TEMA

Den dag togene holdt stille

Er samfundets digitale matrix skruet rigtigt sammen, og er vi gode nok til at sikre en infrastruktur, hvor der kun skal en enkelt alvorlig digital fejl til, før det hele står stille?


Poul-Henning Kamp har i snart ti år talt for, at Danmark skulle have en såkaldt it-havarikommission, en myndighed, der kunne undersøge sager om kritisk it-infrastruktur.

Om morgenen den 29. oktober 2022 holdt togene stille i Danmark. 

På det sociale medie Twitter skrev DSB: "Vores lokoførere oplever i øjeblikket en -fejl i det digitale værktøj de bruger til at fremføre tog. Det betyder at alle tog i øjeblikket holder stille. Vi arbejder på at løse problemet hurtigst muligt". 

Det ’digitale værktøj, de bruger til at fremføre tog’, var ikke motoren. Og det var heller ikke noget, DSB havde lavet selv, det kom fra en ekstern leverandør, Supeo i Næstved. Supeo stod bag en ’sikkerhedskritisk app’ med det manende navn ’DDR 2’. DDR står for ’Den Digitale Rygsæk’ og er i virkeligheden en iPad med et opslagsværk, der indeholder oplysninger, som togføreren skal bruge om eksempelvis hastighedsnedsættelser på bestemte strækninger. 

Før DDR2 brugte DSB papirer i et ringbind. Nu er systemet digitalt, og oplysningerne opdateres over nettet. 

Den 29. oktober lukkede Supeo ned for DDR 2, fordi deres udviklingsmiljø var blevet kompromitteret af hackere, og de var bange for, det havde bredt sig. 

At en ekstern leverandør lukker ned, burde ikke være et problem for DSB. De havde nemlig et ekstra system, hvor man kunne tilgå data offline. 

Men det virkede altså heller ikke den 29. oktober. 

– Vi har en nødprocedure, hvor lokoførerne kan tilgå materialet i offline-tilstand. På grund af en fejl i softwaren kunne vi ikke tilgå materialet offline, og derfor er vores nødprocedure ikke fuldgyldig, sagde Carsten Dam Sønderbo-Jacobsen, sikkerhedschef for DSB, efterfølgende til DR. 

Et simpelt angreb

Den 29. oktober hobede togene sig op på sporene. Det tog tre timer, før man kunne køre igen i København, og trafikken i hele landet blev først normal hen på eftermiddagen. Senere har leverandøren bag DDR2 forklaret, at nogen havde udnyttet en usikker port og installeret kryptominer-software. Angrebet opstod i et testmiljø, der ikke var tilstrækkeligt sikret, og da det først rygtedes på nettet, var der bunker af forsøg på at kompromittere testmiljøet, der heldigvis var segregeret fra resten af Supeos systemer. 
 


Uanset hvad taler vi om et relativt simpelt angreb og ikke hverken terror eller sabotage. 

Alligevel stod tog over hele landet altså bomstille.

Og det fik eksperterne til at reagere, blandt andet professor i digitalisering ved RUC Jan Pries-Heje: 

– Det er højst mærkværdigt, at man ikke har et backupsystem og derfor er nødt til at sætte hele togdriften i stå. Det er simpelthen ikke godt nok, sagde han til version2.
 

Da NemID blev svært

Netop backupsystemer var også et helt centralt problem i en anden sag: nedbruddet af NemID. 

I sommeren 2022, den 21. juni om morgenen, knap fire måneder inden togene gik i stå, gik NemID ned. Og det blev nede i fire dage. Det havde store konsekvenser. Mindst halvanden million danskere kunne ikke bruge NemID. De kunne ikke underskrive købsaftaler, indregistrere biler eller få receptfornyelser på medicin via sundhed.dk. borger.dk og minretssag.dk, der bruges af landets advokater og domstole, var ikke tilgængelige.

Digitaliseringsstyrelsen og Nets, der står bag det tekniske, var meget tavse om, hvad der var sket, men for nylig fik DR aktindsigt i dele af forløbet, en aktindsigt, de delte med udvikler og programmør Poul-Henning Kamp, der var rystet over det, han så. For eksempel fremgik det, at nødproceduren ikke var testet i årevis. 

PROSAbladet mødte Poul-Henning Kamp på Datamuseet i Hedehusene.

– Hele balladen starter to år før, hvor Nets tester sine nødprocedurer med NemID. Men så springer de testen over fire gange. Og da de så står og skal bruge nødproceduren, så virker den ikke. Det er grænseløst inkompetent. Her på Datamuseet har vi også en nødprocedure. Den tester vi tre gange om året. Og vi går meget op i det, siger han. 
 

Rapport afslører mange fejl

Men det var ikke kun nødprocedurerne, der ikke var testet – der var også andre problemer. Poul-Henning Kamp har sammenstykket forløbet ud fra blandt andet den rapport, som et eksternt revisionsfirma har lavet til Nets. Rapporten er stemplet ’strengt fortroligt’, kritiske fejl og mangler er overstreget, ligesom mange højt prioriterede anbefalinger er hemmeligholdt af sikkerhedshensyn. Alligevel har det været muligt for Poul-Henning Kamp at danne sig et ret klart billede af, hvad der var sket:

– Man kører en del af NemID på virtuelle maskiner, hvor man deler et stykke computerhardware til flere forskellige opgaver. På et tidspunkt bliver hardware-computeren hårdt belastet, hvorefter man flytter nogle af de virtuelle maskiner et andet sted hen. Og her bliver der ikke lavet backup. Der er heller ikke rigtig lavet risikovurdering og papirarbejde og sådan nogle ting på denne flytning, fortæller han.

– Der går et halvt års tid, og så skal man sætte mere diskkapacitet på den her computer. Da den er klar igen, skal man genstarte, så man kan se, at det virker. Og det gør det ikke. Så er gode dyr rådne. Pludselig optræder der en test af katastrofeberedskabet i den her interne rapport, men det lyder mere, som om de er desperate og prøver på at få fat i en kopi af det pågældende harddiskimage. Her opdager de så, at det har deres backup-procedure ingen kopier af. På samme måde kommer der en advarsel om, at nu mangler man altså de her data om nogle timer, ellers kan man ikke bruge NemID. Og det gør man heller ikke noget ved. 

– Næste morgen, da borgerne prøver at bruge NemID, så virker det ikke. De bliver automatisk henvist til at bruge det nye MitID i stedet. Hvilket betyder, at der kommer så meget trafik over til MitID, at deres cyberangrebs-beskyttelse slår til, fordi al den trafik ligner et overbelastnings-angreb. 


– Det er en ekstern leverandør, der står bag dette system, og de sender en e-mail til Nets, hvor de oplyser, at de har blokeret en række IP-numre. Den e-mail ignorerer Nets. Den ligger i inboxen indtil otte timer senere. Så det kører sådan lidt Andeby-agtigt. 

– Til sidst giver man sig til at bygge den her server fra grunden igen, hvilket tager dem det meste af en uge, før det hele er på plads igen i starten af juli, siger Poul-Henning Kamp.

Hvordan undersøger man et it-havari?

Han har i snart ti år talt for, at Danmark skulle have en såkaldt it-havarikommission, en myndighed, der kunne undersøge sager om kritisk it-infrastruktur til bunds og opsamle viden, der kunne bruges over hele landet.

– Den rapport, jeg har set, indeholder mest idéer til, hvem ledelsen kan skyde skylden på. Det mener jeg ikke er godt nok til kritisk infrastruktur. It-branchen er en ung branche. Vi har dårligt nok været her i 70 år. Og derfor er der brug for at få strammet skruerne, siger Poul-Henning Kamp.

– Nu lover Nets jo, at det her ikke sker igen. Men det er ikke nok. Vi bliver nødt til at lære af hinandens fejltagelser. Der er ikke nogen hos Danske Bank eller APT eller CPR-registeret, der er blevet klogere af denne sag.

Poul-Henning Kamp er ikke ene om sin bekymring over tingenes tilstand. I november kom Rigsrevisionen med en meget kritisk rapport over beredskabet i 13 samfundskritiske it-systemer i staten. Det var så kritisk, at Rigsrevisionen ikke ville sige direkte, hvor problemerne var. 

Man skulle jo ikke give angribere gode idéer, lød det. 

It og infrastruktur er blevet alvor nu, understreger Poul-Henning Kamp.

– Der var en episode i 2022, hvor en del af sundhedssystemet var nede i en af regionerne. Det betød, at man ikke kunne operere folk. Det er noget, folk kan dø af. It er ikke uskyldigt mere, it er dybt integreret i vores samfund, og hvis ikke det virker, så er folk på røven. Derfor skal vi til at tænke på en helt anden måde om nødprocedurer, backups, genstart, og hvor følsomt vi gør systemet til at begynde med, siger han og fortsætter: 

– Det er derfor, jeg i mere end ti år har argumenteret for, at vi skal have en it-havarikommission. Alle de dokumenter, vi har, når vi skal tale om, hvad der skete med NemID, det er partsindlæg. Vi skal have en uafhængig rapport, ligesom vi har, når der er et tog, der taber en lastvogn på Storebæltsbroen, eller når biler har systematiske problemer, eller et fly falder ned. Vi har havarikommissioner for skibsfart, biltrafik, togtrafik, flytrafik, siger han og påpeger, at en udgift til en it-havarikommission på mellem fem og 15 millioner vil være småpenge.

Hvis man vil have ting til at virke, så skal man aldrig forlade sig på, at der bare er ét lag og én person, der gør præcis, hvad der skal til
- Poul-Henning Kamp

Snowdens vigtigste pointe

Nets og Digitaliseringsstyrelsen har flere gange konkluderet, at ja, der blev begået fejl, men i det mindste har der ikke været ulovlige forsøg på at trænge ind i NemID og MitID. Men den udtalelse giver Poul-Henning Kamp ikke meget for. 
'
– Det, jeg personligt synes var den vigtigste ting, vi lærte af Edward Snowden, var, at selv i en organisation som USA’s mest digitaliserede efterretningstjeneste, NSA, der sidder så nogle systemadministratorer som mig nede i bunden. Og de kan rende med det hele, uden nogen aner, hvad de har taget. Hvis man vil have ting til at virke, så skal man aldrig forlade sig på, at der bare er ét lag og én person, der gør præcis, hvad der skal til. Et system som NemID skal have en to-mandsregel. Det havde NemID ikke. Det håber jeg, de har på MitID, ellers så skal de se at få det, siger Poul-Henning Kamp. 

Men hvor slemt står det til med den danske digitale infrastruktur? Er vi helt på herrens mark? 

– Hvis folk kommer med hjernerystelse til deres læge, så kan de godt blive tjekket uden NemID, som det er nu. Men hvis det skal virke fremover, kræver det, at vi har nødprocedurer. Det undrede mig i forbindelse med DSB-nedbruddet, at de ikke havde en nødprocedure, der for eksempel sagde, at ’I må køre 30 km i timen, hvis I kan se, at der ikke er nogen tog foran. Og så må I kalde over radioen, hvis I skal skifte spor’. Så ville togene i det mindste bevæge sig. Jeg kan godt forstå, at man har forsøgt at digitalisere systemet, men jeg forstår ikke, hvorfor man ikke har en nødprocedure. Når jeg ser på den digitale infrastruktur i Danmark, så er det fortsat en klondyke-industri. De eneste to ting, man kan sælge uden produktansvar, er stadig software og religion. 

I december fik Danmark et ministerium for digitalisering, et ministerium, der sandsynligvis får et digitaliseringsudvalg under sig. Men vil det ifølge Poul-Henning Kamp løse problemerne? 

– Jeg synes, det er for tidligt at have en holdning, det kan gå i alle mulige retninger. Vi skal selvfølgelig give den ny minister en chance, siger han.

Nu lover Nets jo, at det her ikke sker igen. Men det er ikke nok. Der er ikke nogen hos Danske Bank eller APT eller CPR-registeret, der er blevet klogere af denne sag
 



CV

Poul-Henning Kamp
Alder: 57 år.

  • Dansk FreeBSD-­udvikler, der blandt andet har stået for implementeringen af den meget udbredte MD5-hashalgoritme og Beerware-­licensen. 
  • Har arbejdet med FOSS-­programmør siden sidst i 1980'erne og er manden bag Varnish Cache.
  • Aktiv hos datamuseum.dk og ivrig it-debattør.
     


PROSAbladet har bedt DSB og Digitaliseringsstyrelsen om kommentarer til artiklen.

DSB's pressetjeneste oplyser, at de ikke har yderligere kommentarer til hændelsen 29. oktober 2022. DSB har sat en undersøgelse i gang af deres sikkerhedssystemer, der forventes afsluttet i slutningen af februar. 

Digitaliseringsstyrelsen har i forhold til to-mandsregel svaret, at de ’blandt andet (har) stillet krav om relevant funktionsadskillelse på brugerniveau i alle miljøer. Ligeledes anvendes blandt andet dual access og peer review’ og at kontrakten i forhold til NemID-­servere stiller krav til, at ’NemID er tilgængelig for brugerne 99,90 pct. af tiden. Med disse høje oppetidskrav vil redundans på store dele af systemet medføre en mindsket risiko for, at leverandøren ikke kan overholde de fastlagte krav til tilgængelighed.

I kontrakten med Nets, Bilag 5: ’Drift- og vedligeholdelsesydelser, pkt. 1.2.4: Sikkerheds- og katastrofeberedskab’ reguleres følgende: ’Der etableres et katastrofeberedskab, der sikrer at systemerne i løbet af kort tid kan retableres i tilfælde af nedbrud. Dette sker gennem dublering af kritiske hardwarekomponenter og backup af systemernes konfiguration og data...

NETS har færdiggjort deres egen undersøgelse og mener, at der var tale om ’menneskelig fejl efterfulgt af en serie af hændelser’. Hele undersøgelsen kan læses på deres hjemmeside nets.eu/dk - søg på: Menneskelig-fejl-årsag-til-NemID-­driftsforstyrrelse-i-juni.


Læs også...

Mennesker har drømt om at opfinde en intelligent maskine siden oldtiden, men det var først i 1956, at begrebet ’kunstig intelligens’ blev opfundet.…

Det er ikke helt let at definere, hvad kunstig intelligens egentlig er – men spørgsmålet er, om vi overhovedet ved, hvad den menneskelige intelligens…

Hvorfor er AI ikke intelligent – og hvad er kunstig intelligens så, hvis det ikke er intelligent? Hvor ikke-intelligent intelligent er det reelt i…

Hvis du er uheldig og bliver syg, imens du holder ferie, er det vigtigt, at du husker at melde dig syg. Men får du løn under sygdommen, og kan du få…

Kvinder er et sjældent syn på datamatikeruddannelsen, men Gülsüm og Nuriye Erdogan er med til at ændre statistikken. De to søstre glæder sig til at…

Virtuel kandidat stiller op til det britiske parlamentsvalg.

Chipsproducenten Nvidia ræser forbi giganterne Microsoft og Apple og er nu det mest værdifulde selskab i verden.

Hvordan er det gået med AI Pin og r1? PROSAs gadgetnørd og legebarn, forbundssekretær Mirza Cirkinagic, gør status.

Gülsüm og Nuriye "the weird kids" i skolegården. De blev mobbet, fordi de elskede at game, men i dag har Gülsüm og Nuriye fundet en kæmpe styrke i at…

Desværre, afkølet rosé og en iskold fadøl er ikke en del af løsningen på at give slip på travlhed og stress i sommerferien – tværtimod. Stressekspert…