Tyskland, Belgien och Nederländerna hårt drabbade av stormen Bernd

Den belgiska staden Liège med cirka 200.000 invånare har drabbats mycket hårt av stormen Bernd, som dragit fram över Centraleuropa. Uppskattningsvis 400.000 människor är drabbade i främst västra Tyskland och i Belgien. I staden Venlo i Nederländerna evakuerar man 10.000-tals människor efter att en barriär mot havet underminerats. Minst 180 personer har hittills bekräftas omkomna i Bernd. Ytterligare ett 1.000-tal människor saknas.

Minst 129 döda

Minst 129 personer, varav två tyska brandmän, har omkommit i ovädret. Minst 1.000 personer har rapporterats som saknade. Från officiellt håll befarar myndigheterna att dödssiffran kan komma att stiga ytterligare. En del fastigheter rasade samman av vattenmassorna och på andra håll har vattnet stigit mellan 8-12 meter över den normala nivån.

Tyskland hårt drabbat

Det land som hittills drabbats hårdast är Tyskland. Och där har också de lokala myndigheterna fått hård kritik för att man inte tog vädervarningarna från EFAS på större allvar så att en evakuering hade varit möjlig i ett tidigare skede. Sverige står redo att bistå de länder som efterfrågar hjälp, det säger Myndigheten för Samhällsskydd och Beredskap (MSB). Någon officiell begäran har ännu inte kommit från den tyska regeringen men om det kommer en sådan är MSB beredd att med kort varsel bistå Centraleuropa.

Stormen Bernd är den värsta i sitt slag i modern tid i Europa. Katastrofen som nu drabbat Centraleuropa är också den svåraste i modern tid.

Decentraliseringen av IT-drift och långtgående digitalisering ett säkerhetshot

Sedan i fredags har Coop kämpat mot klockan för att öppna upp varuhusen runt om i landet sedan en av kedjans underleverantörer drabbats av en IT-attack i form av en digital utpressning till ett belopp om 600 miljoner svenska kronor.

Igår kväll kom rapporter om att ytterligare rikstäckande kedjor drabbats av problem identiska med de som Coop och Apoteket Hjärtat haft med sina betalsystem.

Varför händer detta nu? Det finns inget enkelt svar på det. Vissa länder drabbas hårdare än andra. Till dessa hör Sverige vars storföretag under minst ett decennium drivit en mycket hård decentralisering av IT-driften samtidigt som vi digitaliserat betalningssystemet i en omfattning som få andra länder gjort. De flesta svenskar har inte mer än ett par 500-lappar hemma, i bästa fall. När de digitala betalsystemen slås ut som i Coops fall då tvingas butikerna stänga eftersom de inte kan ta betalt.

Decentralisering och outsourcing

Sedan åtminstone slutet på 00-talet har mycket av den dagliga IT-driften decentraliserats och outsourcats i många storföretag. Man har inte sett IT som en strategisk och verksamhetskritisk funktion utan som en tjänst man köper precis som man köper lokalvård eller kaffemaskiner på serviceavtal. En långgående decentralisering leder till att bolagen hamnar i händerna på leverantörerna, som ofta är de stora IT-konsulterna. De har med åren fått alltmer inflytande över strategiska och verksamhetskritiska beslut hos kunderna som t ex nivån på cyber- och informationssäkerhet och IT-säkerhet. Även om leverantörerna genomför olika kontroller av sina anställda man ändå utlämnad till strategiska partner. De företag som däremot satsat på IT-drift inhouse har istället stärkt kontrollen, behållt och vidareutvecklat kompetensen.

Cyber- och informationssäkerhet ett ledningsansvar

Enligt aktiebolagslagen är säkerhetsfrågorna oavsett var de rent organisatoriskt eller linjemässigt finns i verksamheten företagsledningens ansvar. Ytterst är det en fråga för både VD och styrelsen. Styrelsen måste vara sammansatt så att man kan uppdraga åt VD att prioritera cyber- och informationssäkerhetsarbetet som en verksamhetskritisk funktion. Dessa områden ska ha samma höga prioritet som det övriga säkerhetsarbetet i bolaget.

Naturligtvis måste man alltid väga kostnaden för en åtgärd mot risk. En risk behöver också ställas mot konsekvenserna om det värsta inträffar. En oacceptabel konsekvens av en risk får aldrig accepteras utan åtgärd. Sen kan åtgärderna se olika ut. Men företagsledning kan komma undan med att påstå att det som hände Coop är en extraordinär händelse. I en lång rad rapporter har såväl MSB (Myndigheten för Samhällsskydd och Beredskap) och olika branschorgan varnat bolagen för konsekvenserna av den långtgående decentraliseringen och outsourcingen av drift och andra nyckelfunktioner.

Ansvaret för det som hänt är företagsledningens, ytterst VD och styrelse. Aktieägarna ska kräva av ledningen att de förstår sin egen verksamhet när det kommer till att kartlägga och skydda företagets informationstillgångar. För i slutändan handlar det om veta vad som är skyddsvärt och sedan göra allt för att dessa skyddas. I detta ligger hela bolagsvärdet. Driver man en verksamhet där IT-driften är en del av affären då måste man självklart ha stenkoll på hela leverantörskedjan vilket innefattar leverantörens underleverantörer. IT-avdelningen måste förstå samtliga beroenden och hur de vid en attack påverkar verksamhetens affär. För kan man inte sälja därför att betalsystemet har blockerat av en attack då har man inga intäkter. Och utan intäkter kan man inte betala leverantörer, löner eller lokalhyror. Den här typen av händelser slår dessutom mot bolagets likviditet som bolagets Goodwill.