I slutet av 2011 slogs ett 50-tal kunders servrar i Tietos serverhallar ut. Det berodde på ett hårdvarufel i ett lagringssystem och fick stora konsekvenser för bolagets kunder. Fia Ewald var vid tidpunkten enhetschef för samhällets systematiska informationssäkerhet på MSB och ansvarade för att hålla ihop myndighetens arbete kring den så kallade ”Tieto-incidenten”.
Experten efter attacken: ”Säkerhet måste sluta vara en it-fråga”
Säkerhet
Hackerattacken mot Tietoevry har fått stora konsekvenser för både företag och offentliga organisationer. Nu efterlyser säkerhetsexperten Fia Ewald mer handlingskraft kring it-säkerhet från MSB.

Någonting är fel
Läs vidare – starta din prenumeration
Hon ser tydliga paralleller med det som nu har inträffat och det som hände då.
– Min personligen kanske viktigaste lärdom från den förra Tieto-incidenten var vikten av kontinuitetshantering. Tyvärr undviker företag och offentliga organisationer fortfarande i regel att prioritera det arbetet, säger Fia Ewald som numera är konsult i egen regi kring informationssäkerhetsfrågor
Det är fortfarande mycket som är oklart kring exakt vad som har hänt och hur stor omfattningen är efter den senaste attacken mot Tietoevry.
– Exakt vad som har hänt är det ju ingen som vet, men en trolig hypotes är att det inte segmenterats tillräckligt. Det beror på att det kravet inte varit tillräckligt tydligt på upphandlingsstadiet.
– Leverantörerna kommer alltid köra så öppet som möjligt helt enkelt eftersom det är mest lönsamt för dem. Men det leder till stora sårbarheter.
Experten tycker att det är tråkigt att den förra arbetsgivare MSB ännu inte tagit fram en praktisk vägledning kring hur de här frågorna ska hanteras ut ute i verksamheterna.
Det är i princip omöjligt för en enskild kommun att ställa den här typen av krav mot en stor leverantör oavsett om de heter Tietoevry eller någonting annat.
– Men om en myndighet tar fram riktlinjer kommer leverantörerna att behöva anpassa sin infrastruktur och sitt arbetssätt.
Att förståelsen för vikten av ett fungerande kontinuitetsarbete kring säkerhetsfrågor saknas tycker Fia Ewald inte är särskilt konstigt.
– Nej, eftersom det är väldigt kostnadskrävande. I praktiken innebär kontinuitet i det här sammanhanget att du kanske måste ha åtminstone 20 procent överkapacitet hela tiden både när det kommer till organisation och teknik. Du kan inte normalläget leva på det yttersta gränsen för vad organisationen klarar av.
Och det gör många företag och organisationer idag?
– Absolut. Många medarbetare inser så klart det här, men har ändå det motigt på sina arbetsplatser eftersom den här typen av kostnader anses som väldigt tråkiga.
Är det något som blivit bättre de senaste tolv åren?
– De tekniska lösningarna har nog på vissa sätt blivit bättre i form av möjligheterna till övervakning, reservkraft och sådana saker. Samtidigt är dagens it-miljöer ännu mer komplexa så vi har inte blivit mindre sårbara.
Fia Ewald tycker att det i många organisationer fortfarande verkar finnas en stor dos naivitet kring säkerhetsfrågan.
– Många tror ”det där kommer aldrig drabba oss”, men alla som jobbar med säkerhet vet att det inte är en fråga om man kommer drabbas av en incident utan när.
– Det investeras väldigt mycket i olika former av digitaliseringsverktyg men det är väldigt sällan säkerhetskostnaderna tas med inför utrullningar.
En stor bov i dramat är enligt experten att cybersäkerhet fortfarande i många fall ses som en it-fråga och inte en verksamhetsfråga.
– Kontinuitet kräver att du har kontroll över din organisation, dess processer och dess informationshantering. Det är absolut ingen it-fråga utan en ledningsfråga.
Många har förhoppningen att NIS2-direktivet som börjar gälla i höst ska få säkerhet att bli en mer prioriterad fråga.
– Men för att NIS ska göra skillnad måste ju myndigheterna ta fram metoder för hur det här arbetet ska gå till. Det räcker inte att bara ställa krav.
Denna artikel var tidigare publicerad på tidningen telekomidag.se