Det var inte en blixt från klar himmel, tvärtom. Det var ett system som fungerade exakt som det var designat att fungera. Offentliga och privata organisationer har valt en digital infrastruktur där risk koncentrerats i stället för att spridas, för att effektivitet prioriterats över motståndskraft, och där ansvaret är så utspätt att ingen egentligen är ansvarig.
När ett enda intrång kan lamslå hundratals myndigheter och offentliga verksamheter är det inte angriparens skicklighet som är den centrala frågan, utan konstruktionen som valts. Tietoevry-haveriet var, kort sagt, de förutsägbara konsekvenserna av medvetna beslut.
Om en inköpare saknar tillräcklig kompetens för att upphandla avancerade IT-tjänster – vilket i praktiken ofta är fallet när det gäller komplexa infrastrukturtjänster – uppstår ett strukturellt beroende. Man köper inte bara en tjänst, utan en arkitektur, ett säkerhetstänkande och en riskmodell, utan att fullt ut förstå – eller försöka förstå – implikationerna.
Om man dessutom väljer en helhetsleverantör, som Tietoevry, accepterar man en organisationsmodell där stora mängder samhällskritiska data och drift koncentreras till en gemensam infrastruktur. Det är rimligt rationellt ur ett kostnads- och effektivitetsperspektiv: stordriftsfördelar, standardisering, centraliserad kompetens.
Men det innebär också att man väljer en struktur som i sig är en systemrisk, för en sådan monolitisk struktur är i praktiken en single point of failure – när en del faller finns inget som hindrar att allt faller. I praktiken; ett enskilt intrång förblir inte lokalt, utan sprider sig. Och inom cybersäkerhet är intrång ett grundantagande. Robusta system designas utifrån vetskapen om att angripare förr eller senare kommer att ta sig in. Det är därför begrepp som zero trust, segmentering, redundans och isolering existerar.
Om leverantören ändå väljer att (fortsätta) arbeta enligt en sådan struktur, att inte anpassa sig efter den faktiska verkligheten och organisera verksamheten därefter, trots att man vet att cyberattacker inte är en fråga om om utan när, då har man redan på förhand accepterat konsekvenserna därav. Då faller det på sin egen orimlighet att tala om ”oförutsedda händelser”.
Och när man samtidigt förstår – eller rimligen måste förstå – att ett intrång inte kommer att drabba en enda organisation utan hundratals – myndigheter, kommuner och privata bolag –, då är det inte en isolerad teknisk fråga. Då är det en fråga om samhällsarkitektur likväl som om samhälleligt ansvar.
Det som skedde på Tietoevry är därför mer än en allvarlig teknisk säkerhetsincident. Det är ett tydliggörande av hur leverantören likväl som staten ser på samhällets digitala infrastruktur och sitt ansvar relativt det.
Det är inte en bugg – det är en feature
Detta är alltså inte en bugg. Inte ett olycksfall i arbetet. Inget som bara hände. Nej, det här är den konsekvens man rimligen kan förvänta sig när man väljer monolitiska tjänster framför distribuerade lösningar. Där man låser in sig hos monolitiska leverantörer och samtidigt avstår från öppenhet, insyn och diversifiering – inklusive användning av open source som både hade kunnat minska beroenden och öka transparensen.
När arkitekturen byggs kring en enda aktör, en gemensam driftmiljö och en sammanhållen plattform skapas en koncentrerad risk. Det innebär att flera verksamheter delar samma attackyta, samma beroenden och i praktiken samma negativa konsekvenser. För även om det formellt sett finns flera servrar, flera datacenter och flera säkerhetslager, är det egentligen inte antalet maskiner som avgör, utan snarare graden av oberoende mellan dem.
Det är också ett uttryck för ett djupare systemval: att optimera för upphandlingsbarhet och kostnadseffektivitet snarare än för distribuerad robusthet. Upplägg med helhetsleverantörer är enkla att beskriva i ett avtal och lätta att följa upp på ytan; en motpart, en SLA, en faktura. Distribuerade lösningar med flera aktörer, öppen källkod och tydlig teknisk segmentering kräver högre beställarkompetens, mer aktiv styrning och en mer mogen syn på risk.
Man bygger in ett beroende – en strukturell sårbarhet – som i praktiken fungerar som en single point of failure. För att det är lite enklare.
Alla ansvarar – ingens ansvar
Ansvaret för haveriet är distribuerat. Leverantören – Tietoevry – bär ansvar för den tekniska och organisatoriska arkitektur man valt att bygga och upprätthålla. Hur systemen är segmenterade, hur redundans hanteras och hur risker sprids eller koncentreras. De är också ansvariga för hur de kommunicerat för- och nackdelar till sina kunder. Jag kan ha fel, men jag misstänker att de inte direkt ansträngt sig överdrivet för att säkerställa att kunderna verkligen förstår risken med den här sortens infrastrukturlösningar.
De upphandlande myndigheterna har i sin tur ansvar för sin beställarkompetens: att förstå vad de faktiskt köper, vilka beroenden de skapar och vilka risker som följer med valet av en helhetsleverantör. Det behöver vi bara titta på eAvrop för att se att de inte gör, i alla fall inte i någon större utsträckning.
Staten, i sin tur, har ett övergripande ansvar för hur samhällskritisk infrastruktur tillåts koncentreras till ett fåtal aktörer och för vilka incitament och regelverk som därmed etableras, medan tillsynsmyndigheterna ansvar för att säkerställa att krav inte bara formuleras i policydokument och avtal, utan också faktiskt granskas, följs upp och verifieras i praktiken.
Vi har alltså en lång rad aktörer som – teoretiskt – skulle kunna ta ansvar för situationen och ta konsekvenserna, be om ursäkt och sist, men inte minst; göra om och rätt för framtiden.
Jag tvivlar, det är långt mer sannolikt att de faktiska konsekvenserna blir begränsade, för alla iblandande. Fokus är nämligen redan – som så ofta – på de “onda hackarna”. Det är naturligtvis korrekt i sak att lägga skuld där, men det är leverantörerna och offentlig sektor som gjort valen, inklusive val av den struktur som kanske inte möjliggjorde attacken, men som avgjort ledde till dessa store effekter.
De har dock inte minsta lust att se det så, för det skulle medföra ansvar, skuld och krav på förändring. Nej, då är det så mycket enklare och bekvämare att lägga fokus på angriparen och den gemensamma fienden.
Det är alltså inte särdeles förvånande att ingen egentligen verkar vilja tala om något annat än hackarna.
Skillnaden mellan standarder och robusthet
Det syns i Tietoevry kommunikation, och responsen på den. Deras officiella linje lyder: “Inga brister i vår IT-säkerhet”. Det är ett fullständigt anmärkningsvärt uttalande, delvis för att det bevisligen är fel. Trots detta passerar det utan nämnvärd motreaktion.
Detta är kanske den tydligaste indikatorn på systemfelet av dem alla.
Om intrång kan slå ut en betydande del av svenska myndigheter, då finns det definitionsmässigt en brist i motståndskraften, helt oavsett om man formellt följt regelverk och standarder, eller inte. Ty att följa standarder är inte det samma som att bygga robusta system.
Vi vet att effekterna inte hade varit i närheten av så omfattande om data hade varit hårdare segmenterad och kundmiljöer strikt isolerade från varandra. Vi vet att om verklig redundans hade byggts in – inte bara på pappret utan i praktisk, testad drift – hade störningarna kunnat begränsas och samhällskritiska funktioner upprätthållas. Därtill hade konsekvenserna sannolikt blivit mindre om de upphandlande organisationerna haft tillräcklig kompetens och fullt ut förstått vad de innebär att lägga hela sin digitala drift hos en och samma aktör.
Men allt detta kostar pengar. Pengar som man ansåg att det inte var värt. Delvis för att man inte förstod problemet från början. För att man inte var intresserad av att lyssna på de som faktiskt förstod och försökte förklara.
Oförändrade val – oförändrade utfall
Eftersom ingen av de ansvariga kommer att erkänna varken bristande kunskap eller ta ansvar så har inget fel i formell mening begåtts. Därmed kommer inga strukturella krav att skärpas eller incitament att förändras. För det krävs bara när faktiska fel har begåtts – och det har det som sagt inte gjort här. Sägs det.
Därför finns det inget som driver den förändring jag menar att vi – samhället – behöver, utan den befintliga modellen kommer att bestå. Man kommer fortsätta att välja digital infrastruktur där ett enda intrång kan få kaskadeffekter genom hela den offentliga sektorn.
Och när det smäller nästa gång – för det vet vi att det kommer att göra – är det du och jag som betalar. I form av uteblivna tjänster, ökade skatter, minskad tillit och långsiktigt sämre digital motståndskraft. Allt för att de som är ansvariga inte har integritet nog att ställa sig upp och ta det ansvar som de faktiskt har inskrivet i sina rollbeskrivningar.
Jag finner det milt irriterande.
Milt.
