Vem granskar SJ, SL och Posten? Kabelbrand hos Evry skapar “en del” frågor

Enligt företaget själva så tänker de så här: “EVRY är ett ledande IT-företag med ett team på 10 000 medarbetare och med en lokal närvaro på 50 orter i Norden. Vi hjälper dig med allt från strategisk rådgivning och konsulttjänster till lösningar och outsourcing.”

Som så många andra företag inom IT-sfären så hävdar de att stort betyder bra.

När hela eller delar av IT-infrastrukturen av samhällskritiska företag, myndigheter och/eller organisationer ligger hos en och samma leverantör, eller hos flera leverantörer med samma ägare, eller flera leverantörer som delar infrastruktur, så skapar man implicita och explicita risker.

Varför finns det ingen ansvarig myndighet som ser till att Posten, SJ och SL inte hamnar under samma tak vad gäller IT-drift, IT-infrastruktur och IT-tjänster?

Posten kan inte hitta sina egna paket, Posten kan inte lämna ut REK-försändelser, osv. SL kan inte ge ut någon vettig information vad gäller tidtabeller och/eller annan färdrelaterad information. Biljettbokningen hos SJ fungerar inte.

Det är självklart att den här typen av incidenter kan förekomma oavsett leverantör, men att lägga så pass viktiga företag och tjänster i en och samma korg känns som en duktig logikvurpa.

Om någon vill skapa kraftiga störningar inom det svenska samhället av en eller annan orsak, så krävs det inte särskilt många riktade attacker. Om en brand i en serverhall (Evry) eller en brand i ett ställverk (Kista, upprepade ggr), mm kan skapa sådana här problem, fundera på vad som skulle kunna hända om ett antal individer med kunskap om riktade attacker, både fysiska (sprängningar, sabotage, mm) och virtuella (IT-relaterade, överbelastningsattacker, intrång, etc) bestämde sig för att helt enkelt sätta Sverige i ett “Offline-läge”.

SL har idag, över ett dygn efter kabelbranden hos Evry inte återfått 100% funktionalitet på tjänsterna Trafikstörning, Nästa avgång i realtid, mm. De digitala informationsskyltarna på vissa hållplatser är fortsatt ur funktion eller visar felaktig information. Posten vet överhuvudtaget inte när de kan spåra och/eller leverera ut alla paket och försändelser.

Vad som är mer än skrämmande är att Evry hade en serverkrasch sommaren 2013 (Juli), där SL, SJ, Posten och Systembolaget med flera drabbades av stora störningar (Computer Sweden; http://computersweden.idg.se/2.2683/1.516560/kaos-i-it-sverige). Det var tydligen ingen hos de berörda företagen som ställde sig frågande till infrastrukturen den gången heller.

Man skulle kunna tänka sig att en leverantör som Evry, som klarat upphandlingsurskiljning från Posten, Systembolaget, SL, SJ m fl skulle kunna hantera att sätta upp en helt vanlig replikerande och redundant miljö på annan plats. Man skulle också kunna tänka sig att detta alltid skall vara ett krav från kunder som har så pass känsliga roller i samhället.

MSB (Myndigheten för Samhällsskydd och Beredskap) kanske tycker något. Någon borde iaf tycka något.

8 thoughts on “Vem granskar SJ, SL och Posten? Kabelbrand hos Evry skapar “en del” frågor”

  1. Bra skrivet. Allt för många myndigheter går på billigast möjliga i sina upphandlingar. Kvalitet är inget som räknas. Och bristen på kvalitet drabbas oss som konsumerar deras tjänster.

    1. Tackar 🙂
      Jag tycker en väldigt stort problem i sammanhanget är att man inte granskar den större bilden. Det sunda förnuftet borde tala emot att lägga alla ägg i en korg när det gäller företag/myndigheter/organisationer med samhällskritisk funktion. MSB eller någon annan borde verkligen se över det här, NU!

  2. Det är ganska få bolag som klarar av att hosta så pass stora driftskunder så som Posten, SJ och SL mfl. är. Det är 100tals servrar med komplexa system, miljöer och relationer. Dessutom står många av dessa bolag i direkt relation och beroende mot varandra IT-infrastrukturmässigt sett (tex SJ och SL som delar viss miljö). Det finns kanske 2 eller 3 bolag i Sverige som kan och vill hosta så stora och komplexa miljöer som tex. SJ.

    1. Då får man lösa det på något annat sätt. Att det är svårt kan ju knappast vara en försvarbar motivering när vi pratar om något som berör eller kan komma att beröra stora delar av samhället. Kanske får Posten då ha sin egna driftmiljö, med allt vad det innebär, istället för att “köpa prispressad IT på kran” för att det skall se bättre ut i resultatböckerna.

      Jag är mer än väl insatt i komplexiteten av stora IT-system, men det här är ju inte på långa vägar omöjligt att lösa. Det minsta man kan kräva är att dessa system har replikerade reservmiljöer. Brev- och paketspårning består förvisso av många transaktioner och mycket data, men det är inga komplexa datastrukturer vi pratar om. Att SL och SJ har system som interagerar är väl inte heller någon kärnfysik att lösa.

      En tanke skulle ju också kunna vara att kräva att leverantören har redundanta miljöer på annan ort, fysiskt separerade och inte beroende av varandra.

  3. Lika viktigt som att bygga teknik och rutiner som klarar katastrofer som denna är att TESTA dessa regelbundet, genom att “dra ur sladden”. Uppenbar brist i Evry-fallet…

    1. Ja, det är lite smått udda att detta inte finns med som en rutin när det gäller sådan kritisk drift. Dessutom kan man ju tänka sig att väldigt många fler kunder påverkats.

Leave a Reply

Your email address will not be published. Required fields are marked *

Notify me of followup comments via e-mail. You can also subscribe without commenting.