Incheckningshallen på Landvetter.
2017-05-31

SAS om British Airways-kraschen: Vi har också Tata

Radarbloggen. I samband med helgens stora flygstrul har British Airways, BA, fått klander för sin IT-outsourcing. SAS använder samma outsourcingleverantör: Tata Consultancy Services, TCS.

Man måste hela tiden titta på vad som går att förbättra – testa och gå igenom sina rutiner, säger Mattias Forsberg, CIO på SAS.

Kritiken från facket lät inte vänta på sig efter helgens stora IT-haveri hos BA, som Radarbloggen kunde rapportera om igår. Många tog då upp att BA sade upp omkring 200 IT-anställda förra året och outsourcade deras arbete till den indiska IT-outsourcingjätten TCS. Men BA:s vd förnekade att det hade någonting med de nu inträffade problemen att göra.

– Vi har också outsourcat till TCS, säger SAS CIO Mattias Forsberg.

– Jag har pratat med dem om situationen. Enligt Tata har de inget med de aktuella delarna att göra. Outsourcingen rör andra områden.

Han berättar att de flesta stora flygbolag har arbetat med outsourcing av IT-drift under lång tid.

– Det ska man klara av. Vi gör det inte bara av kostnadsskäl. Det är också för att komma åt kompetens, säger Mattias Forsberg.

SAS har inga egna datacenter utan hyr kapacitet hos andra. Flygbolaget jobbar med en egen virtualiserad IT-miljö, men äger inga servrar.

Skulle ni inte kunna bli av med datacenterstrul genom att lägga ut allting på molntjänster, till exempel hos Amazon eller Microsoft?

– Alla system är inte riktigt anpassade för det. Vi har vissa system som kör på ganska gammal teknik. Men förändringen går åt det hållet. Vi har en aggressiv plan där vi flyttar allt mer till molnet, säger Mattias Forsberg.

Det stora IT-haveriet hos BA beror enligt uppgifter i brittisk media på en strömspik som slagit ut ett datacenter utanför Heathrow-flygplatsen. Det fick enorma konsekvenser, med 75 000 drabbade passagerare, inställda avgångar, strul med bagare och så vidare. Experter räknar med att det kommer att kosta BA uppemot 1,1 miljarder kronor, förutom att det innebär en ordentlig PR-smäll.

– Lärdomen är att det aldrig går att stå stilla. Man måste hela tiden titta på vad som går att förbättra – testa och gå igenom sina rutiner, säger Mattias Forsberg.

Han påpekar samtidigt att händelsen nu i helgen knappast är unik i flygbranschen. Så sent som den 20 april drabbades en lång rad flygbolag när Amadeus fick nätverksstrul i runt en timme. Amadeus är ett externt boknings- och passagerarhanteringssystem som är en mycket viktig kugge hos en lång rad av världens flygbolag. Och i höstas hade amerikanska Delta Air Lines stora störningar. En elektronisk komponent gick sönder vilket ledde till att transformatorstationen lade av. Det gjorde i sin tur att ett datacenter i Atlanta gick ned på grund av strömbrist. Det kostade flygbolaget 100 miljoner dollar.

– Den här typen av system är väldigt känsliga. Vi jobbar aktivt med att försöka minimera de ”single point of failure” som finns. Även om man försöker bygga bort fallgropar och ha redundanta system kan det inträffa saker. British Airways hade två datahallar, säger Mattias Forsberg.

Han berättar vidare att parallellt med systemen måste man arbeta aktivt med de manuella rutinerna. Det gäller att vara duktig på att kommunicera och informera. Ett exempel är att arbeta med sociala medier, så som BA nu har gjort. Kanske ännu viktigare är hur de anställda agerar på flygplatsen.

– Personalen måste kunna hantera det även om de är blinda i en sådan här situation, att de inte vet inte vad de ska informera om. Det måste finnas rutiner om hur de ska göra trots det, säger Mattias Forsberg.

Om vi har en volym idag på en handfull fall i veckan så kanske det blir en tiodubbling eller mer, säger Svante Nygren på MSB.

Flygbolag har för närvarande ingen skyldighet att rapportera in incidenter till myndigheterna. Men i maj nästa år kan det bli ändring på det. Då ska EU:s NIS-direktiv implementeras, samtidigt som det mer kända GDPR om personinformation.

– NIS är mer drivet av vilja få kontroll över vilka incidenter som inträffar för att få förbättringar, säger Svante Nygren, analytiker på enheten för operativ IT-säkerhet och incidenthantering på MSB (Myndigheten för samhällsskydd och beredskap).

I början av maj kom en utredning som regeringen ska ta ställning till. Passagerartransporter faller under det som klassas som samhällskritisk verksamhet och det är troligt att flygtrafik ingår i detta. Det innebär att till exempel SAS skulle bli skyldigt att rapportera in incidenter. MSB blir troligen mottagaren av dessa, vilket väsentligt kommer att öka ärendevolymerna för myndigheten.

– Om vi har en volym idag på en handfull fall i veckan så kanske det blir en tiodubbling eller mer då. Det finns också på förslag om att kommuner också borde rapportera in incidenter, säger Svante Nygren.

Vilka lärdomar kan man dra av helgens incident?

– Olyckor kan man inte gardera sig emot. Även om det finns flera lager av redundans är man inte garanterad att slippa problem, säger Svante Nygren.

– Det visar samtidigt hur beroende samhället är av fungerande IT-system. Vi klarar inte längre av att manuellt hantera större avbrott eller snabbt få fram reserver. Det är inte långa tidsluckor innan det samlas mycket folk i terminaler, folk blir hungriga och så vidare. Lägg ett terrorhot på det så inser du att man måste konstruera sina affärskritiska system med eftertanke.



Sverker Brundin
Content Manager/Analyst
sverker.brundin@radareco.se
Mob +46 736 79 91 47