Många svenska företag förlitar sig blint på amerikanska molnjättar utan en fungerande evakueringsplan för sina data. Enligt experter på it-säkerhetsföretaget IssTech är föreställningen att man snabbt kan ”bygga om” systemen vid en kris en farlig illusion som kan sänka samhällskritisk verksamhet på mindre än en timme.
Geopolitisk osäkerhet, sofistikerade ransomware-attacker och komplexa molnmiljöer har skapat en sårbarhet som många beslutsfattare underskattar. Christian Petersson, branschveteran och vd på IssTech, drar paralleller till 90-talets it-utmaningar och menar att dagens bortförklaringar liknar gårdagens, trots att tekniken gått framåt.
– Tekniken förändras, men ursäkterna förblir desamma. För 25 år sedan sa man att man inte behövde en katastrofplan för att man hade automatiserade verktyg för att installera om servrar. Idag säger man att man inte behöver backuper för att man kan bygga om allt i molnet. Historien slutar alltid på samma sätt: med en utdragen och kostsam kris, säger Christian Petersson.
Komplexitet skapar inlåsning
I moderna it-miljöer, som ofta bygger på Kubernetes och molnbaserade mikrotjänster, är beroendena så många att en återställning i praktiken kan ta veckor. Christian Petersson betonar att dagens DevOps-kulturer visserligen är effektiva, men att de ofta missar risker som inte fanns med när systemen designades.
Han lyfter fram geopolitik och datasuveränitet som de nya stora orosmolnen. Om svensk data blir en bricka i ett internationellt politiskt spel hjälper det föga att ha en automatiserad pipeline om man inte har tillgång till själva plattformen.
Regleringar som läxor från förr
Nya EU-direktiv som DORA och NIS2 ses ofta som administrativa bördor, men enligt IssTech bör de betraktas som nödvändiga säkerhetsåtgärder baserade på historiska misstag.
– Nya EU-regleringar som DORA och NIS2 är inte byråkratiska hinder. De är ett brev från en tidigare generation till nästa. Vi som var med före år 2000 har redan gjort de här misstagen, drabbats av dataförluster och sett system gå ner. Lagarna är helt enkelt dessa hårt förvärvade lärdomar kodifierade för att hjälpa nästa generation att inte snubbla på samma stenar, förklarar Petersson.
Framtiden bär dessutom med sig nya utmaningar i form av AI-agenter som autonomt kan skapa beroenden i it-plattformar. Om dessa funktioner kollapsar utan it-avdelningens vetskap blir återställningen nästintill omöjlig utan en strukturerad plan.
Tio minuter till evakuering
För att vara motståndskraftig krävs en oberoende dataskyddsstrategi. IssTech rekommenderar att svenska organisationer ska kunna påbörja en flytt av sina mest affärskritiska system inom tio minuter vid en skarp incident.
– Ju modernare IT-miljö, desto viktigare är det att agera nu. Det första steget är att inventera vad som är absolut affärskritiskt. Bygg er plan B utifrån det och, viktigast av allt, öva på den. I ett skarpt läge är det avgörande att kunna påbörja dataflytten inom tio minuter och att alltid ha tillgång till en offlinekopia, något få svenska företag har idag, avslutar Christian Petersson.
