Internrevisionen konstaterar med hjälp av extern expertis att de grundläggande orsakerna till mejlhaveriet var avsaknad av traditionell säkerhetskopiering och bristande intern kommunikation där ledande funktioner inte uppfattat situationens allvar.
Rapporten går igenom händelseförloppet i kronologisk ordning.
2014–2015 installerade Göteborgs universitet en ny lösning för e-posten. På rekommendation av Microsoft valde GU en lösning där mejlen fanns på två uppsättningar hårddiskar som speglade varandra. Enligt Microsoft fanns det inte behov av någon ytterligare backup.
2019 uppdaterades serviceavtalen med företaget Atea som bland annat hade hand om driften av e-postfunktionen. Men man missade att förnya serviceavtalet för hårddiskarna som e-posten låg på.
I februari 2020 var den så kallade 40K-buggen känd, att en typ av Dells hårddiskar slutade fungera efter 40 000 timmar i drift, och Dell tog fram en uppdatering av mjukvaran. GU:s mejl fanns uppenbarligen på sådana hårddiskar. Men eftersom det inte fanns något serviceavtal för de hårddiskarna uppmärksammade vare sig universitetet eller underleverantören Atea Dells uppdatering.
I augusti 2020 havererade den ena uppsättningen hårddiskar för mejlen på GU.
Tio dagar därefter konstaterades att haveriet berodde på 40K-buggen.
Den andra uppsättningen hårddiskar fungerade fortfarande och mjukvaran i dem uppgavs ha blivit uppdaterad. Eller inte – GU hade från en underleverantör fått meddelande att så gjorts men antingen gjordes det inte eller så misslyckades man.
De kraschade hårddiskarna byttes ut, och man började föra tillbaka information från den andra uppsättningen hårddiskar.
I september 2020 havererade även den andra uppsättningen hårddiskar beroende på 40K-buggen, och mejlen slutade fungera för ungefär hälften av GU:s 10 000 aktiva mejlkonton. Det tog flera veckor för många av dem att bli återställda. Fortfarande är det enligt internrevisionens rapport 100 medarbetare som ännu inte fått tillbaka sin e-post.
Internrevisionen rekommenderar nu att rektor får i uppdrag att skyndsamt utreda vem eller vilka som bär ansvaret för haveriet.
Läs också: It-chefen om mejlhaveriet: ”Måste lära av hela förloppet”