Hur snabbt kan en verksamhet fortsätta att fungera om it-system, elförsörjning eller nätverk slås ut? Enligt en bloggtext från Expando blir frågan avgörande när kritiska system inte längre går att nå och verksamheten måste fortsätta under press.
Texten beskriver att ett cyberangrepp kan låsa eller förstöra viktiga system, men också att el- och nätverksavbrott kan få samma effekt. Då räcker det inte med fokus på prestanda och effektivitet. Det centrala blir i stället om kritiska funktioner kan drivas vidare, om beslutsfattare kommer åt nödvändig information och om kontrollen kan upprätthållas.
Riksarkivet vill säkra information i förväg
Expando hänvisar till Riksarkivet, som enligt texten betonar att samhällskritisk information måste skyddas proaktivt innan en kris uppstår. Myndigheten lyfter enligt texten brister i samordning, otillräckliga regelverk och luckor i skyddet som ökar den systemiska risken.
Riksarkivet framhåller också behovet av långsiktig tillgänglighet till kritisk information, enligt texten. Där nämns bland annat distribuerade lagringslösningar, så kallade dataambassader, samt möjligheten att flytta både digitala och fysiska tillgångar när det behövs.
– Digital dataevakuering är förmågan att säkra, fysiskt flytta och behålla åtkomst till kritisk data under svåra förhållanden, säger Expando i bloggtexten.
Kontinuitet kräver mer än teknik
Enligt texten är traditionell it ofta byggd för effektivitet, skalbarhet och lägre kostnader, inte för att fungera under en pågående kris. Centraliserade system skapar beroenden som blir sårbara när förutsättningarna försämras, och vanliga backup-lösningar förutsätter ofta stabil el och fungerande nätverk.
För att klara en störning krävs därför lösningar som inte är beroende av central infrastruktur, som kan fungera i begränsade miljöer och som bevarar åtkomst till kritiska data även när omgivningen förändras. Texten lyfter också att det operativt kräver tydligt ansvar, definierade processer och en realistisk bild av hur systemen fungerar under belastning.
Slutsatsen i bloggtexten är att skydd i sig inte räcker. Det som behövs är förmågan att fortsätta arbeta när systemen inte längre gör det som förväntas.
