søndag, december 4, 2022

‘Et monument over inkompetence’: Rapport afslører alvorlige sikkerhedsfejl før kaotisk NemID-nedbrud

Nets indrømmer fejl og lover, at en “lignende hændelse” ikke kan ske igen.<img src="” title=”‘Et monument over inkompetence’: Rapport afslører alvorlige sikkerhedsfejl før kaotisk NemID-nedbrud” />

Årsrapporter måtte udskydes, advokater kunne ikke udføre deres arbejde, og mindst halvanden million danskere kunne ikke tilgå tjenester som eksempelvis borger.dk, e-Boks og sundhed.dk.

NemID-nedbruddet fra 22. juni til den 26. juni er det mest omfattende nedbrud hidtil. 30 procent af danskerne kunne slet ikke bruge NemID, og en række offentlige tjenester var utilgængelige for alle, herunder den digitale retssagsportal, minretsag.dk. Det medførte skarp kritik fra Advokatsamfundet. Også MitID blev kortvarigt påvirket af nedbruddet.

Mit overordnede indtryk er, at der ikke har været tilstrækkeligt styr på sikkerheden i Nets.
Tobias Liebetrau, forsker

Havde ikke øvet nødberedskab i to år

DR Nyheder har fået delvis aktindsigt i en ekstern gennemgang af hændelsen, som er stemplet “strengt fortrolig”. Selvom kritiske fejl og mangler er overstreget, og mange højt prioriterede anbefalinger er hemmeligholdt af sikkerhedshensyn, så er softwareudvikler Poul Henning Kamp klar i mælet, efter at have læst redegørelsen.

– I guder. Det er nærmest et monument over inkompetence, det her, lyder det fra Poul Henning Kamp, der i årevis har beskæftiget sig med opbygningen af komplekse it-systemer.

Ifølge analysen opfyldte Nets ikke en række af sine egne sikkerhedskrav forud for nedbruddet, der gjorde det umuligt for flere danskere for eksempel at underskrive købsaftaler, indregistrere biler, eller anmode om receptfornyelser på medicin via sundhed.dk.

Nets havde ikke testet disaster recovery på det system, der fejlede, i to år inden nedbruddet. Det er en slags digital brandøvelse, der skal sikre, at systemer hurtigt kan gendannes efter et nedbrud.

Nets havde ifølge redegørelsen en “ambition” om at teste nødproceduren hvert halve år, men havde ikke gjort det siden maj 2020.

Det fremgår også, at Nets havde undervurderet en række risici og ikke reagerede i tide på vigtige advarsler, der kunne have begrænset omfanget. Det betød blandt andet, at MitID, som Nets også driver for Finans Danmark og Digitaliseringsstyrelsen, også gik ned, fordi sikkerhedssystemer fejlfortolkede de mange nye brugere som et cyberangreb.

MitID har siden nedbruddet afløst NemID. (Foto: © Olafur Steinar Gestsson, Ritzau Scanpix)

Samtidig, lyder det i analysen, var personale med adgang til de mest følsomme systemer ikke tilstrækkeligt kvalificeret, mens der også rejses kritik af, at systemet ikke havde alternativer, der kunne træde i stedet for de systemer, der fejlede – såkaldt redundans.

Nets: Ikke godt nok

Tilbage i juni lød den officielle forklaring fra Nets, at nedbruddet skyldtes “en uheldig kombination af en menneskelig fejl, og at det tog længere tid end forventet at rette op på fejlen”. Her oplyste man endvidere, at problemerne opstod i forbindelse med opdateringen af en server.

I dag lyder det fra Nets’ chef for public affairs i Europa, Peter James Stark, at det stadig var den udløsende årsag. Man kunne dog have gjort meget mere for at begrænse nedbruddets omfang.

– Vi har på nogle områder ikke levet op til hverken vores egne eller Digitaliseringsstyrelsens standarder. Det er ikke godt nok, og det har vi rettet op på.

Det fremgår af analysen, at I ikke har testet jeres nødberedskab i to år forinden, og at det er derfor, nedbruddet varer så lang tid. Hvordan kan det gå til?

– Nu skal det siges, at vi har testet løbende på mange dele af NemID-systemet, men lige præcis på den del, der fejlede, er det rigtigt, at vi ikke testede frekvent nok på.

– Det er også derfor, at vi nu har en testfrekvens, der er langt hyppigere på alle dele af NemID-systemet, siger Peter James Stark.

Kan du godt forstå, at det virker lidt vildt, at I fire gange i træk ikke har testet det allermest følsomme af det her system?

– Vi kan jo kun sige, at NemID er en sikker løsning, og vi er fuldt ud klar over, at det nedbrud, vi oplevede i juni, overhovedet ikke var godt nok. Men vi kan jo kun gøre, som vi har gjort – nemlig at få lavet en ekstern analyse og så rette op på de fejl, den peger på.

Det offentlige er jo stadig meget afhængige af jer. Kan du garantere, at det her ikke sker igen?

– Vi kan garantere, at en lignende hændelse ikke kan ske igen. Vi kan også garantere, at vi har det allerstørste fokus på at sikre stabilitet på systemet, siger Peter James Stark.

Forsker: Ikke tilstrækkeligt styr på sikkerheden

Alt i alt tegner den kraftigt overstregede aktindsigt et klart billede hos de eksperter, som DR Nyheder har forelagt redegørelsen.

Herunder Tobias Liebetrau, der forsker i cybersikkerhed og beskyttelse af kritisk infrastruktur.

– Mit overordnede indtryk er, at der ikke har været tilstrækkeligt styr på sikkerheden i Nets, og at der er en lang række procedurer, som man normalt skulle efterleve, der ikke er blevet overholdt, siger han.

Hvordan kan det gå til, at et så centralt system kan gå ned i fem dage?

– Det er da også, når man læser rapporten, lidt hovedrystende, at det kan ske. For det skyldes, at der er nogle grundlæggende it-sikkerhedsmæssige ting, der ikke er styr på, siger Tobias Liebetrau.

Han undrer sig blandt andet over, at Nets i to år ikke har testet det nødberedskab, der efter planen bør træde til i det sekund, man oplever et nedbrud, så man hurtigt får genskabt systemerne.

‘Det er ufatteligt amatøragtigt’

Og lige præcis det faktum, at man ikke havde testet – eller øvet – hvad man skulle gøre efter et nedbrud, får Poul Henning Kamp til at komme med en kras kritik af Nets.

– De har ikke testet deres katastrofeplan i to år, og der er tilsyneladende ikke engang krav om, at de skal teste det. De har alene en ambition om at teste det to gange om året, og det har de så ikke gjort.

Har du nogensinde set noget lignende?

– Ikke i civiliserede lande. Det er ufatteligt amatøragtigt for så samfundskritisk et system, siger Poul Henning Kamp.

Poul Henning Kamp er ikke imponeret over Nets, efter han har læst analysen.

Han mener, at man aldrig nogensinde ville tillade en lignende situation andre steder i samfundet.

– Forestil dig en fødevarevirksomhed, der ikke havde tjekket for bakterier i deres produktion i to år. Hvordan ville Fødevarestyrelsen reagere?

Digitaliseringsstyrelsen: Nets har ikke løftet sit ansvar

Derfor mener han også, at der er god grund til selvransagelse hos Digitaliseringsstyrelsen, der ejer både NemID og MitID, der har taget over efter udfasningen af NemID.

Når man ikke tester sin katastrofeplan, så har man ikke en katastrofeplan.
It-specialist Poul Henning Kamp

– Jeg ville forvente, at Digitaliseringsstyrelsen stiller krav, og ikke bare har en ambition om, at det her skulle testes flere gange om året.

– Det her nedbrud kunne være undgået på guderne må vide hvor mange måder. Men når man ikke tester sin katastrofeplan, så har man ikke en katastrofeplan, siger Poul Henning Kamp.

Digitaliseringsstyrelsen har ikke ønsket at stille op til interview med DR Nyheder. I en skriftlig kommentar skriver styrelsen, at det “er helt uacceptabelt og ikke tilfredsstillende, at Nets hverken har løftet sit ansvar eller formået at følge egne procedurer”. Ifølge styrelsen har Nets præsenteret en plan, som styrelsen vil følge op på.

Digitaliseringsstyrelsen har ikke svaret på, hvorvidt Nets har sikret, at “noget sådan ikke kan gentage sig”, som styrelsen i juni krævede. Heller ikke hvorvidt styrelsen selv bærer et ansvar for leverandørens fejl.

Efter nedbruddet sagde nu fungerende finansminister Nicolai Wammen (S) til DR, at han så “med største alvor på nedbruddet og afventer en grundig redegørelse for hele forløbet, herunder hvordan det sikres, at noget sådan ikke kan gentage sig”.

DR Nyheder har, siden rapporten blev færdig i september, forsøgt at få en kommentar til rapportens konklusioner fra Nicolai Wammen, selvom DR Nyheder endnu ikke havde fået indsigt i rapporten.

Ministeren, der har ansvaret for Digitaliseringsstyrelsen, svarede ikke på spørgsmålene. Efter valgudskrivelsen meddelte ministeriet dog DR, at det nu ikke var muligt for ministeren at kommentere.

I dag lyder svaret fra Finansministeriet, at Nicolai Wammen ikke kan stille op til interview, da ministeriet fungerer som “forretningsministerie”, da der endnu ikke er dannet en ny regering.

  https://www.dr.dk/nyheder/indland

Relaterede artikler

Seneste nyheder