Vilket ansvar hade Coop?

Det har varit mycket nyheter om Coop på sista tiden. Vårt kära kooperativ som säljer maten marginellt dyrare än ICA har nämligen blivit utsatt för en ransomwareattack! Följden har blivit att potatisen ruttnar och att sillen måste slängas eftersom kassorna inte fungerar.

Tydligen har Coop köpt sina kassasystem från Visma Esscom; ett dotterbolag till den Norsk-Engelska jätten Visma; som i sin tur köper mjukvara från det amerikanska företaget Kaseya. I slutänden var det faktiskt inte ens Coop som hade blivit hackade, utan det var Kaseya. Kaseya säger själva att det bara var 50 kunder som blev drabbade av attacken innan de hann stänga ner, men en av de kunderna verkar som sagt ha varit Visma, som i sin tur är en av de största leverantörerna av verksamhetskritiska IT system på den svenska marknaden. Coop köper deras tjänster har jag nyligen lärt mig, och Coop har dessutom väldigt många privatpersoner som kunder.

Ett utländskt bolag jag aldrig har hört talas om utsätts för en cyberattack, och på grund av det kan jag inte längre köpa mjölk.

Kanske var det något sånt här personalen på Coop möttes av i fredags?

 

Det har precis som Wolfgang Hansson skriver varit mycket fokus i media på att tycka synd om Coop just nu. Men är Coop offret egentligen?

Vad säger lagen?

Som GDPR-expert har jag en tendens att luta mig mot just GDPR när såna här saker sker. I det här fallet tänker jag att vi ska kolla på artikel 32. Artikel 32 heter ”Säkerhet i samband med behandlingen” och däri stadgas följande:

”Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken”

Med andra ord behöver säkerheten vara i proportion till den risk som en eventuell attack innebär. Ansvaret för säkerheten ligger på den personuppgiftsansvarige (den som köper IT-systemen) och på personuppgiftsbiträdet (den som säljer IT-systemen) gemensamt. I det här fallet Coop, Visma och Kaseya. Säljaren ska leverera en säker produkt och köparen har ett kontrollansvar att försäkra sig om att produkten faktiskt är så säker som den behöver vara.

Risken som lagen pratar om är medvetet odefinierad. Anledningen är hur världen ser ut. Det är idag ett faktum att angrepp så som det i fredags sker. Det är även ett faktum att nästan alla som har en e-postadress fått spam någon gång. För några år sen var det populärt att skicka e-post med tomma hot om att läcka video från porrsurfande, något som fortfarande är populärt men inte lika medialt längre. Den här företeelsen tog möjligen inspirerad från ett avsnitt av Black Mirror två år tidigare. Livet härmar ibland konsten.

Idag är det alltså ett faktum att digitalisering innebär risk, en okänd, osedd risk som vi bara måste skydda oss ifrån. Lite som en jordbävning eller en tsunami. Eller för att ta ett svenskt problem: 100årsregn. Fast när staden min blev totalt översvämmad 2018 så skyllde ingen på vattnet.

 

Uppenbarligen var inte stationstunneln designad för att hantera regnet. Skulden för de blöta byxorna ligger således på Region Uppsala för att de låtit bygga en tågstation som inte klarar regn. För alla vet att någon gång så kommer det att regna.

Alla vet idag att det kommer en cyberattack. Det är en fråga om när bara. Ansvaret ligger därför enligt lagen på den som låter bygga tågstationen, eller köper in IT-systemet.

Hur man håller sig torr

För att skydda sig mot regnet köper vi idag system från leverantörer som lovar dyrt och heligt att deras lösningar är heltäta. Heltäta kan de nog dessvärre aldrig vara, och tyvärr är det så att ju fler kunder en leverantör har och ju fler kunder leverantörens kunder har desto större blir risken. Vi brukar ju säga att man inte ska lägga alla ägg i samma korg, tyvärr är det ganska precis så som den digitala arenan fungerar.

En leverantör som säljer till hela världen innebär en knut som behöver nystas upp för att sabba för just hela världen. Konsekvensen av lagstiftningen blir dock att den som köper tjänsten bär risken för hela världen eftersom de köper en tjänst med en inneboende hög risk. Varje kund blir ett ägg i korgen, och varje kund har med sig en egen korg med ägg, fast de mindre äggkorgarna ligger i den stora äggkorgen.

Den enda egentliga lösningen på den här problematiken är att hämta hem driften och göra mer saker själv. Något som går lite stick i stäv med den rådande paradigmen med SaaS– och molnlösningar.

Världen blir mer sammankopplad, vi bygger större och större korgar och vi bara litar på att saker och ting ska fungera utan att tänka på vad som händer när något havererar.

I mitt stilla sinne tänker jag att vi kanske borde börja använda kontanter igen.

 

Författad av
Joakim Söderberg
Dataskyddsexpert