Pocherade guldägg

2024-02-23

Samtidigt som företrädare för amerikanska molntjänster blåser faran över med sekretessbrytande bestämmelser och adekvansbeslut i ryggen vittnar vi ånyo vad som händer när stora äggkorgar brister. Oavsett om äggkorgarna är inom eller utom EU är skadeverkningarna enorma. Inte sällan oreparabla. Stackars de organisationer som har anförtrott sina guldägg till andra i tron av att de förvaras med bättre omsorg än om de hade förvarats i egen regi.

Tystnadskulturen fick sig en känga i den senaste krönikan med rubriken Tala ur skägget. När väl tystnaden bröts blev det om möjligt ännu värre. Inte nog med att guldäggen förlorats,  där fick frånvaron av självinsikt och empati ett ansikte. Hur kan en leverantör uttrycka att det inte finns några brister i it-säkerheten när  stora värden gått förlorade?

Guldäggen är inte bara viktiga i sig utan åtkomsten till densamma. Om internet är vägen för åtkomst får även internet guldstatus. Även om frånvaron av tillgänglighet inte självklart innebär att guldäggen är förlorade finns det en intressant tidsfaktor. Om frånvaron rör sig om sekunder är skadan sannolikt försumbar. En överbelastningsattack kanske tar veckor att befria sig från och då är det bara att ta fram kontinuitetsplanen om åtkomsten till internet inte kan tillgodoses på andra sätt.

I de nu aktuella scenarierna när guldäggen kidnappats och endast återfås mot en betydande lösensumma, eller i bästa fall genom en säkerhetskopia, är frånvaron av åtkomst betydligt mer än två veckor. Det kanske inte är det scenario som många kontinuitetsplaner är dimensionerade för. I de fall att även säkerhetskopiorna är krypterade av den illvillige och guldäggen tyvärr inte kan räddas på annat sätt är katastrofen ett faktum. Då är det inte längre en kontinuitetsplan som efterfrågas utan en rekonstruktionsplan för att om möjligt återetablera en hel verksamhet.

Vem hade trott år 2024 att en ägare som önskar förvara sina guldägg hos en specialist på förvaring för att få det bästa skyddet för sina dyrgripar. Är det rimligt att kunden ska behöva kravställa sina säkerhetsåtgärder på en sällan skådad detaljgrad? Är säkerhetskopiorna enligt 3-2-1 principen med minst tre säkerhetskopior, i minst två olika format varav minst en säkerhetskopia fysiskt frånskild och lagrad på en helt annan plats? Det hindrar såklart inte att specialisten på förvaring att svara ”Ja” i vanlig ordning på ska-kravet och sedan kanske inte helt leva upp till kravet när det synas eller när verkligheten kommer ikapp.

Om guldäggen i denna krönika hade varit äkta så hade brottsbalken sannolikt varit tillämplig i flera av de scenarios som nu är aktuella. För tillgångar som förvaras av annan part, exempelvis en bank, och som inte kan återlämnas på grund av försumlighet kan det knappas ses som en förmildrande omständighet.

Det ska bli intressant att följa det rättsliga efterspelet med de pocherade guldäggen. Inte nog med att det kan bli en tvist kring ansvarsfrågan, det kommer också att påverka en hel marknad hur de väljer att hantera saken framgent. Allt utifrån guldäggens bästa!