Ekspert: Datacentre er katastrofalt usikre

Det er 'ubegribeligt dumt' at samle vores computer­kræfter i store datacentre, siger amerikansk topforsker, men det er lige, hvad man vil i Danmark.

Vi er slet ikke dygtige nok til at bygge noget så kompliceret som datacentre, og det kan kun gå galt, siger Peter G. Neumann, en af USA's absolut førende eksperter, inden for sikkerhed i computersystemer.

Der er nu gået et par uger, siden IBM ? en af verdens største og mest professionelle service udbydere ? havde et meganedbrud på grund af en enkelt netværksboks, der løb løbsk i deres datacenter i Brøndby.

Pludselig vidste De Sammensluttede Vognmænd (DSV) ikke, hvor deres lastbiler var henne, Arlas mælk kom ikke ud til butikkerne, Danske Banks kunder i Irland og Finland kunne ikke bruge deres kreditkort, og hele ATP's serverpark hos IBM blev lagt ned i 17 timer.

Og sådan vil det gå gang på gang, hvis vi insisterer på at samle alle vores computerresurser i datacentre, siger Peter G. Neumann:

»Der er ikke mange, der begriber, hvor sårbare vores computersystemer egentlig er. Den usikkerhed bliver endnu større, når man samler alle æggene i en kurv i et datacenter ? det er for kompliceret og der er for mange mennesker involveret. Og mennesker er altid et svagt led,« siger han.

75-årige Neumann har arbejdet med sikkerhed og driftssikkerhed i computersystemer siden 1953, er ledende forsker ved det højt respekterede Stanford Research Institute og redaktør af nyhedsbrevet Risks Digest i verdens største it-forening Association for Computing Machinery, ACM. Desuden har han undervist på blandt andet Stanford og Berkeley, og er it-sikkerhedsrådgiver for USA's regering.

Selv om nedbruddet hos IBM var kolossalt efter danske forhold, hører det til i småtingsafdelingen i forhold til, hvor galt det kan gå. I 1995 skrev Neumann bogen 'Computer-Related Risks', hvor han har samlet flere tusinde eksempler på nedbrud helt tilbage fra 1970'erne.

Horrorstories, kalder han dem, og så godt som alle sammen skyldtes såkaldte single point of failures, altså konstruktioner, som tillader, at én fejl får læsset til at vælte.

Vi skal ikke langt tilbage for at finde et af de mere opsigtsvækkende, nemlig hos Amazons prestigeprojekt Elastic Computing Cloud (EC2), hvor tusindvis af private og små firmaer har al deres software og websites på såkaldte virtuelle computere i Amazons mega serverpark.

I sin bog ?The Big Switch' omtaler forfatteren Nicolas Carr EC2 som et eksempel på 'fremtidens computerkraftværk', men i februar gik store dele af Amazons serverpark ned og tog de mange små opstartsfirmaer med sig i faldet. I april havde Amazons EC2 endnu et mindre nedbrud.

Og herhjemme, kun en lille uge efter IBM's nedbrud, gik PBS ned, så al dansk internethandel var sat ud af drift i over 12 timer, og 11.000 danske internetbutikker i tabte et ukendt antal millioner kroner.

»Der vil altid vil være ukendte, ikke anerkendte single point of failures ét eller andet sted. Og sådan en fejl har det med at forplante sig hele vejen ud igennem systemet,« siger Peter G. Neumann.

Ud over stepperne
Men på trods af advarsler som Neumanns tordner virksomheder og regeringer ud over stepperne med store, billige og effektive it-systemer.

Region Syddanmark har for eksempel netop lagt samtlige røntgenbilleder fra regionens 11 sygehuse sammen i et datacenter, som alle sygehusene kan trække på.

De mange terabytes med livsvigtige røntgenbilleder bliver opbevaret i to spejlede centre, et i Odense og et i Esbjerg, forbundet med en 10 Gbit fiberforbindelse.

Et andet og noget mere vidtrækkende eksempel er den danske regering, som netop er gået i gang med at samle al ministeriernes it-drift i et super-center. Det skal stå færdigt i 2011 og skal spare staten for op mod 425 mio. kroner om året.

Men prisen kan blive frygtelig høj, advarer Peter G. Neumann.

»Det er simpelthen så ubegribeligt dumt at samle statens drift i ét center. Det gør hele statens drift til ét stort single point of failure. Hvis hackere bryder ind i systemet eller iværksætter et denial of service-angreb (ondsindet databombardement, red.), så kan det stikke en kæp i hjulet på hele nationen. Og derudover har systemer en tendens til bare at falde fra hinanden af sig selv.«

Jamen, der bliver jo bygget back-up systemer, og systemet bliver dubleret. Er det ikke godt nok?

»Selvfølgelig kan det meste reddes med backup, og noget kan køre videre uden problemer. Men i min bog har jeg 15-20 eksempler på nedbrud, hvor både det primære system og backup-systemet gik ned, og så var der simpelthen ikke nogen måde at få det op og køre på igen,« siger Neumann.

Han nævner cyberangrebet på Estland sidste sommer som et eksempel på, hvor galt det kan gå.

Da Estland fjernede et mindesmærke for russiske soldater fra Anden Verdenskrig, blev landet kastet ud i en cyberkrig, hvor et såkaldt botnet med op mod en million computere gik ind i et månedlangt denial of service-angreb på estiske myndigheders servere, så alt fra ministerier og kommuner til biblioteker og skoler blev tvunget i knæ.

Hvad er løsningen på problemet?

»Lad mig sige det med det samme: Der er ikke noget easy fix på det her, og vi er nødt til at stoppe op og gen­overveje alt, hvad vi laver. At lave så komplekse systemer kræver først og fremmest supergrundig programmering, og det er desværre i de færreste lande, hvor der undervises på det niveau. Det kræver mere robuste operativsystemer og bedre programmer. Ok, det udvikler sig, men ikke nok.«

Indtil da handler det om at være ekstremt forsigtig med, hvad vi vælger at stole på, siger Neumann:

»Der forskes en hel del i, hvordan man minimerer antallet af mennesker og systemer, som man er nødt til at stole på ? og i, hvordan man overvåger brugen nøje,« siger han og nævner den klassiske episode med krigsskibet USS Yorktown fra 1997.

Skibet var et såkaldt Smart Ship, fuldt rigget op med LAN, fiberoptiske kabler og computerstyring.

Da et besætningsmedlem på et tidspunkt kommer til at taste et nul ind i et felt i skibets database, opstår en divide-by-zero-fejl, som får netværket til at bryde sammen. Altså også den Windows-computer, som styrer motoren, så skibet må slæbes i land.

»Det viser bare, at vi sætter vores lid til systemer, som vi ikke kan stole på, fordi de er dårligt designet. Og vi stoler på mennesker, som ikke opfører sig korrekt,« siger Neumann.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Nobel

[qoute]Altså også den Windows-computer, som styrer motoren, så skibet må slæbes i land.[/quote]
Hvis man virkelig er så dum at man laver en motorstyring baseret på Windows, så beder man selv om problemer.

Bortset fra det, så er det nu meget sjældent at man laver den slags, normalt er selve motorstyringen baseret på en PLC løsning - at der så sendes kommandoer fra et grafisk bruger fjæs, der kan være Windows, til styringen er en anden sag, men styringen kan som regel sagtens leve uden det grafiske interface.

Men ellers så er jeg ganske enig med Neumann.

/Christian

  • 0
  • 0
Dorte Toft

Staten samler IKKE alle sine systemer i ét centralt center. Hvad der samles under skatteministeriet er IKKE de fagspecifikke - dem, der bruges af Politi, dem, der er kernen i CPR, dem, der bruges af SKAT etc. De kører stadig hos CSC og andre.

Hvad der samles i skatteministeriet er driften af de mere administrative ting, som egentlig er relativt ens. Kontorsystemerne, bogholderiet med videre.

Er det bedre, at hvert ministerium og hver styrelse har sit eget datacenter for disse ting - og i en tid, hvor der er en skrigende mangel på kompetente folk?

Når det er sagt, så er jeg bestemt enig i, at der findes stordriftsULEMPER, som kan gøre, at man i visse tilfælde må sige farvel til de økonomiske stordriftsfordele. Jeg ser såmænd også fordele ved, at f.eks. hospitalsudstyr har helt eget operativsystem i stedet for et standard etc. etc.

  • 0
  • 0
Log ind eller Opret konto for at kommentere