Politik fra rødderne

Nasty woman

Af Dorte Toft
 | dorte.toft1@gmail.com
Kendt fra Stein Bagger-sagen, sin blog Bizzen på Berlingske, som netop er lukket, og for sit arbejde med it-sikkerhed.

Åh, nej: Endnu et it-nedbrud

Vox-pop DSB
Danmark er gennemdigitaliseret, men der mangler ofte en plan B, når it-systemerne svigter, skriver Dorte Toft. For nylig gik det galt for DSB, da billetautomaterne gik ned. Foto: Henning Hjorth / Polfoto

”Og hvad så med NemID, din universalnøgle til både netbank, SKAT og mange andre ting? Har du overhovedet mulighed for at sikre dig med en plan B, skulle noget gå galt?”

7. maj 2017

Hovsa. Der manglede vist en plan B! Senest hos DSB, da billetautomaterne gik ned, og billetkontrollørerne ikke fik besked, fordi også det interne kommunikationssystem samt visse højttalere døde. Billetkontrollørerne fik bid på bid, de stakkels ramte passagerer forklarede forgæves, og DSB skal nu annullere bøderne.

Problemet skyldes nedbrud hos DSB’s it-leverandør, men fik DSB mindsket kaoset? Blev der for eksempel sendt SMS’er til togpersonalets mobiler? Savnes en mini-løsning, der kan køre selvstændigt, eller en forkromet dublet-løsning?

Lammelsen skyldtes angivelig et strømsvigt hos it-leverandøren NNIT, hvis egen plan B, et nødstrømsanlæg, må have fejlet. Hvad var mon plan C?

Nets ramt samme dag

Samme dag bevirkede et kabelbrud hos TDC, at Nets blev ramt af længerevarende nedbrud, hvilket smittede af på netbankerne hos blandt andre Danske Bank, Nykredit og Nordea. Vi kender også til beskeder om, at SKAT, borger.dk med videre er nede.

Den omfattende digitalisering kalder på masser af plan B’er, og det kan synes at knibe med at erindre den gode gamle Murphys lov om, at alt, der kan gå galt, vil gå galt. Sårbarheden er øget, ikke mindst takket være en centralisering, der skaber, hvad der kaldes ”single point of failure”. Rammes ét sted, går det hele galt. Rammes for eksempel Nets og NemID, brænder lokummet.

Jeg gad vide, om medarbejderne involveres tilstrækkeligt i udarbejdelsen af plan B? Har kommuner spurgt hjemmesygeplejerskerne, hvad de ser som ”worst case scenario”, hvis it-systemet, der rummer planlægningen af besøg hos de syge, er lammet i længere tid?

På hospitalerne! Hvis sygehusets elektroniske patientjournal pludselig lammes grundet it-nedbrud, eller fordi de tages som gidsel i afpresningsøjemed, hvad så? Hvad kan læger og sygeplejersker klare sig med, og til hvilken pris kan det sikres?

Populær pengeafpresning

I USA bevirkede afpresningssoftware visse steder, at patienter måtte flyttes til andre hospitaler, og alene i de første ni måneder af 2016 blev 14 amerikanske hospitaler ramt af ransomware. Det er betegnelsen for ondartet kode, der krypterer data, så de bliver ubrugelige, indtil løsesummen er betalt.

Herhjemme kender kommuner alt for godt til ransomware, der listes ind via mails. Nu har de vist lært at håndtere ransomware, men var de tilstrækkeligt forberedte, da angrebstypen i 2013 for alvor blev populær?

Værst er, når selve elnettet rammes. Det skete for et par uger siden i både New York og San Francisco på samme dag grundet tekniske svigt, men samtidigheden satte gang i vilde rygter om hackerangreb – også noget, der skal håndteres i en plan B.

 ”Og hvad så med NemID, din universalnøgle til både netbank, SKAT og mange andre ting? Har du overhovedet mulighed for at sikre dig med en plan B, skulle noget gå galt?”

Kræver stærke nerver

Elværker og atomkraftværker må kræve stærke nerver hos de ansvarlige, for de er fristende angrebsmål for hackeren, om så denne er politisk hyret, terrorist-hyret, mafia-hyret eller på egen hånd.

Udsatheden for forsyningsvirksomheder steg kraftigt, da mange skiftede til Microsofts Windows - det allermest udbredte styresystem, der derfor tiltrækker allerflest mørke kræfter.

Nogle erindrer måske nedbruddet i Ukraines elnet. Angriberne, der var forbundet med Rusland, udnyttede en såkaldt zero day-sårbarhed i Windows. Betegnelsen gælder den type sårbarhed, der endnu ikke er taget hånd om hos softwareproducenten og antivirus.

Den anvendte kode har også været anvendt mod et elværk i Polen, og der blev såmænd også fundet ondartet kode, der anses for at have russiske rødder, da et elværk i Vermont, USA, blev lammet sidste år.

Gad vide, hvad de angreb har sat i gang af tanker hos ledelsen af Danmarks elværker?

Selve internettet er gefundenes fressen for dem, der vil genere. Det vist mest omfattende angreb skete i oktober 2016, hvor netgiganter som Facebook, Amazon og Netflix blev berørt. Angriberne havde hacket sig ind via dårligt sikrede videokameraer fra Kina tilkoblet internettet. ”Dimser” af forskellig art på nettet spås at blive et kæmpe problem.

Internettet er ellers født med ekstrem robusthed som grundprincip, men hvad mennesker kan udtænke, kan andre mennesker altid finde huller i. Netbårne virksomheder som Amazon må vente, til skaden er udbedret, men for andre typer virksomheder findes nødløsninger.

Den personlige plan B

Har du i øvrigt selv en plan B, hvis uheldet er ude, hvis mobilen stjæles, eller tasken? Hvis et angreb rammer pc’en, eller harddisken opgiver ævred?

Jeg selv er ingen duks, men jeg har stort set alt i kopi oppe i ”skyen”. Kopien gør det muligt at genskabe data, som de så ud, umiddelbart før det gik galt. Men en god techmand sagde forleden, at jeg derudover mindst skulle have to kopier af alt på USB … just in case. Heller ikke ”skyer” er for evigt beskyttet.

Og hvad så med NemID, din universalnøgle til både netbank, SKAT og mange andre ting? Har du overhovedet mulighed for at sikre dig med en plan B, skulle noget gå galt?

Jeg selv har én gang fumlet så meget med et nyt, svært kodeord til NemID, at den blev lukket, og det tog vist ni dage at få ny NemID grundet en weekend. Det var vel at mærke, før PostNord havde udviklet sig til en farce.

Problematisk med universalnøgle

Ønsket om at få reduceret sårbarhed ligger mig på sinde, og jeg har råbt op fra debuten for den offentlige signatur. Jeg ønsker ikke én nøgle til alt, der er vigtigt. Jeg ønsker én til min netbank, én til de offentlige personfølsomme registre og måske én til de private virksomheder, som bruger signaturen som adgang.

Jeg ville også gerne betale en slant for den ekstra sikkerhed, men efterlysningen har været forgæves. Så Danmark – pengeinstitutterne, det offentlige med skattebetalinger og velfærdsydelser, forsikringsselskaber med flere – alle de lever et spændende liv med den enorme afhængighed af NemID.

Lad os alle krydse fingre for, at det aldrig lykkes for nogen at få hacket hele systemet så effektivt, at også skyggedatacentret rammes. Lad os håbe, at ”honningkrukkerne” i banker og de offentlige kasser ikke lænses. Men sker det, så bliver det kaos, der følger, et globalt lærebogseksempel på prisen for single point of failure.

© Kommunen ApS 2017  |  CVR: 31 88 59 57