Cystore

Vad har sjöfart genom Suezkanalen, moln och cybersäkerhet gemensamt?

Den senaste veckans nyhet om att ett enormt lastfartyg blockerade Suezkanalen har blivit mycket uppmärksammat i media runt om i världen. Frågorna är många; varför hamnade fartyget i denna situation? Hur skulle man gå till väga för att dra loss fartyget? Hur mycket kostade stilleståndet för världsekonomin? Vem är ansvarig? Hur stor försäkring har fartygets ägare och hur svårt kan det vara att dra loss en båt från en sandstrand? Incidenten har även skapat en hel del utrymme för internetkomik genom memes med en mängd olika teman…

Frågan jag önskar att ni läsare skall fundera över är vad denna incident, digitalisering och cybersäkerhet har gemensamt, förutom kreativa memes. Min syn på Suez-incidenten ur detta perspektiv börjar genom att studera hantering av risker. Mycket förenklat här och i texten nedan kan vi säga att det finns risker ur två dimensioner; risker som har låg eller hög verksamhetspåverkan samt risker som har låg eller hög sannolikhet att inträffa.

Ett inte ovanligt scenario är att risker med låg sannolikhet att inträffa samt med låg verksamhetspåverkan sällan mitigeras, de accepteras av verksamheten och hanteras i de fall de inträffar. Detta för att det vanligtvis inte finns tid att skydda sig mot dessa risker proaktivt, samt en svag ekonomisk motivation. Risker med hög sannolikhet och låg påverkan mitigeras typiskt av verksamheten när ekonomisk logik gör det möjligt, till exempel genom att använda tjänster från betrodda leverantörer. Naturligtvis hanteras risker med hög sannolikhet och hög påverkan av organisationen, även här ofta genom att upphandla tjänster, men ibland även genom egen kompetens.

Vilken typ av risk och påverkan representerar då incidenten i Suezkanalen? Beroende på vilket perspektiv vi väljer – fartygsägaren, Suezkanalen eller kanske världsekonomin – kan resultatet ändras, men genom den förenklade riskmodell jag använder här blir sannolikheten låg och påverkan hög. I det fall vi hade använt en skala – troligen bland de lägre noteringarna för sannolikhet då denna incident inte inträffat tidigare och bland de högre för påverkan, även om det fortfarande verkar något oklart om hur mycket pengar incidenten kostade per dygn.

När en organisation står inför den här typen av risk blir ställningstaganden, beslut och hantering utmanande. Vi kanske kan likna det vid ett scenario där elkraft inte längre finns tillgänglig för en verksamhet och reservkraftverket efter ett antal timmars drift förbrukat allt bränsle. Har organisationen då ett eget raffinaderi för att tillverka bränsle för sin verksamhet under lång tid, eller hamnar de då i en situation där denna risk accepteras? Kanske resonerar ledningen så att samhället troligen har så stora problem i detta fall, att oavsett om det finns drivmedel för reservkraft eller inte klarar man inte av att bedriva sin verksamhet?

Utan att dyka för djupt i arbetet kring risker behöver vi här införa ett enkelt koncept för kostnad för hantering eller mitigering av risker. Risker som kan hanteras till låga, helst även förutsägbara kostnader blir enkla att hantera genom ekonomisk logik. Risker som är däremot är svåra att hantera och driver höga kostnader blir sällan hanterade, speciellt de som har låg sannolikhet att inträffa. Kostnaden för att bygga upp ett raffinaderi och hålla denna kompentens inom organisationen är troligen astronomisk. Kanske beslutas om mitigering genom att avtala om ”nödleverans” av drivmedel med ett par olika distributionsföretag som ett rimligt avvägt alternativ ur sannolikhets- och ekonomiperspektiven.

Hur kan vi dra paralleller till Suezkanalen?

Om vi förflyttar oss tillbaka till Suezkanalen och incidenten med fartyget för att studera alternativen: För att förhindra att en incident inträffar kan ett antal proaktiva åtgärder upprättas. Exempelvis kan höga krav ställas på fartyg som skall passera genom kanalen, så som teknisk utrustning, kompetens, försäkringar samt att en erfaren lokal guide (en så kallad lots) skall finnas ombord, för att under kanalpassagen säkerställa att olyckor inte inträffar. Förutom dessa rimliga proaktiva åtgärder kan risken med en blockerad kanal även hanteras av sjötrafiken från Asien till Europa genom en ordentlig omväg runt Afrikas sydspets. Ur Suezkanalens perspektiv återstår (förenklat) kanske bara lösningen att gräva en andra kanal för att hantera risken, vilket skulle kräva astronomiska investeringar, dvs inte en rimlig möjlighet.

Vad har då allt detta med moln och säkerhet att göra?

Verksamheter ingår i olika ekosystem med samarbeten, beroenden, kund och leverantörsförhållanden. Vi lärde oss ”den hårda vägen” hur viktig redundans var när verksamhetens eget datacenter inte längre fungerade då en kraft- eller internetkabel grävdes av. Det hanterades redan på 90-talet genom att dra in kablar i olika delar av fastigheten och från olika leverantörer, men genom dagens komplicerade tekniska beroenden av leverantörer och partners är riskerna svåra att överblicka. En tjänst för drift IT-lösningar kanske är ovärderlig för din organisation, utan att du har möjligheten att överblicka och hantera riskerna. Kartläggning av verksamhetens processer och information är ofta startskottet, detta följs av klassning av information samt en kartläggning av risker. Här är det otroligt viktigt att arbetet sker i nära samverkan mellan verksamhet och it samt säkerhet.

Den ovan förenklade beskrivningen av kvalitativt riskarbete duger bara för en första snabb kartläggning. För att med kvalité och precision arbeta med risker blir kvantitativa metoder nyckeln till framgång. Genom att verksamheten sätter värden på risker, eller snarare dess konsekvenser, blir de involverade och delaktiga i säkerhetsarbetet. En risk med konsekvens som är beskriven i SEK per timme blir dessutom enklare att hantera med en mitigeringsbudget, när säkerhetsarbetet når dit, än en risk beskriven som medium hög eller en 7 på en 10-gradig skala.

Modern IT-arkitektur gör det möjligt att hantera risker på många olika sätt och mycket kostnadseffektivt. Det handlar inte om molntjänster utan främst om modern IT-arkitektur som ofta realiseras genom molnteknik. Här finns inte ett motsatsförhållande, vi kan dra nytta av global innovation, arkitektur och ändå leverera lösningar med hög säkerhet till låg kostnad, även inom svensk offentlig sektor. Molntekniken skapar möjligheterna att snabbt ställa om när förutsättningarna förändras. Kapacitet för ett nytt datacenter kan skapas med ett par knapptryckningar, eller till och med helt automatiskt om det finns ett behov för detta.

Den moderna IT-arkitekturen gör det alltså möjligt att gräva den digitala motsvarigheten till en ny Suezkanal utan att det (i stort sett) kostar en krona innan den behövs.