Professor om NemID-nedbrud: »Mærkeligt og meget alvorligt at det har varet i tre dage«

9 kommentarer.  Hop til debatten
Professor på IT-Universitetet Carsten Schürmann
Illustration: IT-Universitetet.
Der må ikke være single point of failure i kritisk infrastruktur, siger Carsten Schürmann, der er professor på IT-Universitetet. Det er også vigtigt med mere gennemsigtighed omkring systemernes problemer.
24. juni kl. 11:16
errorÆldre end 30 dage

Problemerne med NemID fortsætter på tredje døgn. Massevis af danskere forhindres i at udføre vigtige opgaver som følge heraf.

Nets, der drifter tjenesten, udtalte i går til B.T.:

»Det er simpelthen et spørgsmål om at flytte data fra en server til en anden, og det er det, der tager tid, og det er det, vi har arbejdet på hele natten, men det trækker desværre ud.«

Vurderingen fra i går fra firmaets side var, at en tredjedel af brugerne er påvirket. Her til morgen skriver Nets:

Artiklen fortsætter efter annoncen

»Der er desværre ingen estimat for hvornår, sagen er løst.«

Digitaliseringsstyrelsen udtaler til DR, at man ser med største alvorlighed på nedbruddet og er i løbende dialog med leverandøren.

»Når vi i Danmark har én fælles digital ID-løsning, betyder det naturligvis, at når vores ID-løsning rammes af problemer, så berører det mange mennesker på én gang,« udtaler Digitaliseringsstyrelsen til mediet, og fortsætter:

»Det giver dog store fordele for danskerne, at man kan bruge samme løsning til at logge på både offentlige og private tjenester. Alternativet ville være, at man skulle have forskellige identitetsløsninger med tilhørende forskellige brugernavne, kodeord og så videre til eksempelvis at logge på netbank, borger.dk, sundhed.dk.«

Professor: Der må ikke være et 'single point of failure'

Carsten Schürmann er professor på IT-Universitetet. Han kommenterer Digitaliseringsstyrelsens udtalelse således: 

»Der må ikke være single point of failure.«

Man skal have redundans i systemet, så hvis der er et teknisk problem i den ene server, så skal der være en anden, som kan køre det hele.

»I et fly har man eksempelvis redundans, så hvis én computer i kontrolsystemet går ned, har man stadige to andre, som er funktionsdygtige.«

Professor på IT-Universitetet Carsten Schürmann
Det er mærkeligt, og meget alvorligt, at NemID-har været ned i tre dage, mener professor på IT-Universitetet Carsten Schürmann. Illustration: IT-Universitetet.

Vi ved ikke, hvad der er sket, så måske var der redundans nok, og måske er der sket et cyberangreb, siger Carsten Schürmann. 

»Så vi må være forsigtige med at klassificere problemet, før vi kender det. Det første skridt er at finde ud af, hvad dælen der egentlig er sket.«

Carsten Schürmann pointerer, at han ikke ved, hvordan Nets har sat systemet op.

»Men det er mærkeligt, og meget alvorligt, at der har været dette problem i tre dage. Mit råd til Digitaliseringsstyrelsen er omhyggeligt at evaluere, hvad der faktisk er sket, og så tage med i betragtning, at systemer, der håndterer kritisk dansk infrastruktur, aldrig bør have et single point of failure.«

Og hvis systemerne har et single point of failure, som man kan identificere, så må man investere de nødvendige midler i at fjerne det. Det kan kræve ændringer i NemID-systemet.

Vigtigt med mere gennemsigtighed

Carsten Schürmann påpeger, at det er muligt, at der kan være tale om et cyberangreb. I det tilfælde kan redundans måske ikke engang forhindre et nedbrud, fordi noget mere fundamentalt er blevet brudt. Det ville være endnu mere alvorligt.

»Derfor er det også vigtigt med mere gennemsigtighed.«

Det er ikke så nemt at svare på, hvordan problemerne skal imødegås:

»Det er et godt spørgsmål. Jeg ville gøre alt hvad jeg kunne, for at undgå, at det kommer så vidt. Hvis det rammer det punkt, så ville jeg være gennemsigtig omkring det, og bruge alle de resurser jeg havde for at finde problemets årsag og løse det. Det er ikke acceptabelt blot at give en række interviews med medierne efterfølgende, og så fortsætte, som om intet var hændt.«

Version2 har bedt Digitaliseringsstyrelsen om en kommentar, men styrelsen er endnu ikke vendt tilbage.

9 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
9
28. juni kl. 13:04

Advarslen mod denne centralistiske model blev givet allerede da man barslede med denne afløser af TDC's digitale signatur. Hvis ikke jeg husker forkert blev det faktisk nævnt i en høring i folketinget.

7
25. juni kl. 09:18

IT-Havarikommission nu!

8
25. juni kl. 12:36

IT-Havarikommission nu!

Jamen lad os da endelig give embedsværket endnu en centralt potent værktøj. Det er jo så også den perfekte anledning til at eliminere evaluerings trinnet fra statens IT-projektmodel, CSI trinnet fra driften, Architectural change mgt. og eliminere kapabiliteten til at lave rootcause analyser alle andre steder end en central entitet. Vi kan se frem til et uafhængigt upolitisk fagligt kompetent organ i stil med Projektrådet, datatilsynet og rigsrevisionen.

// Jesper

PS: Måske skulle man læse Mogens Nørgaards seneste klumme i CW, han har nemlig fat i noget.

6
24. juni kl. 15:36

Det helt mærkelige, er at der ikke er afsat tid til fallback. Normalt bør der være en fallback plan og et tidspunkt hvor denne plan iværksættes hvis ikke change'n er gennemført på det tidspunkt?

2
24. juni kl. 13:08

Altsammen noget vi ville få styr på, hvis vi havde en IT-Havarikommission til at kulegrave hvad der er op og ned.

5
24. juni kl. 15:08

Der skal være folketingsvalg inden for de næste 12 måneder.

Lad os spørge de forskellige partier, hvad deres holdning er til at oprette en IT-havarikommision. Den er jo så indlysende savnet.

3
24. juni kl. 13:24

Er det forklaringen på, at vi ikke har en havarikommision?

1
24. juni kl. 13:03

Vi ved ikke, hvad der er sket, så måske var der redundans nok, og måske er der sket et cyberangreb, siger Carsten Schürmann.

Eller måske ved man ikke, hvordan man får det ud af HW, som den faktsk kan yde.