Debattinlägg
Kommer it-bubblan att spräckas av hackers?
En av baksidorna med Internet är att det är så pass enkelt för illasinnade individer att komma över hackerverktyg. Med tiden har dessa verktyg blivit allt kraftfullare, och i början av februari lamslogs under flera timmar en rad kända webbplatser (Yahoo, CNN, ZDNET, Ebay, Buy.com, Etrade, Amazon m.fl.) av hackerintrång. Yankee Group uppskattade skadorna för de drabbade företagen till 1,2 miljarder dollar, och situationens allvar ledde till att Bill Clinton redan inom någon vecka sammankallade en expertkonferens i Vita Huset för att diskutera problemet. Problemet måste ses i perspektivet av de extremt höga börsvärdena hos många Internetföretag. Marknaden reagerar på minsta signal, och ofta räcker det med att ett företag skickar ut ett pressmeddelande om kommande Internetsatsning för att få en påtaglig kursuppgång. Rimligen borde börskursen kunna röra sig lika snabbt i negativ riktning om marknaden fick klart för sig hur sårbara Internetbanker och e-handelsföretag är för hackerattacker. Ett exempel på detta är när det amerikanska säkerhetsföretaget RSA utsattes för ett i och för sig harmlöst intrång på sin hemsida. Konsekvensen blev dock att börskursen föll från ca 70 till ca 50 dollar över dagen. En mer allvarlig hackerattack som lamslår en hel e-handelsplats under en vecka kan jämställas med ett traditionellt företag där samtliga säljare och tekniker tar semester samtidigt. Som branschman står jag i daglig kontakt med ledande e-handelsföretag. Jag slås därvid av häpnad över hur låg kunskap om hotbilden många av dessa företag besitter. Än mindre har man utvecklade skyddsmetoder och beredskap för incidenter. Om frågorna överhuvudtaget diskuteras inom företagen sker det på teknikernivå, ytterst sällan på ledningsnivå. För att möta marknadens högt ställda förväntningar på framtida vinstutveckling medges inga misstag. Företagets it-säkerhet är av avgörande betydelse för dess värdering. Det är en fråga som måste ingå i ledningen strategiska arbete, och konsekvenserna av intrång måste utredas och värderas. För e-handelsföretag är sårbarheten mycket hög, eftersom det finns tusentals personer kapabla att vilket ögonblick som helst förlama dess webbplatser. Med obefintlig incidentberedskap kan stilleståndstiden lätt räknas i dagar. Det är orimligt lång tid på en global marknad som förväntar sig service 24 timmar om dygnet. Det finns undersökningar som visar att en genomsnittlig webbkund som inte finner det han söker inom åtta sekunder går vidare till en konkurrerande webbhandelsplats. Även företag som finns både på webben och har traditionell försäljningsverksamhet kan inte förbise det faktum att en dålig webbhandel även påverkar den övriga verksamheten negativt. Enligt Gunnar Ek hos Aktiespararna har det förekommit flera riktigt stora fall av datafallissemang som kostat hundratals miljoner kronor, men som företagen inte velat berätta om. Som investerare i e-företag har man rätt att ställa krav på att de har ett vettigt skydd. Vem skulle investera i ett traditionellt företag som saknar lås på sina dörrar? Skulle aktörerna på aktiemarkanden vara lika investeringsvilliga om de var full insikt i e-handelsföretagens riskexponering? Aktiekurserna är måhända uppblåsta, kanske kan de motiveras av att vi är på väg in i en ny och effektivare ekonomi. Helt klart står dock att värderingen vilar på en skör grund om inte företagen har vett att skydda sig. Aktiemarknaden måste därför ställa krav på öppen redovisning av företagens it-säkerhet. Mats Karlsson, nordenchef för it-säkerhetsföretaget ISS. E-post mkarlsson@iss.net