Datasikkerhetsekspert advarer: – Viser hvor sårbare vi er

Flyplasser, nyhetsmedier, nettbutikker og sykehus. Tidlig fredag var plutselig hele verden rammet av tekniske problemer.

Årsaken var en oppdatering sendt ut av datasikkerhetsselskapet Crowdstrike. Selskapets programvare brukes av store institusjoner og selskaper verden over.

– Dette viser hvor sårbare vi er for enkle feil, sier datasikkerhetsekspert Gøran Breivik til VG.

– Liv kan gå tapt

Breivik sier dette viser hvor avhengige vi er av leverandørene og hvordan den avhengigheten påvirker samfunnet.

– Flere burde ha tenkt gjennom alternative løsninger. Ikke fordi det er enkelt, men fordi vi nå ser hvor sårbare vi er, forklarer Breivik.

Han sier sannsynligheten for at denne type hendelser finner sted, er økende.

– Vi lager stadig mer komplekse systemer uten å sanere mengden programvare. Det er et informasjonssikkerhetsproblem, sier Brevik.

Han mener risikoen for systemfeil er underkommunisert.

– Man må ikke bare tenke på angrep, men også hvordan feil i leverandørkjeden kan utgjøre en risiko.

– Liv kan gå tapt hvis personer ikke får medisinene sine.

Kan få «katastrofale konsekvenser»

Breivik får støtte fra Ole Andreas Hegland Engen, professor i samfunnssikkerhet ved Universitetet i Stavanger.

– Dette viser at når det ser et slik krasj, så spres det fryktelig fort.

– Her er det et brannmursystem, som har reagert et sted i verden, og så sprer det seg til å ramme alt fra flytrafikken til sykehus.

<-Ole Andreas Hegland Engen

Professor i samfunnssikkerhet ved Universitetet i Stavanger.

Han sier at avhengigheten av avanserte teknologiske systemer er en utvikling vi har sett i samfunnet over lang tid.

– Det som skjer i dag er ikke veldig overraskende for oss som har jobbet med risikoen ved digitale systemer. Denne risikoen ligger i at systemene er så komplekse og innvevd i hverandre at det er vanskelig å identifisere hvordan de oppstår.

– Systemene har blitt mer og mer innvevd, de teknologiske systemene har blitt mer og mer komplekse og vi har blitt mer og mer avhengige av teknologien.

Han peker på at utviklingen av AI-teknologi ikke gjør systemene enklere å forstå fremover heller. Engen sier mye av utfordringen ligger i at man ikke klarer å identifisere risikoene i så komplekse systemer.

Da er det også vanskelig å forutse konsekvensene ved en feil.

– Kanskje klarer man å håndtere konsekvensene, med det vet man ikke før problemene inntreffer. Det kan også få katastrofale konsekvenser.

– En læringseffekt

– Dette er jo utrolig utfordrende. Hvordan skal vi organisere samfunnet, og bygge robusthet til å håndtere denne type risiko?

Engen sier risikoen kan reduseres ved å ikke gjøre seg avhengig av ett system. Samtidig vil det å bruke flere systemer, gjøre operasjoner enda mer innviklet.

– Det er litt «damned if you do, damned if you don't».

Han sier det gjelder å lage føre-var-strategier, som kan komme inn hvis sentrale systemer bryter sammen.

Han mener fredagens store dataproblemer gir en pekepinn på hvor utsatte vi er.

– Dette har jo en type læringseffekt.

– Hvordan kan jeg som privatperson beskytte meg for slike hendelser?

– Der tenker jeg egenberedskapsrådene fra direktoratet for samfunnssikkerhet er gode. Hvis dette hadde påvirket strømmen, for eksempel.

– Må trenes

Nasjonal sikkerhetsmyndighet (NSM) er ansvarlig for å bedre Norges evne til å beskytte seg mot spionasje, sabotasje, terror og sammensatte trusler.

– Alt tyder på at dette pr. nå ikke har vært en villet handling, sier avdelingsdirektør Kristin Wist i NSM.

– Men en villet handling kunne medført de samme konsekvensence, fortsetter hun.

Wist er klar på at virksomheter er ansvarlige for sikkerheten i egne systemer.

– Virksomheter, spesielt de samfunnsviktige, må være i stand til å opprettholde viktige leveranser og tjenester ved bortfall av IKT-tjenester.

Wist forteller at virksomheter må ha gode planer for denne type scenarier.

– Det må trenes og øves slik at man har en god situasjonsforståelse i organisasjonen.

Dette er Crowdstrike

Gøran Breivik omtaler selskapet som en anerkjent sikkerhetsleverandør.

– De sørger for å holde kjeltringer ute av systemene våre, sier han.

Foto: YUICHI YAMAZAKI / AFP / NTB

Selskapet ble grunnlagt i 2011, og har vokst til å bli en av de største aktørene i markedet. De har blant assistert amerikanske myndigheter med å håndtere russiske og nordkoreanske angrep.

Ifølge Breivik er dette en av markedets beste leverandører av sikkerhetstjenester.

– Men selv de beste kan gjøre elementære feil.