Det är ett nytt år och vi är redan långt in i februari. Många verksamheter påbörjar nu sitt arbete med att se över sitt kontinuitets- och riskarbete för att identifiera nya risker som hotar att skapa avbrott i verksamheten. Själv undrar jag om våra riskkartor och kommande avbrott faktiskt kommer att se annorlunda ut från föregående år?
Under 2018 fick Sverige uppleva en rad störningar och avbrott, orsakade av olika hot. Sverige ställdes inför allt från extremvärme med bränder som följd, stormar, extremregn, cyberattacker, tekniska problem och strömavbrott. Vi har också sett, vad jag väljer att kalla, ”organisatoriska avbrott”. Med detta menar jag avbrott som uppstått på grund av bristfällig förvaltning av en verksamhet och/eller dåligt uppförande hos ledande befattningar.
Gör man en utblick över avbrott som skett i världen 2018 kan man konstatera att extremväder har varit en av de större orsakerna till avbrott för verksamheter och hela samhällen, tillsammans med cyberrelaterade attacker och malware.
Vad ser vi då för trender inför 2019 om avbrotten som komma skall? Min bedömning är att problematiken ser snarlik ut som den gjorde 2018. Möjligtvis är skillnaden att väderfenomenen blir kraftigare och de cyberrelaterade hotens utförare effektivare. Därmed kan konsekvenserna bli större om vi inte håller oss à jour med utvecklingen. Oavsett vilken rapport jag läser är det cyberrelaterade risker som står högst upp på riskkartan tillsammans med extremväder. Det är också det jag grundar min trendspaning på.
Jag förutspår, med risk för att jag slår in öppna dörrar, att 2019-års avbrott kommer att ha fokus på;
I Onsolves undersökning ”Crisis Communications & Emergency Notification Survey” fick respondenterna en flervalsfråga där man efterfrågade vilka cyberrelaterade hot som stod för den största oron inom verksamheten. Resultatet sätter malware och ransomware i toppen tillsammans med phishing. I flera andra undersökningar ser man också exempel såsom cryptojacking, utnyttjande av sårbarheter i så kallade open source-programvarubibliotek.
Även ”The Global Risks Report 2019” från World Economic Forum, pekar mot cyberrelaterade attacker/virus, cyberbedrägerier och informationsstölder, utöver väderrelaterade händelser som ligger i toppen. I rapporten belyser man också avbrott i kritisk informationsinfrastruktur på grund av cyberrelaterade attacker. Denna typ av infrastruktur är de grundläggande fysiska och icke-fysiska strukturerna som stödjer informationsteknik. Detta kan bland annat röra fiberoptisk kommunikation, satelliter, hårdvara till nätverk och molntjänster, plattformar, mjukvara och Internet of Things-enheter.
”UN Office for Disaster Risk Reduction” har presenterat direkta ekonomiska förluster från klimatrelaterade katastrofer som inträffat under de senaste 20 åren (1998–2017). Kostnaderna är massiva där USA, Kina, Japan, Indien och Puerto Rico står för majoriteten av förlusterna på närmare 3 miljarder US-dollar. Under tidsperioden har de direkta ekonomiska förlusterna från klimatrelaterade katastrofer ökat med ca 150 procent. I toppen av rapporterade katastrofer ser man händelser såsom översvämningar, stormar och jordbävningar. Det kan upplevas som svårt att relatera till katastrofer i de länder som nämnts ovan. Dock ska man inte glömma att Sverige förra året stod inför både extremvärme och bränder, stormar samt regn med översvämning som följd. Händelser som skapade avbrott för både samhället och för en rad olika verksamheter i Sverige. Vi har tidigare varit hyfsat förskonade från den här typen av händelser.
Oavsett om det gäller extremväder, cyberattacker eller andra avbrott så kan man vara säker på en sak – de kommer att inträffa. Vi kan inte stoppa dem helt men vi kan planera för hanteringen av dem.
Som konsult får jag ofta frågan varför man ska arbeta med kontinuitetsplanering överhuvudtaget. Jag brukar svara med en motfråga ”varför har du en försäkring?”. Kontinuitetsplanering är som en försäkring – du vet inte om du kommer att behöva använda den, men om verksamheten drabbas av ett avbrott kan det vara avgörande för verksamhetens överlevnad att ha en.
Av erfarenhet kan jag uppriktigt påstå att få svenska verksamheter lever upp till en grundläggande nivå när det kommer till kontinuitetsplaneringsarbetet. Ofta pratar man om IT-planering och återställande av IT-system och nöjer sig med det. Även om förmågan att återställa IT-system är en delmängd av kontinuitetsplanering är det ett endast ett delområde.
Även fast begreppet kontinuitetsplanering florerar i svenska verksamheter tillsammans med begreppet resiliens upplever jag att det fortfarande är främmande att arbeta strukturerat med förebyggande planering i många verksamheter. Självklart sker viss planering, och en del verksamheter är bättre än andra. Dock är den ofta undermålig om man jämför med andra länders verksamheter, i och utanför Sverige. I dessa internationella verksamheter har kontinuitetsplanering och resiliens funnits på tapeten sedan länge och de har kommit långt i sin förebyggande planering för att säkra verksamheten vid eventuella avbrott.
Har man som verksamhet inte specialistkunskapen för att upprätta en välfungerande kontinuitetsplanering är min rekommendation att ta hjälp. Det finns specialister som är riktigt bra på området och som kan hjälpa till att säkra upp er verksamhet, skydda den och minska de konsekvenser som uppstår vid ett avbrott. Har du däremot specialistkunskapen internt är min rekommendation att våga utmana den! Detta kan exempelvis göras genom en granskning från en extern part. Det finnas alltid förbättringsmöjligheter som inte nödvändigtvis behöver kosta allt för mycket men som däremot ger ett bra förebyggande skydd.
Det finns många fördelar med att arbeta med kontinuitetsplanering. För många handlar det främst om att leva upp till olika lagkrav men det finns mer att vinna på ett strukturerat kontinuitetsarbete än så! Kontinuitetsplanering;
Hur kommer det att se ut i din verksamhet under 2019? Är ni verksamheten som överlever extremväder, riktade cyberattacker och/eller attacker mot kritisk informationsinfrastruktur eller inte?
Skriven av Marina Johansson
