Ekspert: Datacentre er katastrofalt usikre

Den 9. april i år klokken lidt over 12 vidste De Sammensluttede Vognmænd pludselig ikke, hvor deres lastbiler var henne. Mælkeproducenten Arlas systemer strejkede også, så deres mælk kom ikke ud til butikkerne, Danske Banks kunder i Irland og Finland kunne ikke bruge deres kreditkort, og hele ATP's serverpark hos IBM blev lagt ned i 17 timer.

Et sted ude i Brøndby, dybt inde i IBM's store, gule bygning, stod skurken. En switch, en enkelt netværksboks, var løbet løbsk og begyndte uden forklaring at sende enorme mængder data ud i netværket.

Efter 20 minutter blev netværket overbelastet: Systemet brød sammen.

IBM, en af verdens største og mest professionelle udbydere, som kører software for de største virksomheder i Danmark og for det offentlige, blev lagt ned af et stykke elektronik.

Og sådan vil det gå gang på gang, hvis vi insisterer på at samle alle vores computerressourcer i datacentre.

Det kan ikke andet end gå galt, siger Peter G. Neumann, en af USA's absolut førende eksperter, inden for sikkerhed i computersystemer.

»Der er ikke mange, der begriber, hvor sårbare vores computersystemer egentlig er. Den usikkerhed bliver endnu større, når man samler alle æggene i en kurv i et datacenter - det er for kompliceret og der er for mange mennesker involveret. Og mennesker er altid et svagt led,« siger han.

75-årige Neumann har arbejdet med sikkerhed og driftssikkerhed i computersystemer siden 1953 og er ledende forsker ved det højt respek­terede Stanford Research Institute. Han har undervist på blandt andet Stanford og Berkeley, er it-sikkerhedsrådgiver for USA's regering, og har modtaget flere store priser.

Selv om nedbruddet hos IBM var kolossalt efter danske forhold, hører det til i småtingsafdelingen i forhold til, hvor galt det kan gå. I 1995 skrev Neumann bogen 'Computer-Related Risks', hvor han har samlet flere tusinde eksempler på nedbrud helt tilbage fra 1970'erne.

Horrorstories, kalder han dem, og så godt som alle sammen skyldtes såkaldte single point of failures, altså konstruktioner, som tillader, at én fejl får læsset til at vælte.

Vi skal ikke langt tilbage for at finde et af de mere opsigtsvækkende, nemlig hos Amazons prestigeprojekt Elastic Computing Cloud (EC2), hvor tusindvis af private og små firmaer har al deres software og websites på såkaldte virtuelle computere i Amazons mega serverpark.

I sin bog 'The Big Switch' omtaler forfatteren Nicolas Carr EC2 som et eksempel på 'fremtidens computerkraftværk', men i februar gik store dele af Amazons serverpark ned og tog de mange små opstartsfirmaer med sig i faldet. I april havde Amazons EC2 endnu et mindre nedbrud.

Og herhjemme, kun en lille uge efter IBM's nedbrud, gik PBS ned, så al dansk internethandel var sat ud af drift i over 12 timer, og 11.000 danske internetbutikker i tabte et ukendt antal millioner kroner.

»Der vil altid vil være ukendte, ikke anerkendte single point of failures ét eller andet sted. Og sådan en fejl har det med at forplante sig hele vejen ud igennem systemet,« siger Peter G. Neumann.

Ud over stepperne

Men på trods af advarsler som Neumanns tordner virksomheder og regeringer ud over stepperne med store, billige og effektive it-systemer.

Region Syddanmark har for eksempel netop lagt samtlige røntgenbilleder fra regionens 11 sygehuse sammen i et datacenter, som alle sygehusene kan trække på.

De mange terabytes med livsvigtige røntgenbilleder bliver opbevaret i to spejlede centre, et i Odense og et i Esbjerg, forbundet med en 10 Gbit fiberforbindelse.

Et andet og noget mere vidtrækkende eksempel er den danske regering, som netop er gået i gang med at samle al ministeriernes it-drift i et super-center. Det skal stå færdigt i 2011 og skal spare staten for op mod 425 mio. kroner om året.

Men prisen kan blive frygtelig høj, advarer Peter G. Neumann:

»Det er simpelthen så ubegribeligt dumt at samle statens drift i ét center. Det gør hele statens drift til ét stort single point of failure. Hvis hackere bryder ind i systemet eller iværksætter et denial of service-angreb (ond­sindet databombardement, red.), så kan det stikke en kæp i hjulet på hele nationen. Desuden har systemer en tendens til at falde sammen af sig selv.«

Hvad med back up og dublerede systemer. Er det ikke godt nok?

»Selvfølgelig kan det meste reddes med back up, og noget kan køre videre uden problemer. Men i min bog har jeg 15-20 eksempler på nedbrud, hvor både det primære system og backup-systemet gik ned,« siger Neumann og nævner cyberangrebet på Estland sidste sommer som et eksempel på, hvor galt det kan gå.

Da Estland fjernede et mindesmærke for russiske soldater fra Anden Verdenskrig, blev landet kastet ud i en cyberkrig, hvor et såkaldt botnet med op mod en million computere gik ind i et månedlangt denial of service-angreb på estiske myndigheders servere, så alt fra ministerier til skoler blev tvunget i knæ.

Hvad er løsningen på problemet?

»Lad mig sige det med det samme: Der er ikke noget easy fix på det her, og vi er nødt til at gen­overveje alt, hvad vi laver. At lave så komplekse systemer kræver supergrundig programmering, og desværre undervises der kun i de færreste lande på det niveau. Det kræver mere robuste operativsystemer og bedre programmer. Det udvikler sig, men ikke nok.«

Indtil da handler det om at være ekstremt forsigtige, siger Neumann:

»Der forskes en hel del i, hvordan man minimerer antallet af mennesker og systemer, som man er nødt til at stole på - og i, hvordan man overvåger brugen nøje,« siger han og nævner den klassiske episode med krigsskibet USS Yorktown fra 1997.

Skibet var et såkaldt Smart Ship, fuldt rigget op med LAN, fiberoptiske kabler og computerstyring.

Da et besætningsmedlem på et tidspunkt kommer til at taste et nul ind i et felt i skibets database, opstår en divide-by-zero-fejl, som får netværket til at bryde sammen. Altså også den Windows-computer, som styrer motoren, så skibet må slæbes i land.

»Det viser bare, at vi sætter vores lid til systemer, som vi ikke kan stole på, fordi de er dårligt designet. Og vi stoler på mennesker, som ikke opfører sig korrekt,« siger Neumann.