Still tøffere krav til ny programvare

Slurver du med datasikkerheten kan bedriften få store problemer internt, men også eksternt. I verste fall havner kritisk informasjon på avveie.

Security eller safety?

Mange norske bedrifter er ganske flinke når det gjelder den typen datasikkerhet som kalles security på engelsk, og som betyr at de beskytter seg godt mot virus og datainnbrudd.

Men den typen sikkerhet som kalles safety - nyansen finnes ikke på norsk - er ofte blitt uteglemt, forteller professor Tor Stålhane.

- Forretningssikkerhet eller business safety i datasystemene betyr at systemet ikke skal miste fakturadatabasen, ikke sende varene til feil sted, ikke nekte kreditt til en god kunde, og så videre.

- Det skal også være mulig å opprettholde driften selv om det oppstår en feil. Dette er noe som bør bygges inn i datasystemene, men det er sjelden blitt gjort, forteller han.

Les også: E-post havner i feil innboks

Skaper mye trøbbell

Det finnes mange eksempler på at feil eller svakheter i norske bedrifters forretningskritiske datasystemer har forårsaket store problemer.

I november 2006 mistet for eksempel ett av Norges største kjøpesentre, City Syd, og mange andre butikker i Trondheim nettforbindelsen i seks timer midt i julestria. Resultatet ble at ingen kunder fikk handlet med bankkortene sine.

I månedsskiftet mars-april 2007 ble 600 000 kunder i Postbanken rammet av en feil som gjorde at bankkortene deres ikke kunne brukes til betaling eller i minibanken. Feilen varte i tre dager.

Tenker ikke på backup-løsning

- En av stipendiatene her ved instituttet har lagd en liste over feil som var så store at de ble omtalt i riksmediene i 2006 og 2007, og listen er trist lesning. I mange av tilfellene hadde tilsynelatende ingen tenkt tanken på at det kunne oppstå feil, og det fantes derfor ingen backup-løsninger.

- Dette står i kontrast til noe jeg opplevde under et opphold i Auckland for en tid siden, der strømmen plutselig gikk i store deler av byen. Det viste seg at det lokale politiet trente en gang i uka på hva de skulle gjøre i slike tilfeller, hvis både radio- og dataforbindelser forsvant.

- Politiet var så godt forberedt at de ikke fikk problemer i det hele tatt, forteller Stålhane.

Norske bedrifter svake

Den manglende forretningssikkerheten i datasystemer er en del av en større problemstilling som går ut på at mange norske bedrifter er svake på alt som har med risikoanalyser og risikovurdering å gjøre.

- Risiko er noe som ligger høyt oppe i bevisstheten i enkelte bransjer, som for eksempel offshore, luftfarten og transportsektoren. I annen industri har det vært for lite fokus på dette, forteller Stålhane.

Han har likevel inntrykk av at risikotenkningen begynner å bli mer utbredt i næringslivet, kanskje delvis fordi både han og andre eksperter har mast i en årrekke.

Les også: Gir hjelp mot dataskrekk

Våg å utfordre leverandørene

Forskerne har blant annet studert utvalgte programvarebedrifter i Norge og Storbritannia. Resultatene viser at i alle fall to av de valgte metodene er både enkle å lære og enkle å bruke ved programvareutvikling. Metodene, som kalles PHA (Preliminary Hazard Analysis) og FMEA (Feil Mode og Effekt Analyse) vil gi mer forretningssikre datasystemer, altså systemer som beskytter bedriftenes verdier bedre enn det som er vanlig i dag, forteller Stålhane.

- Virksomheter som bestiller en ny dataløsning bør i større grad enn i dag utfordre leverandøren til å svare på spørsmål av typen: Hva skjer hvis jeg mister dataforbindelsen, eller hvis strømmen går? Hva om det skjer en databasefeil og jeg mister viktig informasjon?

Leverer ikke mer enn de må

- Utviklingsbedriftene vil sjelden gjøre ting kunden ikke har bedt om og derfor heller ikke har betalt for. Men i dag bør vi ha kommet så langt at de programvarebedriftene som viser sine kunder at det er mulig å formalisere og analysere krav til forretningssikkerhet, vil ha en fordel i markedet, sier Stålhane.

Les mer om Forskningsrådets program på: Grunnleggende IKT-forskning (IKT-2010).

(forskning.no)