Tietoevry har inga kläder
Jag har läst DN:s intervju med Tietoevrys Sverigechef fyra eller fem gånger nu. Den känns inte på riktigt. Den är surrealistisk. Tietoevry vet inte något alls, inte en susning, om hur deras system har hackats. De vet bara att de själva garanterat inte har brustit i något led. Men angriparna har väl knappast tillämpat magi, försöker artikelförfattaren Linus Larsson försiktigt framhärda: nog måste det funnits säkerhetshål? Det vet vi inte, menar Sverigechefen Venke, för Tietoevrys säkerhet är absolut tillräckligt hög.
Vi lever i en tid med en amerikansk presidentkandidat som inte kan binda ihop två sammanhängande meningar men som journalister och experter ändå tvingas hantera på ett låtsat allvar. Jag menar inte att Tietoevrys hållning tas på allvar av DN. Men att den över huvud taget kan uttryckas på det här sättet är ett tecken i tiden.
När makthavare börjar uttala sig tvärsäkert om sin egen skuldlöshet trots mängder av motbevis uppstår ett Orwellianskt språkbruk som får oss att ifrågasätta sanningen som väsen. Som får oss att tvivla på vår egen förmåga att förstå, då absurditeten är så uppenbar. Som konstform är denna nutidssurrealism otvivelaktigt kittlande, men som vägvisare för en mer rättvis värld direkt bedräglig.
Vi kan inte låta sådana här ologiska uttryck för ansvarslöshet leta sig in i den allmänna diskursen som accepterade försvarstal. Vi pratar om en it-leverantör vars system hanterar en betydande del av den svenska befolkningens personliga data och informationsöverföringar.
Ansvarslösa IT-leverantörer
Frånvaron av ansvarstagande hos it-leverantörer har varit en stark drivkraft i mitt engagemang för digital etik. Två faktorer, makt och ansvar, är grundpelare för att förstå obalansen i tech-världen.
- Vem har makten över (a) människors förmåga till kommunikation och (b) över lagring och tillgång till deras kritiska information?
- Vem tar ansvar när den digitala lösningen som skulle ombesörja (a) trygg kommunikation och (b) trygg lagring av information inte fungerar?
Vi lever i en värld där ofärdiga digitala produkter levereras som regel snarare än undantag. När fel upptäcks i produkterna får beställarna (inte sällan kommuner, myndigheter och regioner) betala ännu mer för att få dem lagade. Det är på något sätt underförstått, och accepterat, att produkten eller tjänsten man köper aldrig är färdig.
Att man skulle få kompensation för en ofärdig produkt är idag en naiv tanke. Du får vackert vänta och hoppas på nästa uppgradering. Eller betala dig fri.
Ofärdiga lösningar är ett signum för digitaliseringen – nästan som ett symtom för nutidssurrealismen. Men det är kanske oförmågan att ta ansvar när tydliga brister upptäcks som svider mest.
Man kan till exempel skylla ifrån sig på:
- Utvecklingsramverk från tredje part som man själv valt att göra sina tjänster beroende av
- Personal som till exempel inte vet hur man gör tillgängliga tjänster, eller vad som utgör fullgott dataskydd
- Att andra leverantörer minsann arbetar på samma sätt
- Att det var en underleverantör som gjorde fel
- Att kravställningen inte var tillräckligt tydlig (så vi struntade i säkerheten)
- Att utvecklingen går så oerhört snabbt att vi hela tiden måste göra “kompromisser”
- Att någon annan ändrade i vår kod (men vi har ingen aning om hur det gick till)
- Det som är den nya favoritkandidaten bland undanflykter: vårt verktyg "hallucinerar” (det blir bättre i framtiden, jag lovar)
- Eller varför inte det grepp som Venke Bordal tar: "Sverige är omoget inför den här typen av kriminalitet." (men inte vi)
Och ändå, om och om igen, får samma leverantörer ett långtgående förtroende att hantera kritisk kommunikation och information. De kan inte göra fel. Historien har visat dem att de behöver inte ta ansvar. Det finns gott om empiriska skäl för hybris.
Kanske än mer gruvsamt: de vanliga medborgare, patienter, löntagare, biobesökare och trädgårdsentusiaster, vars information bor och flödar i dessa system, har förstås noll och intet att säga till om detta.
Kejsaren har inga kläder, inget fog för sina påståenden, men det är oerhört lönsamt för branschen om fler människor tror att de inte förstår tillräckligt för att avgöra det.
Från DN-intervjun
Jag vill påstå att det är direkt farligt om en leverantör, när vi utsatts för den mest omfattande ransomware-attacken i Sveriges historia, helt enkelt kan gå ut i en av de största dagstidningarna och utan belägg påstå att de inte har gjort några som helst fel. Och i samma andetag be kunderna betala mer om de vill ha mer säkerhet.
Läs gärna det föregående stycket igen, för jag tror inte vi alltid tar till oss vidden av hur galet det nu har blivit.
Lägg märke till Linus Larssons hänvisning till magiska krafter i den här ordväxlingen. Jag tycker det är signifikant för att till fullo ta till sig av det absurda i hela intervjun:
Linus Larsson i DN (LL): "Menar du att den här attacken inte alls är kopplad till att ni har brustit i något led?"
Tietoevrys Sverigechef Venke Bordal (VB): "Ja, det menar jag."
LL: "Men angriparna är inte magiker, de utnyttjar säkerhetshål."
VB: "Vi vet inte hur man har attackerat här. Men ja, jag vågar påstå att vi har en väldigt hög säkerhet."
LL: "Tillräckligt hög?"
VB: "Ja."
LL: "Finns det inget ni kunde ha gjort för att stoppa det här?"
VB: "Det vet jag inte, för vi vet inte hur det här hände. Vi har inte de svaren, det får polisutredningen svara på."
Venke Bordal går sedan vidare och menar att kunderna själva har ansvar för hur mycket säkerhet de vill ha, och använder sig av bilmärken som metafor:
"Du kan köpa en Rolls-Royce, eller du kan köpa en Skoda. Kunden måste själv bedöma utifrån sin verksamhet, hur kritisk är den? Nöjer jag mig med en Skoda som är säker och bra eller behöver jag Rolls-Royce?"
Ursäkta mig men har Tietoevry tjänster som de säljer som de menar är mer mottagliga för attacker? Köp vårt budgetpaket men räkna med 2-3 dataintrång per år? De har alltså paket med nivåer av sårbarheter som de tycker att vissa kunder ska acceptera? Fundera gärna på vad det uttalandet innebär några varv extra.
Har du som kund inte betalat tillräckligt så får du skylla dig själv om du råkar ut för ett dataintrång. ✳️
Och skulle det ändå hända något trots att du köpt Rolls-Royce? Ja men skyll dig själv igen. Vi sa inget om hur ofta du skulle bli påkörd. Vi sa bara att den var dyrare. Du köpte inte en lastbil. Det här är en dans, och det är inte du som för. Du följer.
Tietoevry har blottat sig. De har inga kläder. Så här ser det inte ut när man bedriver en verksamhet som tar ansvar för sina egna tjänster.
Lästips
Min egen del 2 om ursäkter och pressmeddelanden:
Den mest djupgående bevakningen av ransomware-attacken 2024 hittar du hos Karl Emil Nikka:
DN:s artikelserie
Anställda som uttalar sig
Historik kring Tietos it-haveri 2011
Kommentarer
2024-02-16 • M Hammarstrand:
Läs artikeln av Joakim Arstad Djurberg; «”Ska säljas eller noteras” – därför ratar Tietoevery sorgebarnet.»
Publicerad 5 maj 2023.
Apropå cyberattacken i januari 2024 så förefaller det som att företagsledningen känner till att de har allvarliga problem.
«Det nyligen sammanslagna Tietoevry Tech Services ska trimmas inför en eventuell försäljning eller särnotering. Och att det är just den delen som den nordiska konsultjätten vill ta itu med förklaras av gårdagens kvartalsrapport. ”Vi måste följa signalerna på marknaden”, säger koncernchefen Kimmo Alkio.»
Källa: ComputerSweden.se/article/1275288/ska-saljas-eller-noteras-darfor-ratar-tietoevery-sorgebarnet.html