En vanlig morgon på jobbet slutar plötsligt centrala tjänster att fungera; som mail, ärendehantering eller informationsflöde om driftdata. Det visar på hur sårbart säkerhetsarbetet är och att riskhantering mer måste handla om beroenden och exitförmåga.
Jag tror att många fortfarande föreställer sig att ett allvarligt avbrott ska låta mycket, som ett larm, ett haveri eller något dramatiskt. Men ofta börjar det i stället med en tystnad.
En helt vanlig morgon. Ditt kaffe är upphällt och arbetsdagen med förvaltningen drar i gång. Du ska skicka information till hyresgäster, en kollega behöver komma åt ritningar, avtal och information från driftdata. Men mejlen synkar inte, dokumenten går inte att öppna. Teams känns märkligt tomt. Du upptäcker att felanmälningar inte kommer in som de brukar. Ett passersystem svarar långsamt.
Och du upptäcker att det som nyss var en vanlig arbetsdag plötsligt stannar upp.
Exitförmåga
Det är i sådana stunder jag tänker att vår tids sårbarheter sällan sitter i det vi kan ta på eller ser framför oss.
Fastigheten står ju kvar, teknikrummen surrar på. Entréerna öppnar kanske fortfarande. Men du märker att verksamheten hackar, tvekar eller stannar för att något centralt och digitalt inte längre går att lita på.
Och det är precis därför jag tycker att exitförmåga kopplat till risk förtjänar en mycket större plats i samtalet om fastighetsförvaltning och i verksamheter. Med exitförmåga menar jag förmågan hos en verksamhet att kunna byta ut en kritisk leverantör, it-system eller AI-modell utan att hela processen stannar av eller skadas allvarligt.
Jag anser inte att exitförmåga handlar om att vara misstänksam mot varje leverantör eller att börja byta system i panik när omvärlden skakar.
Jag vill säga att det handlar om något mycket mer konkret: att inte bli handlingsförlamad när omvärlden förändras snabbare än avtalen gör. Det handlar om att veta vad ni gör om en central tjänst blir otillgänglig, olämplig, för dyr, juridiskt osäker eller strategiskt fel att fortsätta bygga på.
Ha kontroll på riskanalysen
Här tycker jag att riskhantering ofta kan blir för snäv.
Vi är vana att bedöma driftstörningar, cyberangrepp, leverantörsrisker och tekniska fel. Men i dag behöver riskanalysen också tåla frågor som känns större än it och ändå landar mitt i verksamheten.
Vad händer om geopolitiska spänningar påverkar en leverantör ni är beroende av? Om sanktioner, handelskonflikter, ägarförändringar eller nya regulatoriska krav plötsligt förändrar spelplanen? Om en tjänst ni tagit för given inte längre är självklar att använda, eller inte går att använda på samma sätt som igår?
Att bygga sin vardag på beroenden
Jag vill påstå att det här inte bara angår de största organisationerna utan det angår alla som bygger sin vardag på olika typer av beroenden.
För fastighetsbranschen är beroendena dessutom mer verksamhetsnära än många vill tro. Det handlar inte bara om verksamhetens it-system. Jag vill säga att det handlar om kommunikation med hyresgäster, samverkan med entreprenörer, åtkomst till dokumentation, uppföljning av energi, bokningsflöden, identiteter, behörigheter, molnlagring, kameraövervakning, passersystem och alla de osynliga trådar som får vardagen att hänga ihop.
Det är därför jag menar att exitförmåga handlar om att vara realistisk i sin förvaltning.
Inte för att måla upp hot, och inte för att använda ännu ett trendord, utan för att ta ansvar för verksamhetens verkliga beroenden. Man måste våga se att beroenden också är affärsrisker, förvaltningsrisker och förtroenderisker.
Kan ni exportera er data? Vet ni vem som äger behörigheterna? Har ni prövat hur ni arbetar om en central plattform försvinner i en vecka? Vilka funktioner måste fungera första dygnet, första månaden, första kvartalet? Och kanske den frågan som kräver mest eftertanke av alla: vilka beroenden har ni slutat se, just för att de har fungerat så länge?
För sent att upptäcka en väg ut
Jag tror att det är där man måste börja. För det farliga är inte alltid att något kan gå ner. Det farliga är när ingen riktigt har tänkt igenom vad som händer då.
Den morgon då allt plötsligt känns lite för tyst är det för sent att upptäcka att verksamheten saknar väg ut. Då hjälper det inte att fastigheten står stabilt om beroendena runt den har låst in er.
Exitförmåga är därför inte en teknisk specialfråga vid sidan av förvaltningen utan den är en del av modern förvaltning. Och i ett mer osäkert omvärldsläge är det kanske just den insikten som avgör vilka verksamheter som fortsätter fungera, och vilka som bara står kvar.
Maria Svärd
Rådgivare informations- och cybersäkerhet
