Nu släpper Myndigheten för samhällsskydd och beredskap, MSB, och Kammarkollegiets rapport om outourcingleverantören Tietos omfattande it-haveri i november. En mängd system hos ett femtiotal myndigheter och företag slogs ut, i många fall i flera dagar.

Som CS tidigare berättat är Kammarkollegiet skarpt kritiskt mot Tietos ovilja att dela med sig av information om de tekniska orsakssambanden bakom jättekraschen. Tieto har försvarat sig med att detta är frågor som fortfarande är under utredning.
Men nu visar det sig också att Tieto inte heller ville berätta för MSB vilka myndigheter som var drabbade av kraschen.

Bara timmar efter att Tieto-haveriet kallade MSB samman sin speciella samverkansgrupp för informationssäkerhet. Redan från start stod det klart att Apotekens receptsystem slagits ut. Men bit för bit stod det klart för MSBs specialgrupp att även en lång rad andra samhällsfunktioner drabbats.

Att läget inledningsvis bedömdes som potentiellt allvarligt framgår av att samverkansgruppen flera gånger övervägde att aktivera en nationell plan för allvarliga it-inicidenter. Tidigt i processen skickades också en preliminär lägesbedömning om Tieto-kraschen över till försvarsdepartementet.

Samverkansgruppens första steg var att försöka skaffa sig en överblick av haveriets konsekvenser för att få underlag till ett senare ställningstagande om haveriet skulle bedömas samhällsfarligt eller inte.

Men när MSB tog kontakt med Tieto för att ta reda på vilka myndigheter som drabbats av kraschen, blev det kalla handen. Tieto ville inte berätta det med hänvisning till affärssekretessregler i outsourcingavtalen.

– Av många skäl, bland annat kundsekretess styrda av våra avtal, lämnar vi inte ut till tredje part vad vi levererar och till vem, säger Christer Mattsson, global kvalitetschef på Tieto.

Han tillägger att om MSB gjort bedömningen att haveriet var samhällskritiskt, då hade ställningstagandet kunnat bli annorlunda, men då i samverkan med berörda kunder.

– Men det fanns ingen sådan bedömning från MSBs sida.

MSB fick via andra kanaler ganska snabbt en tillräckligt klar bild för att kunna slå fast att haveriet inte var kunde klassas som en samhällskris, även om den drabbade flera samhällsviktiga verksamheter. Men Richard Oehme, chef för MSB enhet för samhällets informationssäkerhet, vet ännu idag inte exakt vilka myndigheter som drabbades av Tieto-kraschen.

– Vi har en ganska bra bild, men jag kan inte svära på att den är komplett, säger Richard Oehme,

MSBs och Kammarkollegiets rapport ger fler interiörer om svårigheterna att få information av Tieto om haveriet.

Båda myndigheterna inbjöds att vara med i en referensgrupp till Tietos egen haveriutredning. Men efter att Tieto misslyckats med att få dem att skriva på ett non disclosure-avtal i strid med den offentlighetslagstiftning som myndigheter är skyldiga att följa, ströps informationen från Tietos sida.

Efter ett möte i i mitten av januari där Tieto i princip bara berättade att man inte hade något att säga, ansåg Kammarkollegiet samarbetet var meningslöst och hoppade av från referensgruppen.

MSB valde att sitta kvar i gruppen, men konstaterar i rapporten att informationen man fått från Tieto är i det närmaste obefintlig.

– Tieto har varit tillmötesgående utifrån sin affärslogik. Samtidigt kan vi bara konstatera att den information vi fått från dem har varit begränsad, säger Richard Oehme.

Fakta

Detta föreslår MSB för att snabbare på information om omfattningen av framtida haverier hos outsorucingleverantörer:

  • MSB har redan tidigare föreslagit ett rapporteringssystem där alla myndigheter direktrapporterar it-störningar till en central instans. MSB får på så vis en snabbare bild av omfattning och eventuell samhällsfara av ett it-haveri hos en outsourcingleverantör med myndighetskunder.
  • Kammarkollegiets ramavtal för outsourcingtjänster kan i framtiden användas för att ställa bättre säkerhetskrav vid upphandlingar.