Tieto-haveriet avslöjade brister
Det stora datahaveriet hos it-driftleverantören Tieto i höstas avslöjade brister i den nationella krishanteringen. Affärssekretess gjorde det svårt för myndigheterna att bilda sig en uppfattning av samhällskonsekvenserna.
"Bättre planering när det gäller pengar än för liv och service"
Det framgår av MSBs rapport efter haveriet. MSB saknar tvingande befogenheter och är beroende av privata aktörers samarbetsvilja.
– I en sån här situation har vi otillräckliga verktyg i hela skalan. Det är svårt att skapa en lägesbild när ingen har den totala överblicken, säger Fia Ewald, MSB.
Den 25 november förra året ledde ett hårdvarufel till driftstopp i 1 800 servrar hos Tieto.
46 av Tietos kunder drabbades och bland annat slogs väsentliga delar av it-stödet ut hos Bilprovningen, Apoteket AB och flera svenska kommuner.
Vissa kunder kom lindrigt undan medan de värst drabbade inte kunde använda sina it-lösningar under flera veckor.
Det direkta felet tog två dagar att åtgärda och först då offentliggjorde Tieto problemet.
Måndag 28 november aktiverade MSB den Nationella samverkansfunktionen för informationssäkerhet.
Det övervägdes att aktivera MSBs nationella plan för allvarliga it-incidenter, samhällets funktionalitet bedömdes inte vara allvarligt hotad.
MSB tog tidigt kontakt med Tieto som inte ville lämna ut information med hänvisning till affärssekretessen.
MSB blev hänvisat att följa händelseutvecklingen genom öppna källor och egna kontaktnät. Via dessa kanaler var det svårt att skaffa sig en samhällsövergripande bild av situationen och MSB begärde in lägesrapporter från ett antal berörda myndigheter.
I sin rapport skriver MSB att informationssäkerhetsarbetet behöver stärkas ytterligare – på alla ansvarsnivåer och inom alla sektorer. Behovet av privat-offentlig samverkan är stort beroende på att de offentliga aktörerna i så hög grad förlitar sig på privata tjänsteleverantörer.
MSB betonar vikten av bra avtal med leverantören men inte heller det är någon garanti. Tieto och andra leverantörer har sagt att de gör egna prioriteringar av vad som är samhällsviktig verksamhet vid ett krisläge.
Det innebär att även kunder som gör en omfattande planering och skriver bra avtal ändå inte kan vara säkra på att få den leverans de avtalat. En klar definition av samhällsviktig verksamhet efterlyses av alla parter.
– Tieto kan omöjligen prioritera samhällsviktig verksamhet, men de gör det så länge ingen annan kan göra det och det är ingen lyckad lösning, säger Fia Ewald.
Enligt Fia Ewald var det en slump att händelsen inte fick allvarliga följder.
– Nu kunde man hantera situationen, men till väldigt stora kostnader. Gäller det pengar är kontinuitetsplaneringen bättre, men sämre där det handlade liv och service. Om det i stället drabbat vård och omsorg kunde konsekvenserna blivit katastrofala. Haveriet blev en nyttig ögonöppnare för många.
MSB anser att det bör övervägas en obligatorisk it-incidentrapportering för både statliga myndigheter och kommuner, något som myndigheten nu fått ett uppdrag från regeringen att utreda vidare.
En viktig fråga som behöver hanteras är hur lägesinformation ska kunna inhämtas från privata aktörer.
Obligatorisk it-incidentrapportering står knappast på önskelistan hos leverantörerna, däremot samarbete.
– Jag tror att man i normalläget måste arbeta tillsammans och tydligt definiera informationsbehov och hur det ska hanteras utan att kundsekretess bryts. Då kan man identifiera om det finns känsliga punkter och hur man kan hantera dem. Utredningar som riskerar att offentliggöra affärs- och kundkonfidentiell information offentligt kommer inte att fungera. Vi kan inte rapportera direkt utan det måste gå via våra kunder och deras tillsynsmyndigheter om de har sådana, säger Christer Mattsson, på Tieto.
Stefan Larsson, säkerhetschef på Apotekens Service AB, är inte helt främmande för att även vissa privata aktörer ska ha rapporteringsskyldighet:
– En svår fråga som måste knytas till de avtal som tecknas. För samhällskritisk verksamhet, om den påverkas, skulle man kunna tänka sig en motsvarande obligatorisk incidentrapportering, säger Stefan Larsson.
Enligt it- och energiminister Anna-Karin Hatt är kontakter med nyckelaktörer både nationellt och internationellt en förutsättning för att skapa en gemensam lägesbild. En annan förutsättning är rapportering av it-incidenter. Eftersom den frivilliga rapporteringen av it-incidenter visat sig otillräcklig är obligatorisk rapportering en tänkbar lösning.
– Regeringen har gett MSB i uppdrag att titta vidare på hur Sverige ska kunna få ett funktionellt system för it-incidentrapportering. Jag kan inte utesluta att även privata företag under vissa omständigheter kan komma att omfattas av ett sådant system, säger Anna-Karin Hatt.