Tala ur skägget!

2024-01-26
Det är alldeles för ofta som vi konstaterar att organisationer bor alldeles för nära inpå sina grannar hos driftleverantörerna. Det visar sig inte minst vid en större attack. Det är inte svårt att dra sig till minnes en större incident i november 2011 när den nu mest uppmärksammade attacken seglar upp. Samma leverantör som med ett drygt decennium av vunna erfarenheter inte har tagit lärdom. Vare sig genom att bättre separera sina kunder eller bättre kommunicera med sina kunder och den drabbade allmänheten.

Genom hela våra liv gör vi misstag, vi lär oss av dem och skäms inte sällan över våra tillkortakommanden. Varför fungerar inte it-branschen lika? Det känns rimligt att vi lär av egna, och andras, misstag och inte minst är ödmjuk över våra tillkortakommanden. En ursäkt eller ett förlåt är inte mycket begärt!

De senaste åren har kantats av alltför många incidenter där leverantörer som tillhandahåller tjänster till organisationer som inte anser sig ha förmåga till egen it-drift satt dessa organisationer i en icke önskvärd situation. Inte nog med att organisationen inte har rådighet över sin egen situation, det är även stor risk att även rådigheten över sin egen information förloras. I slutändan är det gemene man och inte sällan samhället som drabbas.

I de diskussioner som har förts kring en rad incidenter de senaste åren  har leverantörsledet kommit väldigt lindrigt undan. Ibland har det varit snyftberättelser på bästa sändningstid och ibland tyst som i graven. Var finns reportern som ställer en motfråga? Var finns den grävande journalisten som konstaterar att den drabbade driftleverantören har haft en rad sårbarheter exponerade för omvärlden? Även här finns det stor förbättringspotential!

Vi har lyft kravet på en haverikommission under lång tid (se krönikor från 20132016 och 2023) och tids nog blir det nog verklighet. Tiden fram till dess försätter vi att samverka, samordna och utreda. Jag tror tyvärr inte att lösningen finns på statlig nivå i närtid. Ni som har studerat avtrycken i myndigheternas regleringsbrev som ett resultat av regeringens beslutat att stärka den offentliga sektorns motståndskraft förstår varför. Lösningen finns sannolikt i att andra aktörer kliver fram. Aktörer som ser att de har vinning att lära av varandra och utbyta faktiska erfarenheter.

En viktig del i det fortsatta arbetet är också att ställa tydligare krav på it-leverantörerna. Vem är mina grannar? Hur mycket gemensamma komponenter delar vi? Vilken riskaptit finns i grannskapet? I den vanliga världen gör vi precis samma bedömningar. Varför är det ointressant när det kommer tillhandahållande av it-drift och hantering av skyddsvärd information?

Vi ska vara tacksamma att det växer fram reglering från EU som ställer allt högre krav på hanteringen av skyddsvärd information och samhällsviktiga system och nät. Dataskyddslagstiftning har gjort skillnad. Det uppdaterade NIS-direktivet kommer också att göra skillnad. De har gemensamt att det är ekonomiskt kännbart för den som slarvar. Det kommer fler regleringar från EU i det vi kallat för den regulatoriska bombmattan. I sammanhanget är det obegripligt att inte sanktionsavgifterna för slarv med Sveriges säkerhet är större.

Givet de senaste händelserna kommer det givetvis att incidentrapporteras i enlighet med de allt bredare kraven på rapportering i allt fler riktningar. Någon samordning mellan tillsynsmyndigheterna här lär också dröja, men det får inte vara skälet till att inte rapportera. Rapportera hellre för mycket än för lite. Incidentrapporteringen till tillsynsmyndigheterna, likväl som polisanmälan, gör att det inte är lika enkelt för driftleverantören att flyga under radarn och tiga sig igenom incidenten. Det är allt igenom allmänna handlingar som blir tillgängliga för allmänheten, även om det lär strykas en del med pennan innan den landar i offentligheten.

Offentlighetens ljus behöver bli starkare här för att bryta den illavarslande trenden av en allt för bred tystnadskultur i leverantörsledet!