Decentraliseringen av IT-drift och långtgående digitalisering ett säkerhetshot

Sedan i fredags har Coop kämpat mot klockan för att öppna upp varuhusen runt om i landet sedan en av kedjans underleverantörer drabbats av en IT-attack i form av en digital utpressning till ett belopp om 600 miljoner svenska kronor.

Igår kväll kom rapporter om att ytterligare rikstäckande kedjor drabbats av problem identiska med de som Coop och Apoteket Hjärtat haft med sina betalsystem.

Varför händer detta nu? Det finns inget enkelt svar på det. Vissa länder drabbas hårdare än andra. Till dessa hör Sverige vars storföretag under minst ett decennium drivit en mycket hård decentralisering av IT-driften samtidigt som vi digitaliserat betalningssystemet i en omfattning som få andra länder gjort. De flesta svenskar har inte mer än ett par 500-lappar hemma, i bästa fall. När de digitala betalsystemen slås ut som i Coops fall då tvingas butikerna stänga eftersom de inte kan ta betalt.

Decentralisering och outsourcing

Sedan åtminstone slutet på 00-talet har mycket av den dagliga IT-driften decentraliserats och outsourcats i många storföretag. Man har inte sett IT som en strategisk och verksamhetskritisk funktion utan som en tjänst man köper precis som man köper lokalvård eller kaffemaskiner på serviceavtal. En långgående decentralisering leder till att bolagen hamnar i händerna på leverantörerna, som ofta är de stora IT-konsulterna. De har med åren fått alltmer inflytande över strategiska och verksamhetskritiska beslut hos kunderna som t ex nivån på cyber- och informationssäkerhet och IT-säkerhet. Även om leverantörerna genomför olika kontroller av sina anställda man ändå utlämnad till strategiska partner. De företag som däremot satsat på IT-drift inhouse har istället stärkt kontrollen, behållt och vidareutvecklat kompetensen.

Cyber- och informationssäkerhet ett ledningsansvar

Enligt aktiebolagslagen är säkerhetsfrågorna oavsett var de rent organisatoriskt eller linjemässigt finns i verksamheten företagsledningens ansvar. Ytterst är det en fråga för både VD och styrelsen. Styrelsen måste vara sammansatt så att man kan uppdraga åt VD att prioritera cyber- och informationssäkerhetsarbetet som en verksamhetskritisk funktion. Dessa områden ska ha samma höga prioritet som det övriga säkerhetsarbetet i bolaget.

Naturligtvis måste man alltid väga kostnaden för en åtgärd mot risk. En risk behöver också ställas mot konsekvenserna om det värsta inträffar. En oacceptabel konsekvens av en risk får aldrig accepteras utan åtgärd. Sen kan åtgärderna se olika ut. Men företagsledning kan komma undan med att påstå att det som hände Coop är en extraordinär händelse. I en lång rad rapporter har såväl MSB (Myndigheten för Samhällsskydd och Beredskap) och olika branschorgan varnat bolagen för konsekvenserna av den långtgående decentraliseringen och outsourcingen av drift och andra nyckelfunktioner.

Ansvaret för det som hänt är företagsledningens, ytterst VD och styrelse. Aktieägarna ska kräva av ledningen att de förstår sin egen verksamhet när det kommer till att kartlägga och skydda företagets informationstillgångar. För i slutändan handlar det om veta vad som är skyddsvärt och sedan göra allt för att dessa skyddas. I detta ligger hela bolagsvärdet. Driver man en verksamhet där IT-driften är en del av affären då måste man självklart ha stenkoll på hela leverantörskedjan vilket innefattar leverantörens underleverantörer. IT-avdelningen måste förstå samtliga beroenden och hur de vid en attack påverkar verksamhetens affär. För kan man inte sälja därför att betalsystemet har blockerat av en attack då har man inga intäkter. Och utan intäkter kan man inte betala leverantörer, löner eller lokalhyror. Den här typen av händelser slår dessutom mot bolagets likviditet som bolagets Goodwill.

Omfattande cyberattack stänger Coop-varuhus

Coop Sverige drabbades på fredagseftermiddagen av en omfattande cyberattack som riktades mot en underleverantör av varuhuskedjans kassa- och betalsystem. Attacken har lett till att butikerna fått stänga eftersom man inte kan ta betalt av kunderna.

Efter att Coop under hela gårdagkvällen och natten arbetat med att få igång kassa- och betalsystemet igen tvingades man på lördagen meddela att samtliga butiker i Sverige med några undantag håller stängt idag. Det finns ingen prognos för när underleverantören och Coops IT-avdelning lyckats återställa systemet till stabil drift igen.

Flera butikskedjor drabbade

Även Bauhaus och Apoteket Hjärtat tillhör de butikskedjor som drabbats eftersom de använder samma leverantör av kassa- och betalsystem. Enligt flera experter handlar det om att riktad cyberattack där inslag av utpressning kan förekomma. Samtliga butikskedjor uppger att man arbetar för fullt med att få IT-systemen att bli stabila igen så att man kan återgå till normal drift.

Låg beredskap för cyberattacker

Svenska företag och myndigheter har generellt otillräcklig beredskap för cyberattacker. Det är något som Myndigheten för Samhällsskydd och Beredskap (MSB) konstaterat i en rad rapporter de senaste åren.

En orsak är att många företag och myndigheter har decentraliserat sina IT-avdelningar och lagt ut verksamhetskritiska IT-drift och IT-funktioner på underleverantörer. Så fort man lägger IT-driften och därmed vissa funktioner på en underleverantör tappar man helheten. Men tappar inte bara kontrollen utan får också en avsevärt längre startsträcka vid attacker mot infrastruktur och drift.

Cyberattack slog ut taxi i hela Norden

Alkolåset AL-100 (Foto: Dignita)

Natten mot fredagen slogs stora delar av Göteborgs Taxi ut när alkolåsen i bilarna slutade fungera. Problemet drabbade omkring 300 av bolagets bilar fick till följd att bilarna stod stilla.

Under dagen stod det klart att det handlade om en misstänkt cyberattack mot tillverkaren Dignita och deras alkolås AL-100. Enligt företaget handlar det om en global datummanipulation som drabbade kunder i hela Norden.

Vid middagstid hade tillverkaren en lösning på problemet och taxibilar och andra fordon i yrkestrafik kunde rulla in till servicedepåerna runt om i landet för åtgärd. Eftersom ett mycket stort antal fordon och företag drabbades tog det flera timmar innan bilarna åter var i trafik.

En del utryckningsfordon är också utrustade med AL-100 men det var oklart vilka konsekvenser händelsen fick för utryckningsverksamheten eller om incidenter kopplade till cyberattacken inträffat.

Vid lunchtid på fredagen meddelade Taxi Göteborg att leverantören hade hittat en lösning och att samtliga bilar efter besök på serviceverkstad skulle vara i trafik igen.

Länk till Taxi Göteborg

Länk till Dignita

Manipulerat alkolås stoppade 300 av Taxi Göteborgs bilar (Sveriges Radio P4 Göteborg)

Hundratals taxibilar kunder inte köras – fel på alkolås (SVT Väst)

Global cyberattack slog ur yrkestrafik med alkolås – (GöteborgsPosten)

Akut tekniskt fel på alkolåset hindrar Göteborgs taxibilar att rulla

Fakta – så här fungerar ett alkolås