Nasty woman

Åh, nej: Endnu et it-nedbrud

7. maj 2017

Af Dorte Toft
freelancejournalist og blogger

Kendt fra Stein Bagger-sagen, sin blog Bizzen på Berlingske, som netop er lukket, og for sit arbejde med it-sikkerhed.

Danmark er gennemdigitaliseret, men der mangler ofte en plan B, når it-systemerne svigter, skriver Dorte Toft. For nylig gik det galt for DSB, da billetautomaterne gik ned. Foto: Henning Hjorth / Polfoto

Hovsa. Der manglede vist en plan B! Senest hos DSB, da billetautomaterne gik ned, og billetkontrollørerne ikke fik besked, fordi også det interne kommunikationssystem samt visse højttalere døde. Billetkontrollørerne fik bid på bid, de stakkels ramte passagerer forklarede forgæves, og DSB skal nu annullere bøderne.

Problemet skyldes nedbrud hos DSB’s it-leverandør, men fik DSB mindsket kaoset? Blev der for eksempel sendt SMS’er til togpersonalets mobiler? Savnes en mini-løsning, der kan køre selvstændigt, eller en forkromet dublet-løsning?

Lammelsen skyldtes angivelig et strømsvigt hos it-leverandøren NNIT, hvis egen plan B, et nødstrømsanlæg, må have fejlet. Hvad var mon plan C?

Nets ramt samme dag

Samme dag bevirkede et kabelbrud hos TDC, at Nets blev ramt af længerevarende nedbrud, hvilket smittede af på netbankerne hos blandt andre Danske Bank, Nykredit og Nordea. Vi kender også til beskeder om, at SKAT, borger.dk med videre er nede.

Den omfattende digitalisering kalder på masser af plan B’er, og det kan synes at knibe med at erindre den gode gamle Murphys lov om, at alt, der kan gå galt, vil gå galt. Sårbarheden er øget, ikke mindst takket være en centralisering, der skaber, hvad der kaldes ”single point of failure”. Rammes ét sted, går det hele galt. Rammes for eksempel Nets og NemID, brænder lokummet.

Jeg gad vide, om medarbejderne involveres tilstrækkeligt i udarbejdelsen af plan B? Har kommuner spurgt hjemmesygeplejerskerne, hvad de ser som ”worst case scenario”, hvis it-systemet, der rummer planlægningen af besøg hos de syge, er lammet i længere tid?

På hospitalerne! Hvis sygehusets elektroniske patientjournal pludselig lammes grundet it-nedbrud, eller fordi de tages som gidsel i afpresningsøjemed, hvad så? Hvad kan læger og sygeplejersker klare sig med, og til hvilken pris kan det sikres?

Populær pengeafpresning

I USA bevirkede afpresningssoftware visse steder, at patienter måtte flyttes til andre hospitaler, og alene i de første ni måneder af 2016 blev 14 amerikanske hospitaler ramt af ransomware. Det er betegnelsen for ondartet kode, der krypterer data, så de bliver ubrugelige, indtil løsesummen er betalt.

Herhjemme kender kommuner alt for godt til ransomware, der listes ind via mails. Nu har de vist lært at håndtere ransomware, men var de tilstrækkeligt forberedte, da angrebstypen i 2013 for alvor blev populær?

Værst er, når selve elnettet rammes. Det skete for et par uger siden i både New York og San Francisco på samme dag grundet tekniske svigt, men samtidigheden satte gang i vilde rygter om hackerangreb – også noget, der skal håndteres i en plan B.

”Og hvad så med NemID, din universalnøgle til både netbank, SKAT og mange andre ting? Har du overhovedet mulighed for at sikre dig med en plan B, skulle noget gå galt?”

Kræver stærke nerver

Elværker og atomkraftværker må kræve stærke nerver hos de ansvarlige, for de er fristende angrebsmål for hackeren, om så denne er politisk hyret, terrorist-hyret, mafia-hyret eller på egen hånd.

Udsatheden for forsyningsvirksomheder steg kraftigt, da mange skiftede til Microsofts Windows – det allermest udbredte styresystem, der derfor tiltrækker allerflest mørke kræfter.

Nogle erindrer måske nedbruddet i Ukraines elnet. Angriberne, der var forbundet med Rusland, udnyttede en såkaldt zero day-sårbarhed i Windows. Betegnelsen gælder den type sårbarhed, der endnu ikke er taget hånd om hos softwareproducenten og antivirus.

Den anvendte kode har også været anvendt mod et elværk i Polen, og der blev såmænd også fundet ondartet kode, der anses for at have russiske rødder, da et elværk i Vermont, USA, blev lammet sidste år.

Gad vide, hvad de angreb har sat i gang af tanker hos ledelsen af Danmarks elværker?

Selve internettet er gefundenes fressen for dem, der vil genere. Det vist mest omfattende angreb skete i oktober 2016, hvor netgiganter som Facebook, Amazon og Netflix blev berørt. Angriberne havde hacket sig ind via dårligt sikrede videokameraer fra Kina tilkoblet internettet. ”Dimser” af forskellig art på nettet spås at blive et kæmpe problem.

Internettet er ellers født med ekstrem robusthed som grundprincip, men hvad mennesker kan udtænke, kan andre mennesker altid finde huller i. Netbårne virksomheder som Amazon må vente, til skaden er udbedret, men for andre typer virksomheder findes nødløsninger.

Den personlige plan B

Har du i øvrigt selv en plan B, hvis uheldet er ude, hvis mobilen stjæles, eller tasken? Hvis et angreb rammer pc’en, eller harddisken opgiver ævred?

Jeg selv er ingen duks, men jeg har stort set alt i kopi oppe i ”skyen”. Kopien gør det muligt at genskabe data, som de så ud, umiddelbart før det gik galt. Men en god techmand sagde forleden, at jeg derudover mindst skulle have to kopier af alt på USB … just in case. Heller ikke ”skyer” er for evigt beskyttet.

Og hvad så med NemID, din universalnøgle til både netbank, SKAT og mange andre ting? Har du overhovedet mulighed for at sikre dig med en plan B, skulle noget gå galt?

Jeg selv har én gang fumlet så meget med et nyt, svært kodeord til NemID, at den blev lukket, og det tog vist ni dage at få ny NemID grundet en weekend. Det var vel at mærke, før PostNord havde udviklet sig til en farce.

Problematisk med universalnøgle

Ønsket om at få reduceret sårbarhed ligger mig på sinde, og jeg har råbt op fra debuten for den offentlige signatur. Jeg ønsker ikke én nøgle til alt, der er vigtigt. Jeg ønsker én til min netbank, én til de offentlige personfølsomme registre og måske én til de private virksomheder, som bruger signaturen som adgang.

Jeg ville også gerne betale en slant for den ekstra sikkerhed, men efterlysningen har været forgæves. Så Danmark – pengeinstitutterne, det offentlige med skattebetalinger og velfærdsydelser, forsikringsselskaber med flere – alle de lever et spændende liv med den enorme afhængighed af NemID.

Lad os alle krydse fingre for, at det aldrig lykkes for nogen at få hacket hele systemet så effektivt, at også skyggedatacentret rammes. Lad os håbe, at ”honningkrukkerne” i banker og de offentlige kasser ikke lænses. Men sker det, så bliver det kaos, der følger, et globalt lærebogseksempel på prisen for single point of failure.

Har du en kommentar?

avatar
wpDiscuz

Juridisk rådgiver og forhandler til IDA

Vil du være med til at udvikle og sikre IDAs medlemmers rammer og ansættelsesvilkår?

Dygtig og ambitiøs tilbudskonsulent

Brænder du for at beskæftige dig med rådgivning af virksomheder, og har du lyst til at arbejde med forretningsrådgivning, er stillingen som Business Development Consultant måske noget for dig

Kompetent chef for Sundhed, Pleje & Omsorg

Du får en central plads i indsatsen for sundhedsfremme, forebyggelse, pleje og omsorg, behandling og rehabilitering. Afsættet er en stærk vision, der skal styrke livsmod, ressourcer og nye muligheder

Bosætningskonsulent

Vi skal bruge en ny kollega, der kan være med til at skrive og derefter drive Vordingborg Kommunes bosætningsstrategi.

Skarp økonomikonsulent

Er du den skarpe økonomikonsulent, der kan understøtte det gode budget- og regnskabsarbejde? … så har vi en spændende stilling til dig, hvor du vil spille en vigtig rolle i udviklingen af økonomistyringen af området for pleje og visitation

Afdelingsleder til en datadreven Økonomistab

Vi søger en afdelingsleder til en ny afdeling, Budget & Data, som etableres ved at ændre på Økonomistabens nuværende interne organisation

Byg & Miljøchef

Afdelingschef til Byg og Miljø

Centerchef til Center for Sundhed og Velfærd

Har du visioner for fremtidens sundhed og pleje? Er du en erfaren chef, der kan vise vejen, omsætte strategi til praksis og understøtte samarbejde på tværs?
Share13
Tweet11
Share2
+1
Email