Handla säkert och planera för det värsta
– Även om man gör ”säkra” IT-upphandlingar måste man ha kontinuitetsplanering, säger Fia Ewald som har utrett samhällskonsekvenserna av driftsstörningen som inträffade hos IT-företaget Tieto i november 2011.
– Man måste ha sådan planering själv och man måste kräva att ens leverantörer har det. Oavsett vad man har avtalat om kan ju saker och ting inträffa, tillägger hon.
Det var i slutet av februari som Myndigheten för samhällsskydd och beredskap (MSB) presenterade en rapport om samhällskonsekvenserna av en av de allvarligaste IT-störningarna som har inträffat i Sverige. Driftsstörningen drabbade runt 50 av IT-driftföretaget Tietos kunder och slog bland annat ut väsentliga delar av IT-stödet hos Bilprovningen, Apoteket AB och flera svenska kommuner.
Händelsen visar hur komplexa beroendesamband som kan finnas inom IT-området. Fia Ewald ger ett illustrerande exempel:
– Ett landsting ansvarar för sjukvården inom ett geografiskt område. De köper vårdtjänster av ett vårdföretag, som i sin tur köper en privat logistikleverantör. Logistikleverantören köper IT-stöd från Tieto. I den situationen är det fortfarande landstinget som ansvarar inför medborgarna för att allting fungerar som det ska.
– Det är med andra ord väldigt många led. Och det handlar inte bara om IT-relaterade tjänster, utan även om leverantörer av kärnverksamhet.
Stordriftsfördelar
Tieto-händelsen ska ses i ljuset av den pågående samhällsutvecklingen, där det blivit allt vanligare att samla sin IT-drift och placera den i en central driftmiljö.
Ytterligare kostnadsfördelar kan erhållas genom att lägga serverdriften utanför den egna verksamheten, genom så kallad outsourcing av hela eller delar av den egna IT-driften till en eller flera driftleverantörer.
Till detta kommer utvecklingen av IT-relaterade tjänster, bland annat så kallade molntjänster, där en organisation kan välja att låta en leverantör hantera alltifrån lagring av information till mycket kvalificerade tjänster. Liksom vid ren outsourcing av IT-drift innebär användandet av IT-relaterade tjänster en koncentration av informationshanteringen.
– Det är stordriftsfördelarna som är själva poängen med molntjänster, säger Fia Ewald. Och om kund och leverantör ska få maximal ekonomisk nytta av det här, så ska de avtala om att informationen ska få lagras på en ospecificerad server någonstans i världen. Så ser alltså drivkraften ut inom det här området.
Denna utveckling innebär, enligt Fia Ewald, att arbetet med informationssäkerhet får en ny dimension.
– Det är en historiskt ny situation, som ger nya sårbarheter. Däremot gör vi ingen värdering ifall detta är sämre eller bättre än tidigare. Men vi måste acceptera att vissa saker inte går att göra på ett tillräckligt säkert sätt i molnet.
Vägledning för säker upphandling
MSB arbetar nu med en vägledning för säker upphandling, där man också söker samarbete med Kammarkollegiet.
– Kammarkollegiet har ju 700 potentiella kunder på sina ramavtal, så det är självklart viktigt för oss att nå dem med detta, säger Fia Ewald.
Men även om man gör en säker upphandling måste man ha en planering för att saker går snett. Och man måste kräva samma sak av leverantören och dess underleverantörer. Fullständig säkerhet finns inte.
– Många använder Kammarkollegiets avtal och utgår ifrån att alla säkerhetsfrågor finns omhändertagna där och att man därmed inte själv behöver definiera sina säkerhetskrav. Så funkar det inte. Men det finns en risk för ett slags omvänd ”guilt by association”, som jag ibland kallar ”cred by association”, det vill säga att man tror att bara för att en annan myndighet till exempel använder en viss tjänst så har de också gjort en välgrundad bedömning om dess säkerhet.
Fia Ewald ser en särskild utmaning i att det nu även planeras för offentliga molntjänster och outsourcing, bland annat genom den tänkta nya servicemyndigheten. Det kan till och med bli så att regeringen ålägger myndigheter att lägga stödverksamhet hos den nya myndigheten.
– Vem har då det yttersta ansvaret för att stödverksamheten fungerar? undrar Fia Ewald.
Hon är också osäker på hur man ska kunna skapa en tillräcklig förmåga att hantera allvarliga incidenter.
– Tieto skickade in flera hundra specialister från hela Norden för att snabbt hantera krisen i november 2011. Kommer den tänkta servicemyndigheten att ha samma kapacitet och kompetens om något händer där?
Svante Werger
Myndigheten för samhällsskydd och beredskap
Saxat ur MSB:s rapport om Tieto-störningen:
”Incidenten visar … att en driftstörning hos en stor it-driftleverantör kan påverka hela samhället och att konsekvenserna kan bli omfattande.”
”Särskilt fokus bör läggas på riskanalyser och kontinuitetsplanering både som stöd för upphandlingar och för att minska konsekvenserna av IT-incidenter.”
”… aktörerna i krisberedskapssystemet behöver utveckla förmågan vad gäller lägesbilder samt samlade konsekvens- och hanterandebedömningar. /…/ Det behöver även utvecklas system för itincidentrapportering.”
Rapporten ”Reflektioner kring samhällets skydd och beredskap vid allvarliga IT-incidenter: En studie av konsekvenserna i samhället efter driftstörningen hos Tieto i november 2011” finns att ladda ner från www.msb.se.