Opdateringsnedbrud for milliarder: Ups, det skete igen!
Der findes metoder, hvormed vi kan minimere risikoen for globale it-nedbrud betragteligt, men de er ikke særligt udbredte i softwarevirksomhederne.
Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.
Et UberEats-gavekort på 10 dollar til firmaeta kunder og samarbejdspartnere samt et løfte om, at Crowdstrike fremover vil blive bedre til at teste deres produkter. Det er i hovedtræk den amerikanske softwarevirksomhed Crowdstrikes beklagelse af den opdatering, som i juli forårsagede et globalt it-nedbrud uden sidestykke i historien.
Nedbruddet kostede virksomheder verden over et uoverskueligt milliardbeløb. F.eks. måtte det amerikanske flyselskab Delta aflyse flere end 7000 afgange, og selskabet vurderer, at nedbrudet kostede dem 380 millioner dollar. Også sundhedssektoren i flere lande led stor skade. F.eks. måtte flere hospitaler aflyse operationer, og nødtelefonen var nogle steder ude af drift.
At Crowdstrikes offentlige reaktion på nedbrudet virker halvhjertet, som Britney Spears i monsterhittet Oops!...I Did It Again, er særdeles bekymrende. Alle borgere og virksomheder er i bund og grund softwarekunder, og vi ingen reel garanti for, at det software, som f.eks. bliver brugt til automatiske opdateringer af vores computere eller mobiltelefoner, virker efter hensigten. Der bliver brugt digitale signaturer til at sikre, at vi ved, hvilke virksomheder, der laver opdateringen, men kvaliteten af selve opdateringerne har vi ingen mulighed for at tjekke eller gøre reel indsigelse imod.
Det betyder, at funktionaliteten af vores digitale redskaber og dermed af vores infrastruktur er forbundet med en tillid til, at softwarevirksomheder som Crowstrike ikke begår fejl. Det globale nedbrud i juli illustrerede med al tydelighed, at der er softwarevirksomheder, som ikke gør sig fortjent til denne tillid.
En af grundene til, at vi gang på gang oplever dårlig software, som forvolder stor skade, er, at kvaliteten af virksomhedernes softwaretests i vid udstrækning afhænger af de programmører, som udfører testen. Der er således en risiko for, at der er fejl i deres testmetode, i udførelsen af testen – eller i de produkter, som de får leveret af deres leverandører. Det har forskere verden over vidst i mange, mange år.
Faktisk er det mere end 50 år siden, at forskning i programverifikation for alvor blev etableret; et forskningsfelt som kort fortalt går ud på at udvikle metoder, hvormed vi matematisk kan verificere, at computerprogrammer fungerer som tilsigtet. Problemet er, at de ikke bliver brugt af softwarevirksomhederne – i hvert fald ikke i tilstrækkelig omfang.
Besynderligt nok har hardware-industrien brugt formel verifikation i årtier. Den udvikling startede allerede i 1994, da der blev fundet en alvorlig fejl i en Intel Pentium 3 processor, som allerede var på markedet. Efterfølgende begyndte Intel at bruge den formelle verifkationsmetode, word-level model checking, hvilket uden tvivl har mindsket risikoen for fejl i nogle af deres produkter.
Spørgsmålet er, hvor stor en katastrofe, der skal til, før softwarevirksomhederne begynder at styre i samme retning.
