Tietoevry ber om ursäkt och förtydligar att det är uppriktigt

Tietoevry ber om ursäkt och förtydligar att det är uppriktigt
Bildbeskrivning

"Våra säkerhetsexperter har bedömt de potentiella attackvektorerna, och genomfört relaterade säkerhetsverifieringar." Det är svårt att föreställa sig något mer intetsägande som uttryck för ansvarstagande och åtgärdshantering i den här härvan kring Tietoevry som jag skrev om för ett par dagar sedan. Citatet återkommer både i Sverigechefens ursäkt som förmedlas via Ny Teknik, och i Tietoevrys eget pressmeddelande.

Tietoevry går hårt in för att inte berätta mer om detaljer kring attacken. Förvisso har de redan uttryckt i DN att de ingenting vet, men budskapet tycks vara att även om de skulle få till sig någon ny kunskap så är det inget de vill dela med sig av.

"På grund av attackens kriminella karaktär och av säkerhetsskäl kommer Tietoevry inte att offentligt dela med sig av tekniska detaljer om attacken, återställningen eller kunder som påverkats."

Sannolikt får vi invänta närmare detaljer, utöver att man "bedömt potentiella attackvektorer", från polisutredningen. Men polisutredningen är föga förvånande inte utan sitt eget drama, då polisen säger att de inte fått all nödvändig information från Tietoevry medan Tietoevrys svarar med andemeningen att "Joho, det har ni visst."

Visst säger man att nuet rimmar med det förflutna, för det var ungefär den kritiken som framfördes i den statliga utredningen som blev klar 2012. Tieto delade inte med sig av tillräcklig information efter att ett hårdvarufel slog ut ett 50-tal kunder i upp till flera veckor. Det felet var så vitt vi vet inte av "kriminell karaktär".

Computer Sweden skrev då (februari 2012):

Företaget anklagas för att ha tjuvhållit på tekniska detaljer, till exempel om vilken typ av utrustning som gick sönder. Det gör det omöjligt för andra företag att dra lärdom och förhindra att samma sak upprepas.

Allvarligast av allt är kanske att Tieto misstänks ha använt "kostnadsbesparande teknik" som orsakade eller förvärrade driftstörningen.

Vem vet, kanske hade Tietoevry köpt en Skoda i stället för en Rolls-Royce?

Nu pudlar Sverigechefen efter det senaste PR-haveriet i DN och skriver till Ny Teknik att "Mina svar blev inte som de var tänkta". Nu kom skräddarsydda citat via mejl, som alltså i vissa delar är en kopiera-och-klistra-manöver från samma källa som pressmeddelandet.

"Svaren [i DN-intervjun] speglar inte hur vi ser på saker och ting" skriver Bordal till Ny Teknik, och undviker i stort att tala om hur de ser på saker och ting.

Digitalisering är svårt och vi lär oss

Som kommunikatör följer jag med intresse hur det som gått från ett it-haveri och informationshaveri nu förgrenar sig till ett kommunikationshaveri. Förtroendehaveriet ligger som en våt filt över dem alla.

Läs gärna Tietoevrys pressmeddelande. Det är något av en fallstudie i att säga så litet som möjligt, det självklara, och i att ducka för de svåra frågorna. I ursäkten som absolut uttrycks citeras koncernchefen som sägandes:

"Vi beklagar djupt de utmaningar som denna illvilliga attack har orsakat våra kunder och som en konsekvens även har drabbat många andra grupper och individer. Ransomware-attacker skapar kritiska och svåra situationer, och Tietoevry har tagit detta på största allvar från början, och fortsätter att arbeta med hög beredskap och dedikerade experter. Den snabbt föränderliga cybersäkerhetsmiljön i kombination med samhällets ökande beroende av digitala tjänster fortsätter att kräva att vi som tjänsteleverantör ständigt förbättrar vår realtidsvy över möjliga hot och kontinuerligt säkra och stötta kontinuiteten i våra kunders verksamhet."

Vilket går att läsa som: "Vi ber om ursäkt men digitalisering är jättesvårt och vi behöver förstå en massa mer för att kunna sköta det här på ett bra sätt." Mellan raderna finns också: "våra anställda hade inte tillräcklig koll på det här". Vilket man kan fundera över hur det tas emot av medarbetarna .

Man önskade nästan att ransomware-attacker var ett mer känt fenomen. 🧐

💰
Är det för övrigt inte lite speciellt att alla skriver om detta som en ransomware-attack men ingen aktör tycks ha begärt någon "ransom". Ingenstans verkar det ha uttryckts krav på en lösensumma med löfte om återställning. Om en ransomware-attack genomförs men ingen begär en lösensumma, vad tillför begreppet "ransomware" mer än vilseledning?

Det kvarstår 30% men går 100% att nå?

Jag får absolut ge Tietoevry beröm för att de mitt i allt undanhållande av information ändå är transparenta med hur mycket som är kvar att återställa nästan fyra veckor efter attacken. Återuppbyggnaden av kundernas tjänster ligger för närvarande endast på cirka 70 %, skriver de. De använder förvisso inte ordet "endast".

Vi får heller ingen förståelse för huruvida det ens går att återställa tjänsterna till 100%, vilket några av deras kunder tycks mena är omöjligt. Tandvårds- och läkemedelsförmånsverket säger till DN att de förlorat 20 års data. Det förlorade värdet är svårt att ta till sig.

Vellinge kommun kommer nu behöva betala ut löner till personal som har slutat eftersom man baserar nästa månads utbetalningar på december månads underlag. Lönesystemet är ett av många system som blivit obrukbara för dem.

– Vi försöker sätta samman dem med data från kringliggande system. Det är som att lägga ett tiotusenbitarspussel, säger Thomas Jarbo, kommunens it-chef, till DN.

Det kluriga med att intyga uppriktighet

Jag hör många uttrycka att man trots allt får ha förståelse för att sådant här händer i den moderna, digitala världen. Men att det har hänt tänker jag trots allt är det minsta problemet just nu. Förmågan att återställa, att ta ansvar, att stötta sina egna kunder, att kommunicera tydligt och samarbeta med myndigheter för att trygga samhällets tjänster är det vi pratar om. Att en attack har skett är inte det som är förvånande.

Därför vill jag dela med mig av hur man kan kommunicera, efter ett tips i en av mina LinkedIn-trådar. När Cloudflare råkade ut för att en viktig tjänst helt slocknade i november, i ett och ett halvt dygn, gick de ut snabbt och tydligt i en så kallad Post Mortem som uppdaterades allt eftersom ny information inkom. De återgav minut-för-minut vad de visste hade hänt, vilka åtgärder de tog, vilken kommunikation som skedde mellan olika parter och hur de skulle säkerställa att samma sak inte kan hända igen.

VD Matthew Prince:s ursäkt lät så här (min översättning):

Till att börja med borde detta aldrig ha hänt. Vi trodde att vi hade system med hög tillgänglighet på plats som skulle ha stoppat ett avbrott som detta, även när en av våra centrala datacenter-leverantörer misslyckades katastrofalt. Och även om många system hölls kvar online så som det var tänkt, hade vissa kritiska system icke-uppenbara beroenden som gjorde dem otillgängliga. Jag är ledsen och generad över denna incident och smärtan som den orsakade våra kunder och vårt team.

Tänk vilken skillnad det kan göra att säga "jag är ledsen" jämfört med "vi beklagar djupt". Men inte bara det, Cloudflares vd uttrycker att han är generad och att de borde kunna bättre. Han säger inget om att det här är krångligt och det finns massor mer att lära sig. Tvärtom säger han att de vet precis vad som gick fel och tycker det är pinsamt att de i sina väldokumenterade riskanalyser och regelbundet genomförda testscenarier inte lyckats fånga just detta potentiella händelseförlopp.

Notera att han också ber om ursäkt till sina egna medarbetare, för han vet att de hamnar i en prekär och krävande situation. Läs gärna hela Cloudflares Post Mortem. Är man intresserad av teknik går tidslinjen nästan att läsa som en deckare. Det är kommunikation det.

När företag däremot vill förtydliga sin ursäkt genom att säga "Vi ber uppriktigt om ursäkt", så som Tietoevry nu gjort i Ny Teknik, så kan jag aldrig låta bli att undra vad det där ordet "uppriktigt" insinuerar.

Det gör mig bekymrad. Uppriktigt.

Missa inte del 1.


🕵️‍♀️
Har du särskild insyn i vad som pågår i turerna runt den här attacken och hur man väljer att kommunicera? Tipsa mig gärna via Signal.

Bildbeskrivning

Beskrivning av artikelns bild i toppen.

Illustration av två vita t-shirtar, den första med framsidan synlig och den andra med baksidan synlig. Båda är försedda med text, som är skriven med en genomgående och slumpmässig blandning av gemener och versaler. Detta åsyftar en meme känd som Mocking Spongebob, där textens utseende signalerar att den här hånfull och oärlig.

På framsidan står: "Våra säkerhetsexperter har bedömt de potentiella attackvektorerna, och genomfört relaterade säkerhetsverifieringar."

På baksidan står: "Vi ber uppriktigt om ursäkt."

Baksidan har också en pastisch av Tietoevrys logotyp, där namnet bytts ut till "tvistohaveri", som kan tolkas som tvist och haveri.

Under t-shirtarna återkommer logotypen och med tillhörande tagline: "tvistohaveri skapar målmedveten härskarteknik som återuppfinner snyftvalsen och slingerbulten".


Läs också

Del 1 av mina kommentarer om Tietoevry:

Tietoevry har inga kläder
Jag har läst DN:s intervju med Tietoevrys Sverigechef fyra eller fem gånger nu. Den känns inte på riktigt. Den är surreal­istisk. Tieto­evry vet inte något alls, inte en sus­ning, om hur deras system har hackats. De vet bara att de själva garanterat inte har brus­tit