Det kan vi lære af Nets’ forklaring om sommerens store nedbrud
Nets' omfattende betalingsnedbrud den 19. juli udfordrer vores tillid til den danske infrastruktur og bør resultere i øget gennemsigtighed og kvalitetstjek.
Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.
Mindre end en måned efter at erhvervsminister Morten Bødskov med et bredt flertal i ryggen præsenterede en aftale, som skal fremtidssikre Dankortet, skete det, der ikke måtte ske. Den 19. juli resulterede en fejl hos Nets i, at danskere i ind- og udland fik afvist betalinger.
De kaotiske tilstande og de store konsekvenser for forretningsdrivende og borgere er allerede velkendte. Ligeledes er det kommet frem, at omkring 2.000 betalinger blev hævet fra forkerte konti.
Hvis vi tager det lange lys på, er det mest skræmmende ved nedbruddet, at det udfordrer vores tillid til staten og den finansielle sektor, som på mange måder er en grundpille for trygheden og stabiliteten i vores samfund. Og hvis vi gentagne gange oplever ikke at kunne betale for produkter eller services eller at vores penge forsvinder fra vores konti, har vi i Danmark et uoverskueligt problem.
Derfor er det store presserende spørgsmål naturligvis, om vi fortsat kan have tillid til dankortsystemet.
Nets har ikke været gavmilde med tekniske detaljer, men ifølge en pressemeddelelse fra den italiensk ejede virksomhed blev driftshændelsen, dvs. nedbruddet, ”udløst af en komponentfejl i den bagvedliggende infrastruktur hos Nets, som håndteres af en global partner.” Fra et it-sikkerhedsperspektiv indikerer det i hvert fald to ting:
- Der er tale om ”single point of failure”, hvilket er en term, som bruges, når et system holder op med at fungere på grund af en enkelt fejlkilde eller -komponent. Sårbarheden overfor single point of failures forebygges bl.a. ved at gøre it-systemer redundante, f.eks. ved at etablere nød- og backupsystemer. Af Nets’ pressemeddelelse fremgår det, at det under nedbruddet ikke var muligt at skifte til den redundante kortplatform, hvilket må betyde, at kvaliteten af Nets redundans ikke har været tilstrækkelig.
- Der er sårbarhed i forhold til Nets’ forsyningskæde, dvs. i forhold til sikkerheden i de produkter, som Nets køber hos eksterne leverandører. Hvis kvalitetskontrollen af produkter fra eksterne leverandører er dårlig, stiger risikoen for utilsigtede systemfejl og supply chain attacks, dvs. hackerangreb, hvor der f.eks. er placeret skadelig software i de produkter, som bliver leveret til en given virksomhed.
Ovenstående er elementær viden for alle, som arbejder med it-sikkerhed, og det er naturligvis ikke tilstrækkeligt, når Nets i pressemeddelelsen kalder fejlen for ”sjælden”, og at virksomheden lover generelle forbedringer af deres arbejdsgange. Det helt overordnede problem ved nedbruddet er manglen på gennemsigtighed og reel politisk kontrol med et tudsegammelt dankortsystem, som Nets har monopol på.
Det betyder, at vi bliver efterladt i en situation, hvor vi blindt skal stole på et samfundskritisk system, som vi lige har set fejle. Dankortsystemet blev lanceret i 1983, og hvis det var en bil, ville det have fået veteranbilsstatus for lang tid siden. Måske det er på tide med en undervognsbehandling og et grundigt servicetjek, så vi kan få syn for sagn for, hvor sikkert kørende systemet er i dag og i de kommende år.
