Vid det här laget är det få om ens någon som inte hört talas om hacker-angreppet som sänkte större delen av hela dagligvarukedjan Coop. Efter lite reflektion vill jag dock ljudligt påpeka att själva angreppet i sig inte är grundproblemet i den soppan vi nu är i.
Trots allt – cyberangrepp kommer att inträffa. Skiten kommer någon gång att träffa fläkten, även för dig. Och det är där framför allt Visma EssCom och Coop har brustit. Jag erfar att Coop på ett eller annat sätt har köpt sina kassasystem som helhetslösning eller tjänst från Visma EssCom för att minimera kostnader och ha en god förutsägbarhet över vad det kostar att ha en fungerande butikskassa igång. Så långt allt väl och det är också så det brukar fungera.
I allt väsentligt är som bekant en kassa i grunden en PC-dator om än med någon speciell hårdvara kopplad till sig – men fortfarande med Windows i som operativsystem. Och PC:n, operativsystemet och applikationerna måste löpande uppgraderas. Det är här som Kaseya kommer in i bilden som den lösning Visma EssCom använder sig av för att kunna leverera kassasystemet som helhetslösning. Det är Kaseyas lösning VSA som körs för fjärrmanagering- och övervakning av samtliga kassasystem i varenda butik. Smidigt förstås så länge ingen som nu skett lyckas ta kontrollen över systemet.
I denna kedja av leverantörer, operativsystem, applikationer och managering finns en hel kedja full av länkar och misstaget som gjorts är att inte utvärdera styrkan i länkarna samt inte minst vad som händer om kedjan bryts. I Coop:s fall har det gjorts tydligt vad konsekvensen blir – i praktiken har varenda butik, liten som stor behövt stänga med undantag för de fristående KF-entiteter som använder andra lösningar än Visma EssComs. Att det blir ett gigantiskt intäktstapp är givet. Men utöver det kommer ett antal sekundära konsekvenser som bringar kostnader, ett exempel torde vara att färskvaror som inte kan säljas under stängningen måste kasseras eller säljas kraftigt rabatterat när butiken väl kan öppna igen.
Det kommer sannolikt flera sekundära konsekvenser av olika allvarlighetsgrad vad det lider, låt oss hoppas att detta inte resulterar i nedläggningar vilket skulle vara den ultimata konsekvensen med högsta gradering i en konventionell sårbarhetsanalys.
Poängen är egentligen att det inte ska behöva bli en huvudnyhet i Sverige att ett hackarangrepp mot ett utländskt bolag som de flesta inte ens känner till blivit utsatt för ett angrepp. Som sagt; angrepp sker och kommer fortsätta ske. Det är upp till samhället och de samhällsviktiga verksamheterna som får samhället att fungera att se till att allt fungerar ändå. Misslyckas vi med det kommer cyberbrottslingar och cyberterrorister (statsunderstödda eller ej) att rikta blicken än mer mot oss naiva svenskar.
Så vad skulle behöva göras framåt?
- Slutkunden (i det här fallet Coop men naturligtvis alla på liknande marknader) måste analysera sin affärskontinuitet. Vad krävs för att verksamheten ska fungera? Hur minimerar vi risk för skada och andra konsekvenser om (läs: när – Coop kan intyga detta) skiten träffar fläkten? Här har uppenbart Coop brustit och gjort en dyrköpt läxa.
- Leverantören (i det här fallet Visma Esscom) måste analysera riskerna med att leverera system som bundlats tillsammans med mjukvaror man själv inte har kontroll över. Igen, det enda som kan garanteras är att cyberangrepp kommer ske. Man måste ha gått igenom scenarion och risker, här har nu skett ett skolboksexempel på vad som kan ske. Här har även Visma EssCom uppenbart brustit och även dem fått sig en dyrköpt läxa.
- Varje systemleverantör (Kaseya t. ex.) måste naturligtvis analysera risker och säkra sina system. Jag är säker på att man i egenskap av sin storlek gjort detta, men faktum kvarstår – angriparna vann och skadan har för flera oåterkalleligt redan skett. Man har lovat att kunderna ska återfå kontroller igen ”snart” men för Coop spelar det naturligtvis inte någon större roll. Att Kaseya brustit i sina skyddsåtgärder är uppenbart.
- Staten måste via dess myndigheter, främst MSB, gå in och titta på regelverket för samhällsviktig näring. Lek med tanken att ICA och Axfood tillsammans med Coop haft Visma Esscom som leverantör av samma kassasystem. Jag påstår att staten brustit i åtminstone kravställning.
- Samtliga inblandade aktörer måste förstå att man bara är en del av en större kedja. Zoomar man ut är Kaseya-angreppet en stor nyhet i världen och företaget är naturligtvis hårt ansatt. President Joe Biden har beordrat att händelsen ska utredas. Men man måste komma ihåg att trots att det i Sverige blivit en huvudnyhet att en av de största dagligvarukedjorna tvingats bomma igen på okänd tidshorisont och det damm som detta rört upp, är Coop i det stora perspektivet ”bara” ett av många drabbade företag.
