Jag har läst DN:s intervju med Tietoevrys Sverigechef fyra eller fem gånger nu. Den känns inte på riktigt. Den är surreal­istisk. Tieto­evry vet inte något alls, inte en sus­ning, om hur deras system har hackats. De vet bara att de själva garanterat inte har brus­tit i något led. Men an­griparna har väl knappast tillämpat magi, försöker artikel­författaren Linus Larsson försiktigt framhärda: nog måste det funnits säkerhets­hål? Det vet vi inte, menar Sverige­chefen Venke, för Tieto­evrys säker­het är absolut till­räck­ligt hög.

Vi lever i en tid med en amerikansk presidentkandidat som inte kan binda ihop två sammanhängande meningar men som journalister och experter ändå tvingas hantera på ett låtsat allvar. Jag menar inte att Tietoevrys hållning tas på allvar av DN. Men att den över huvud taget kan uttryckas på det här sättet är ett tecken i tiden. 

När makthavare börjar uttala sig tvärsäkert om sin egen skuldlöshet trots mängder av motbevis uppstår ett Orwellianskt språkbruk som får oss att ifrågasätta sanningen som väsen. Som får oss att tvivla på vår egen förmåga att förstå, då absurditeten är så uppenbar. Som konstform är denna nutidssurrealism otvivelaktigt kittlande, men som vägvisare för en mer rättvis värld direkt bedräglig.

Vi kan inte låta sådana här ologiska uttryck för ansvarslöshet leta sig in i den allmänna diskursen som accepterade försvarstal. Vi pratar om en it-leverantör vars system hanterar en betydande del av den svenska befolkningens personliga data och informationsöverföringar.

Ansvarslösa IT-leverantörer

Frånvaron av ansvarstagande hos it-leverantörer har varit en stark drivkraft i mitt engagemang för digital etik. Två faktorer, makt och ansvar, är grundpelare för att förstå obalansen i tech-världen.

1. Vem har makten över (a) människors förmåga till kommunikation och (b) över lagring och tillgång till deras kritiska information?
2. Vem tar ansvar när den digitala lösningen som skulle ombesörja (a) trygg kommunikation och (b) trygg lagring av information inte fungerar?

Vi lever i en värld där ofärdiga digitala produkter levereras som regel snarare än undantag. När fel upptäcks i produkterna får beställarna (inte sällan kommuner, myndigheter och regioner) betala ännu mer för att få dem lagade. Det är på något sätt underförstått, och accepterat, att produkten eller tjänsten man köper aldrig är färdig.

Att man skulle få kompensation för en ofärdig produkt är idag en naiv tanke. Du får vackert vänta och hoppas på nästa uppgradering. Eller betala dig fri.

Ofärdiga lösningar är ett signum för digitaliseringen – nästan som ett symtom för nutidssurrealismen. Men det är kanske oförmågan att ta ansvar när tydliga brister upptäcks som svider mest.

Man kan till exempel skylla ifrån sig på:

• Utvecklingsramverk från tredje part som man själv valt att göra sina tjänster beroende av
• Personal som till exempel inte vet hur man gör tillgängliga tjänster, eller vad som utgör fullgott dataskydd
• Att andra leverantörer minsann arbetar på samma sätt
• Att det var en underleverantör som gjorde fel
• Att kravställningen inte var tillräckligt tydlig (så vi struntade i säkerheten)
• Att utvecklingen går så oerhört snabbt att vi hela tiden måste göra “kompromisser”
• Att någon annan ändrade i vår kod (men vi har ingen aning om hur det gick till)
• Det som är den nya favoritkandidaten bland undanflykter: vårt verktyg "hallucinerar” (det blir bättre i framtiden, jag lovar)
• Eller varför inte det grepp som Venke Bordal tar: "Sverige är omoget inför den här typen av kriminalitet." (men inte vi)

Och ändå, om och om igen, får samma leverantörer ett långtgående förtroende att hantera kritisk kommunikation och information. De kan inte göra fel. Historien har visat dem att de behöver inte ta ansvar. Det finns gott om empiriska skäl för hybris.

Kanske än mer gruvsamt: de vanliga medborgare, patienter, löntagare, biobesökare och trädgårdsentusiaster, vars information bor och flödar i dessa system, har förstås noll och intet att säga till om detta.

Kejsaren har inga kläder, inget fog för sina påståenden, men det är oerhört lönsamt för branschen om fler människor tror att de inte förstår tillräckligt för att avgöra det.

Från DN-intervjun

Jag vill påstå att det är direkt farligt om en leverantör, när vi utsatts för den mest omfattande ransomware-attacken i Sveriges historia, helt enkelt kan gå ut i en av de största dagstidningarna och utan belägg påstå att de inte har gjort några som helst fel. Och i samma andetag be kunderna betala mer om de vill ha mer säkerhet.

Läs gärna det föregående stycket igen, för jag tror inte vi alltid tar till oss vidden av hur galet det nu har blivit.

Lägg märke till Linus Larssons hänvisning till magiska krafter i den här ordväxlingen. Jag tycker det är signifikant för att till fullo ta till sig av det absurda i hela intervjun:

Linus Larsson i DN (LL): "Menar du att den här attacken inte alls är kopplad till att ni har brustit i något led?"
Tietoevrys Sverigechef Venke Bordal (VB): "Ja, det menar jag."

LL: "Men angriparna är inte magiker, de utnyttjar säkerhetshål."
VB: "Vi vet inte hur man har attackerat här. Men ja, jag vågar påstå att vi har en väldigt hög säkerhet."

LL: "Tillräckligt hög?"
VB: "Ja."

LL: "Finns det inget ni kunde ha gjort för att stoppa det här?"
VB: "Det vet jag inte, för vi vet inte hur det här hände. Vi har inte de svaren, det får polisutredningen svara på."

Venke Bordal går sedan vidare och menar att kunderna själva har ansvar för hur mycket säkerhet de vill ha, och använder sig av bilmärken som metafor:

"Du kan köpa en Rolls-Royce, eller du kan köpa en Skoda. Kunden måste själv bedöma utifrån sin verksamhet, hur kritisk är den? Nöjer jag mig med en Skoda som är säker och bra eller behöver jag Rolls-Royce?"

Ursäkta mig men har Tietoevry tjänster som de säljer som de menar är mer mottagliga för attacker? Köp vårt budgetpaket men räkna med 2-3 dataintrång per år? De har alltså paket med nivåer av sårbarheter som de tycker att vissa kunder ska acceptera? Fundera gärna på vad det uttalandet innebär några varv extra.

Har du som kund inte betalat tillräckligt så får du skylla dig själv om du råkar ut för ett dataintrång. ✳️

Och skulle det ändå hända något trots att du köpt Rolls-Royce? Ja men skyll dig själv igen. Vi sa inget om hur ofta du skulle bli påkörd. Vi sa bara att den var dyrare. Du köpte inte en lastbil. Det här är en dans, och det är inte du som för. Du följer.

Tietoevry har blottat sig. De har inga kläder. Så här ser det inte ut när man bedriver en verksamhet som tar ansvar för sina egna tjänster.

Läs vidare i del 2.

Lästips

Min egen del 2 om ursäkter och pressmeddelanden:

Tietoevry ber om ursäkt och förtydligar att det är uppriktigt

“Våra säkerhetsexperter har bedömt de potentiella attackvektorerna, och genomfört relaterade säkerhetsverifieringar.” Det är svårt att föreställa sig något mer intetsägande som uttryck för ansvarstagande och åtgärdshantering i den här härvan kring Tietoevry som jag skrev om för ett par dagar sedan. Citatet återkommer både i Sverigechefens ursäkt som förmedlas via

axbomPer Axbom

Den mest djupgående bevakningen av ransomware-attacken 2024 hittar du hos Karl Emil Nikka:

Listan: Företagen som har drabbats av Tietoevry-attacken – Nikka Systems

Här är listan över organisationer som har påverkats av januari­attacken mot Tietoevrys svenska datacenter.

Nikka SystemsKarl Emil Nikka

DN:s artikelserie

Tietoevry efter attacken: Inga brister i vår it-säkerhet

Tre veckor efter cyberattacken har it-företaget Tietoevry fortfarande ingen aning om hur angriparna tog sig in.

Dagens Nyheter

20 år av data borta – hackarna kom åt säkerhetskopior

20 års data borta. Hackarna kom åt och förstörde säkerhetskopior.

Dagens NyheterLinus Larsson Text

Fyra veckor efter cyberattacken – 30 procent fortfarande nere

Nästan fyra veckor efter cyberattacken mot Tietoevry ligger nästan en tredjedel av kundernas it-tjänster fortfarande nere.

Dagens NyheterLinus Larsson Text

Anställda som uttalar sig

Oron inifrån hackade it-jätten: ”Kommer ta månader”

Hackerattacken mot det privata it-bolaget slog mot myndigheter, regioner och flera stora företag. Efter två veckor av att släcka bränder, vittnar nu en anställd

AftonbladetFoto: Fredrik Varfjell / NTB

Historik kring Tietos it-haveri 2011

Haverirapport: Tieto vägrade berätta

Samtidigt som Sverige skakades som allra värst av Tietos it-haveri före jul, vägrade företaget att berätta för krisberedskapsmyndigheten MSB vilka myndigheter som var drabbade. Tieto hänvisar till affärssekretessen.

Computer Swedentomaszirn

Reflektioner kring samhällets skydd och beredskap vid allvarliga it-incidenter : en studie av konsekvenserna i samhället efter driftstörningen hos Tieto i november 2011

MSB logotyp, länk till startsidan

Kommentarer

2024-02-16 • M Hammarstrand:

Läs artikeln av Joakim Arstad Djurberg; «”Ska säljas eller noteras” – därför ratar Tietoevery sorgebarnet.»

Publicerad 5 maj 2023.

Apropå cyberattacken i januari 2024 så förefaller det som att företagsledningen känner till att de har allvarliga problem.

«Det nyligen sammanslagna Tietoevry Tech Services ska trimmas inför en eventuell försäljning eller särnotering. Och att det är just den delen som den nordiska konsultjätten vill ta itu med förklaras av gårdagens kvartalsrapport. ”Vi måste följa signalerna på marknaden”, säger koncernchefen Kimmo Alkio.»

Källa: ComputerSweden.se/article/1275288/ska-saljas-eller-noteras-darfor-ratar-tietoevery-sorgebarnet.html