måste kunna bedrivas autonomt och med det som ledstjärna blir det tydligt vad som behöver åtgärdas för att öka robustheten hos var och en. Låt inte en större incident bli startskottet, utan det måste finnas vilja och förståelse hos den egna ledningen till att bli mer proaktiv här. Vägen till besluten är via de allt längre tillitskedjorna där vägen till framgång också är att krympa tillitskedjorna, och inte enbart tillitskedjorna mellan beslut och verklighet.

Vår framtid måste vila på en mer robust och autonom grund för att bli mindre sårbara inför nästa kris.