Dataföreningens VD Annica Bergman gråter ut i dagens Computer Sweden. Kostnaderna för att säkra och återställa deras system efter intrånget i februari sägs uppgå till en miljon kronor och Annica Bergman anser att föreningen blivit bestulna på dessa pengar.
I verkligheten är kostnaden mycket högre, om man räknar hur mycket tid och extra besvär intrånget kostat föreningens medlemmar. Men vems är ansvaret?
– Man skulle väl kunna säga att vår miljö inte var tillräckligt säker, men se på vilka som har haft intrång under våren: Aftonbladet, Spray, Bilddagboken.
”Man skulle väl kunna säga”? Finns det något annat att säga än att deras miljö inte var säker? Vad har Aftonbladet, Spray och Bilddagboken med saken att göra? Är det ok att inte göra sitt jobb för att det förekommer även i andra organisationer?
Dataföreningen tycks drivas som ett aktiebolag. Senast jag kollade aktiebolagslagen sa den att VD har ansvaret för bolagets förvaltning. Finns det därmed någon annan än företagets VD som har det övergripande ansvaret för att se till att IT-miljön är säker? Att kundernas (medlemmarnas i det här fallet) privata uppgifter inte sprids vind för våg?
Jag menar inte att en VD själv ska kunna bedöma säkerheten i företagets IT-miljö. Inte ens när det gäller ett företag som säger sig sälja informationssäkerhet. Men VD har ansvaret även om det praktiska arbetet delegeras.
Det börjar dra ihop sig mot semestertider och om Annica Bergman får en stund över i hängmattan så föreslår jag en god bok om konsten att ta ansvar, ”Det var inte mitt fel!” av Ann Heberlein. De utvecklare som ursprungligen byggde Dataföreningens system borde också få varsitt exemplar.