Cyberattacken ett incitamentsproblem

Saturday 3 July, 2021

Bild: 2017-09/dsc01062.jpg

Cyberattacken som slagit ut Coop beror i grunden på felaktiga incitament. Det kan tyckas som ett märkligt påstående, men jag ska förklara varför.

Lyckade cyberattacker är i grunden väldigt sällsynta händelser. Kanske inte på en aggregerad nivå, men för varje enskild systemägare. Ingen kunde förutse att just Kaseya skulle drabbas.

Risken för att en sådan attack ska inträffa är oerhört svår att bedöma för ett företag som inte har insyn i de tekniska detaljer som möjliggör angreppet. Den som överlåter administrationen av sina system till en extern part kan med andra ord betala för en tjänst där sannolikheten att bli hackad är en på en miljard - medan leverantören i själva verket vet att risken är betydligt större, kanske en på en miljon.

Kommer bluffen då inte att avslöjas? Den enda möjligheten för köparen av Kaseyas tjänst att få veta den sanna sannolikheten för en framgångsrik hackerattack är om den verkligen inträffar. Och inte ens då vet köparen - exempelvis Coop - med säkerhet att risken inte var en på en miljard, utan betydligt högre. Det kan ju faktiskt ha varit denna extremt lilla risk som inträffade, även om det ex post ter sig mindre sannolikt att risken verkligen var så låg som en på en miljard.

Genom att lägga allt ansvar för eventuella konsekvenser på Kaseya skulle man enligt rättsekonomisk teori kunna ge detta företag tillräckliga incitament att vidta förebyggande åtgärder - man lägger ansvaret på den aktör som har kunskapen och förmågan att minska risken.

Då möter vi nästa problem - Gudfaderssyndromet. Det spelar ingen roll för Kaseya om användarnas ekonomiska krav efter attacken uppgår till en miljard dollar eller hundra miljarder dollar. Företaget kommer att gå under i vilket fall som helst. Och om Kaseya vet att det är kört alldeles oavsett finns alltför svaga skäl att vidta förebyggande åtgärder.

Det finns egentligen bara två lösningar på problemet. Det första är att Kaseya deponerar tillräckliga resurser för att täcka eventuella skador. Men det ter sig osannolikt att företaget ens kan ersätta Coop för kedjans förluster i Sverige - än mindre skulle det kunna ersätta alla andra leverantörer för deras förluster. Ett gigantiskt företag som Microsoft skulle visserligen kunna ersätta en stor del av förlusterna, men Kaseya är inte Microsoft.

Den andra möjligheten är att decentralisera ansvaret för säkerheten. Intressant nog finns det en Coopförening i Sverige som kan hålla sina butiker öppna i dag - Coop Värmland. Det beror på att den regionala föreningen inte har delegerat ansvaret för sina datorsystem till en extern aktör.

Nu undrar ni förstås - hur kan Coop Värmland lyckas bättre än ett internationellt cybersäkerhetsföretag med att skydda sina system? Är deras datortekniker så vassa att de kan hålla ryska hackare ute?

Nej, givetvis inte. Men eftersom man vet att man inte kan matcha internationella aktörer som Kaseya väljer man en annan strategi. Man låter inte datorerna vara öppna för fjärrstyrning och man är framför allt inte ett intressant mål för ryska hackare. Coop Värmland har kanske lite högre kostnader för att administrera sina system, men förmodligen tar man igen den kostnaden i dag när alla andra Coop-butiker tvingas hålla stängt.

Exemplet visar att decentralisering är en bra metod för att öka säkerheten. Och decentralisering är faktiskt den princip som hela Internet bygger på. Det pågår en ständig dragkamp mellan centrala och decentraliserade lösningar. Centrala lösningar kan vara billigare på kort sikt - men de kan bli väldigt dyra på längre sikt. Att flytta kontrollen över IT-tjänster till centrala aktörer som Kaseya och företag som använder Kaseyas produkter går i grunden mot principen om ett decentraliserat nät - och kan som vi sett bli mycket kostsamt.