I höstas havererade flera av universitetets servar vilket ledde till att runt hälften av medarbetarna blev av med både e-post eller kalender. Vad stoppet berodde på har tidigare redovisats i en teknisk rapport. Nu har internrevisionen även lämnat en rapport i ansvarsfrågan. I denna konstateras att ansvaret ligger både på universitetet och den leverantör som har hand om e-posten.
I januari presenterade internrevisionen en rapport för styrelsen om omständigheterna kring e-poststoppet.
Nu har internrevisionen även lämnat rapport i ansvarsfrågan och informerat både rektor Eva Wiberg och styrelseordförande Peter Larsson om sina slutsatser.
Internrevisionen bedömer att det är fem områden som är kritiska i ansvarsfrågan.
Avsaknad av traditionell säkerhetskopia
Hade universitetet haft en traditionell säkerhetskopiering hade skadorna av stoppet blivit marginella. Sedan GU införde nuvarande e-postlösning 2015 har det funnits en planering och inriktning som syftar till att det ska införas. Planeringen har mynnat ut i att e-postprocessen skulle migreras till det så kallade molnet (Exchange on Cloud), vilket ännu inte hade skett när haveriet inträffade.
Den lösning universitetet hade överensstämde med Microsofts ”best practice”, vilket gör att internrevisionens bedömning är att beslutet om att inte ha traditionell säkerhetskopiering inte kan rubriceras som felaktigt.
Avsaknad av supportavtal
IT-enheten ansvarar för att teckna och förvalta supportavtal för driften av e-posten. På uppdrag av IT-enheten inventerade Atea dessa avtal under 2019 och utifrån inventeringens resultat begärde IT-enheten in en offert från Atea och beställde i enlighet med denna. Internutredningens rapport visar dock att offertens uppgifter inte stämde överens med den gjorda inventeringen vilket fick till följd att det inte fanns något supportavtal tecknat för de diskar som används för lagring vilket kan ha bidragit till att GU inte fick information om den så kallade 40k-buggen.
Enligt internrevisionen har parterna delat ansvar för det saknade supportavtalet. Å ena sidan kan det hävdas att IT-enheten borde ha kontrollerat underlaget noga, å andra sidan kan IT-enheten med fog förvänta sig att Atea ska leverera korrekta underlag.
Åtgärder i samband med haveriet
Redan i augusti havererade ett stort antal av hårddiskarna i en av universitetets två serverhallar (serverhall A). Haveriet påverkade dock inte e-postanvändningen eftersom den andra serverhallen (serverhall B) då tog över driften. I ett mejl daterat 21 augusti från Atea till GU, innan det stora haveriet den 18 september, framgår att problemen är allvarliga och att ett intensivt arbete pågår i vilket Atea tagit hjälp av både Dell och Microsoft. Där anges också att de handlar om den så kallade 40k-buggen, men att diskarna i serverhall B (de som sedan gick sönder) är ”utom fara”. Det innebar att nödvändiga åtgärder inte vidtogs.
Det kan enligt internrevisionen hävdas att IT-enheten borde ha ifrågasatt dessa uppgifter, men det ska ställas mot att Atea har driftansvar på e-posten samt har etablerad kontakt med Dell.
Informationsflödet
Internrevisionen bedömer att IT-enheten borde ha förmedlat informationen om riskerna i e-postdriften uppåt i organisationen senast i slutet av augusti när omständigheterna blev kända. Som det var nu stannade denna information hos IT-enheten.
Gällande driftavtal
Internrevisionen bedömer att Atea utifrån det med GU tecknade driftavtalet hade ett betydande och långtgående ansvar. Detta inte minst utifrån perspektivet omvärldsbevakning relaterat till den aktuella buggen.
– Vi delar slutsatserna om att ansvaret för konsekvenserna vilar på båda parter. Nu behöver vi nogsamt analysera vår del av ansvaret och se vilka ytterligare åtgärder som kan göras, exempelvis gällande interna rutiner, för att undvika att något liknande händer igen, säger rektor Eva Wiberg.
Sedan tidigare har uppdrag getts till universitetsdirektören att bland annat säkerställa IT-miljön utifrån internrevisionens rekommendationer i den tekniska utredningen av händelseförloppet.
AV: Ulrika Lundin