{"id":2506,"date":"2021-07-07T08:13:13","date_gmt":"2021-07-07T06:13:13","guid":{"rendered":"https:\/\/www.gdprbuddy.eu\/vilket-ansvar-hade-coop\/"},"modified":"2021-07-07T08:13:13","modified_gmt":"2021-07-07T07:13:13","slug":"vilket-ansvar-hade-coop","status":"publish","type":"post","link":"https:\/\/www.gdprbuddy.eu\/en\/vilket-ansvar-hade-coop\/","title":{"rendered":"Vilket ansvar hade Coop"},"content":{"rendered":"
\n

Vilket ansvar hade Coop?<\/h1>\n
Av <\/span>Joakim S\u00f6derberg<\/a><\/span><\/span><\/div>\n<\/header>\n
\n

Det har varit mycket nyheter om Coop p\u00e5 sista tiden. V\u00e5rt k\u00e4ra kooperativ som s\u00e4ljer maten marginellt dyrare \u00e4n ICA har n\u00e4mligen blivit utsatt f\u00f6r en ransomwareattack! F\u00f6ljden har blivit att potatisen ruttnar och att sillen m\u00e5ste sl\u00e4ngas eftersom kassorna inte fungerar<\/a>.<\/p>\n

Tydligen har Coop k\u00f6pt sina kassasystem fr\u00e5n Visma Esscom; ett dotterbolag till den Norsk-Engelska<\/a> j\u00e4tten Visma; som i sin tur k\u00f6per mjukvara fr\u00e5n det amerikanska f\u00f6retaget Kaseya. I slut\u00e4nden var det faktiskt inte ens Coop som hade blivit hackade, utan det var Kaseya<\/a>. Kaseya s\u00e4ger sj\u00e4lva att det bara var 50 kunder som blev drabbade av attacken innan de hann st\u00e4nga ner, men en av de kunderna verkar som sagt ha varit Visma, som i sin tur \u00e4r en av de st\u00f6rsta leverant\u00f6rerna av verksamhetskritiska IT system p\u00e5 den svenska marknaden. Coop k\u00f6per deras tj\u00e4nster har jag nyligen l\u00e4rt mig, och Coop har dessutom v\u00e4ldigt m\u00e5nga privatpersoner som kunder.<\/p>\n

Ett utl\u00e4ndskt bolag jag aldrig har h\u00f6rt talas om uts\u00e4tts f\u00f6r en cyberattack, och p\u00e5 grund av det kan jag inte l\u00e4ngre k\u00f6pa mj\u00f6lk.<\/p>\n

\n
\"\"
Kanske var det n\u00e5got s\u00e5nt h\u00e4r personalen p\u00e5 Coop m\u00f6ttes av i fredags?<\/span><\/figcaption><\/figure>\n<\/div>\n

 <\/p>\n

Det har precis som Wolfgang Hansson <\/a>skriver varit mycket fokus i media p\u00e5 att tycka synd om Coop just nu. Men \u00e4r Coop offret egentligen?<\/p>\n

Vad s\u00e4ger lagen?<\/h2>\n

Som GDPR-expert har jag en tendens att luta mig mot just GDPR n\u00e4r s\u00e5na h\u00e4r saker sker. I det h\u00e4r fallet t\u00e4nker jag att vi ska kolla p\u00e5 artikel 32. Artikel 32 heter \u201dS\u00e4kerhet i samband med behandlingen\u201d och d\u00e4ri stadgas f\u00f6ljande:<\/p>\n

\u201dMed beaktande av den senaste utvecklingen, genomf\u00f6randekostnaderna och behandlingens art, omfattning, sammanhang och \u00e4ndam\u00e5l samt riskerna, av varierande sannolikhetsgrad och allvar, f\u00f6r fysiska personers r\u00e4ttigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbitr\u00e4det vidta l\u00e4mpliga tekniska och organisatoriska \u00e5tg\u00e4rder f\u00f6r att s\u00e4kerst\u00e4lla en s\u00e4kerhetsniv\u00e5 som \u00e4r l\u00e4mplig i f\u00f6rh\u00e5llande till risken\u201d<\/p><\/blockquote>\n

Med andra ord beh\u00f6ver s\u00e4kerheten vara i proportion till den risk som en eventuell attack inneb\u00e4r. Ansvaret f\u00f6r s\u00e4kerheten ligger p\u00e5 den personuppgiftsansvarige (den som k\u00f6per IT-systemen) och p\u00e5 personuppgiftsbitr\u00e4det (den som s\u00e4ljer IT-systemen) gemensamt. I det h\u00e4r fallet Coop, Visma och Kaseya. S\u00e4ljaren ska leverera en s\u00e4ker produkt och k\u00f6paren har ett kontrollansvar att f\u00f6rs\u00e4kra sig om att produkten faktiskt \u00e4r s\u00e5 s\u00e4ker som den beh\u00f6ver vara.<\/p>\n

Risken som lagen pratar om \u00e4r medvetet odefinierad. Anledningen \u00e4r hur v\u00e4rlden ser ut. Det \u00e4r idag ett faktum att angrepp s\u00e5 som det i fredags sker. Det \u00e4r \u00e4ven ett faktum att n\u00e4stan alla som har en e-postadress f\u00e5tt spam n\u00e5gon g\u00e5ng. F\u00f6r n\u00e5gra \u00e5r sen var det popul\u00e4rt att skicka e-post med tomma hot om att l\u00e4cka video <\/a>fr\u00e5n porrsurfande, n\u00e5got som fortfarande \u00e4r popul\u00e4rt men inte lika medialt l\u00e4ngre. Den h\u00e4r f\u00f6reteelsen tog m\u00f6jligen inspirerad fr\u00e5n ett avsnitt av Black Mirror tv\u00e5 \u00e5r tidigare<\/a>. Livet h\u00e4rmar ibland konsten.<\/p>\n

Idag \u00e4r det allts\u00e5 ett faktum att digitalisering inneb\u00e4r risk, en ok\u00e4nd, osedd risk som vi bara m\u00e5ste skydda oss ifr\u00e5n. Lite som en jordb\u00e4vning eller en tsunami. Eller f\u00f6r att ta ett svenskt problem: 100\u00e5rsregn. Fast n\u00e4r staden min blev totalt \u00f6versv\u00e4mmad 2018 s\u00e5 skyllde ingen p\u00e5 vattnet.<\/p>\n

\n
\"\"
S\u00e5h\u00e4r s\u00e5g det ut p\u00e5 Uppsala centralstation sommaren 2018<\/a> (Bild fr\u00e5n SVT)<\/span><\/figcaption><\/figure>\n<\/div>\n

 <\/p>\n

Uppenbarligen var inte stationstunneln designad f\u00f6r att hantera regnet. Skulden f\u00f6r de bl\u00f6ta byxorna ligger s\u00e5ledes p\u00e5 Region Uppsala f\u00f6r att de l\u00e5tit bygga en t\u00e5gstation som inte klarar regn. F\u00f6r alla vet att n\u00e5gon g\u00e5ng s\u00e5 kommer det att regna.<\/p>\n

Alla vet idag att det kommer en cyberattack. Det \u00e4r en fr\u00e5ga om n\u00e4r bara. Ansvaret ligger d\u00e4rf\u00f6r enligt lagen p\u00e5 den som l\u00e5ter bygga t\u00e5gstationen, eller k\u00f6per in IT-systemet.<\/p>\n

Hur man h\u00e5ller sig torr<\/h2>\n

F\u00f6r att skydda sig mot regnet k\u00f6per vi idag system fr\u00e5n leverant\u00f6rer som lovar dyrt och heligt att deras l\u00f6sningar \u00e4r helt\u00e4ta. Helt\u00e4ta kan de nog dessv\u00e4rre aldrig vara, och tyv\u00e4rr \u00e4r det s\u00e5 att ju fler kunder en leverant\u00f6r har och ju fler kunder leverant\u00f6rens kunder har desto st\u00f6rre blir risken. Vi brukar ju s\u00e4ga att man inte ska l\u00e4gga alla \u00e4gg i samma korg, tyv\u00e4rr \u00e4r det ganska precis s\u00e5 som den digitala arenan fungerar.<\/p>\n

En leverant\u00f6r som s\u00e4ljer till hela v\u00e4rlden inneb\u00e4r en knut som beh\u00f6ver nystas upp f\u00f6r att sabba f\u00f6r just hela v\u00e4rlden. Konsekvensen av lagstiftningen blir dock att den som k\u00f6per tj\u00e4nsten b\u00e4r risken f\u00f6r hela v\u00e4rlden eftersom de k\u00f6per en tj\u00e4nst med en inneboende h\u00f6g risk. Varje kund blir ett \u00e4gg i korgen, och varje kund har med sig en egen korg med \u00e4gg, fast de mindre \u00e4ggkorgarna ligger i den stora \u00e4ggkorgen.<\/p>\n

Den enda egentliga l\u00f6sningen p\u00e5 den h\u00e4r problematiken \u00e4r att h\u00e4mta hem driften och g\u00f6ra mer saker sj\u00e4lv. N\u00e5got som g\u00e5r lite stick i st\u00e4v med den r\u00e5dande paradigmen med SaaS<\/a>\u2013 och moln<\/a>l\u00f6sningar.<\/p>\n

V\u00e4rlden blir mer sammankopplad, vi bygger st\u00f6rre och st\u00f6rre korgar och vi bara litar p\u00e5 att saker och ting ska fungera utan att t\u00e4nka p\u00e5 vad som h\u00e4nder n\u00e4r n\u00e5got havererar.<\/p>\n

I mitt stilla sinne t\u00e4nker jag att vi kanske borde b\u00f6rja anv\u00e4nda kontanter igen.<\/p>\n<\/div>\n

 <\/p>\n

F\u00f6rfattad av
\nJoakim S\u00f6derberg
\nDataskyddsexpert<\/p>\n

 <\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Vilket ansvar hade Coop? Av Joakim S\u00f6derberg Det har varit mycket nyheter om Coop p\u00e5 sista tiden. V\u00e5rt k\u00e4ra kooperativ som s\u00e4ljer maten marginellt dyrare \u00e4n ICA har n\u00e4mligen blivit utsatt f\u00f6r en ransomwareattack! F\u00f6ljden har blivit att potatisen ruttnar och att sillen m\u00e5ste sl\u00e4ngas eftersom kassorna inte fungerar. Tydligen har Coop k\u00f6pt sina kassasystem…<\/p>\n","protected":false},"author":9,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"inline_featured_image":false,"footnotes":""},"categories":[68,67],"tags":[71,69,70],"class_list":["post-2506","post","type-post","status-publish","format-standard","hentry","category-gdprbuddy-en","category-sverige-en","tag-coop-en","tag-gdpr-en","tag-sverige-en"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.gdprbuddy.eu\/en\/wp-json\/wp\/v2\/posts\/2506","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.gdprbuddy.eu\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.gdprbuddy.eu\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.gdprbuddy.eu\/en\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/www.gdprbuddy.eu\/en\/wp-json\/wp\/v2\/comments?post=2506"}],"version-history":[{"count":0,"href":"https:\/\/www.gdprbuddy.eu\/en\/wp-json\/wp\/v2\/posts\/2506\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.gdprbuddy.eu\/en\/wp-json\/wp\/v2\/media?parent=2506"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.gdprbuddy.eu\/en\/wp-json\/wp\/v2\/categories?post=2506"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.gdprbuddy.eu\/en\/wp-json\/wp\/v2\/tags?post=2506"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}