Sjukhus attackeras, regioner attackeras, företag attackeras och hela eller delar av verksamheten slås ut. Ute på nätet i olika forum diskuteras det som hänt och det inte sällan i en fördömande ton där offren för attackerna inte anklagas med ”de får skylla sig själva”.
Olika verksamheter ställs mot varandra och ”kommunerna kanske ska anställa säkerhetsexperter nästa gång”. I sak är det naturligtvis korrekt. Det saknas kompetens ute i våra kommuner och regioner. ”Nu kanske kommunerna fattar att de måste anställa säkerhetsexperter”, heter det.
Allt i en anklagande ton som tycks borta i att offren får skylla sig själva och i en tro att de, som säkerhetskunniga, minsann kan och vet hur attackerna ska kunna förhindras.
Låt mig komma med en kalldusch – det gör ni inte därför att verkligheten lägger hinder i vägen.
Ditt fel
Sitter du med en dator, en klocka, en iPhone och en iPad och inte gör säkerhetskopior – då är det ditt fel om du blir av med information. Du som användare måste ta snara för de prylar du använder och det är inte svårt, inte dyrt eller krångligt att se till att semesterbilderna inte blir ett minne blott eller att offerter, kalkyler och annat måste göras om. Tappar du din Mac i backen och blir av med allt innehåll – sorry, då får du inget medlidande från mig. Då är det ditt fel.
Däremot, om din organisation, ditt företag, din kommun eller din förening utsätts för en riktad attack där förövarna till slut lyckas att slå ut hela eller delar av verksamheten – vems fel är det då?
Låt oss för diskussionens skulle sopa undan självklarheterna – lösenordshantering, säkerhetskopior och annat som helt enkelt bara ska fungera. Du ska inte ha för enkla lösenord, informationen ska säkerhetskopieras och alla medarbetarna bör ha en adekvat utbildning. Självklarheter som borde fungera men som inte alltid gör det på grund av verkligheten.
Pengar
Verkligheten består av pengar, ofta. Verkligheten består också av krav på tillgänglighet, snabbhet, effektivitet och access till all information. Det är här säkerhetsexperternas krav krockar med – verkligheten och med pengar.
Alla ska inte ha tillgång till all information, alltid.
Grundregel men den kommer att urholkas, över tid av krav från användarna – för att de ska kunna sköta sina jobb.
Utan att krångla till det alltför mycket och fastna i för mycket detaljer så är det lätt att ställa krav på säkerhet på olika plan, på olika nivåer och av olika grad men igen – de kraven kommer att krocka med pengar och verkligheten och då fungerar det inte att skadeglatt skrocka ”nu kanske de har lärt sig”.
Är det nu inte helt uppenbart att den drabbade, offret, varit helt dum i huvudet och agerat ovanligt korkat och klumpigt så kan vi inte skylla på offren. Visst, de drabbade har säkerligen begått fel, missat saker och det borde inte ha hänt. Naturligtvis ska vi analysera, gå igen om, lära och försöka att inte göra om dumheterna en gång till men låt oss slippa den lätt skadeglada tonen och pekfingrar.
Offrens fel
Det kan inte vara offren fel att de blir utsatta för attacker – för att uttrycka det enkelt.
Kommer det stora företaget på besök, som har en rad liknande kunder som din organisation, som visar de snygga grafiska presentationer med diagram, statistik och försäkringar om att de kan det här, att de har god säkerhet, att saker säkerhetskopieras – ifall det värsta ändå inträffar så krävs det mycket goda kunskaper om du ska kunna ganska och analysera allt som sägs.
Skrivs det ett avtal som beskriver vad du köper och som innefattar försäkringar, löften om åtgärder och en hög skyddsnivå så krävs det ännu bättre kunskaper för att kunna granska och analysera det avtalet innehåller om utgångspunkten är att försöka att komma fram till om alla löften kommer att hållas.
Det är så affärsvärlden fungerar. Du får en genomgång, ett avtal plockas fram och sedan bygger det på ”pacta sunt servanda” – ingånget avtal ska hållas. Det är orimligt att tro att en kommun ska ha med en sylvass säkerhetsexpert som kan se igenom alla fagra löften i ett sånt läge. För i många fall så är det vad som har hänt. En leverantör har lovat en massa saker, skrivit under ett avtal på det och sedan har det ändå gått käpprätt åt helvete.
Är det du offrens fel? De som trott på leverantören, de som skrivet under avtal och som nu konstaterar att allt inte har fungerat?
Peka finger
Ska det pekas fungera så är det väl rimligen mot de som inte har hållit ingångna avtal, eller?
Vidare – är det så tvärsäkert att leverantören och den drabbade har ett avtal som täcker det som offren påstår?
Det är inte ovanligt att säljaren har en tolkning och köparen en annan. Det kan ha brutit i kommunikationen – inte alls ovanligt – och när avtalet sedan ska plockas fram så visar det sig att parterna har olika uppfattning om innehållet.
Hur som helst – den som tror att landets kommuner, stora som små kommer att anställa sylvassa, svindyra, säkerhetsexperter kommer att bli besviken. Den som tror att ungarnas skolmat kommer att ställas mot ”Nisse IT-Expert” och att den senare kommer att avgå med segern kommer också att bli besviken.
Tlllvaron handlar om prioriteringar och där kommer säkerhetsexperter att få slåss för att göra sina stämma hörd – precis som alla andra särintressen.
Ett tips – ingen kommer att lyssna på den som ropar ”vad var det jag sa?” och som flyttar skulden över på offret.
