Leder: Da Nets’ betalingssystemer gik ned lørdag aften, holdt Danmark op med at virke.
Dankortet fungerede ikke. Bilkøerne voksede på Storebæltsbroen. Forretninger gik i stå. Tivoli kunne ikke sælge børnefamilierne is. Grøn Koncert kunne ikke sælge øl.
Det hele varede kun timer - men det var nok til at afsløre et grundlæggende svigt i vores digitale beredskab.
Kritikken har forståeligt nok ramt Nets, og det med god grund. Et driftsproblem på en mainframe fik lov at lamme store dele af dansk infrastruktur. Nets kommunikerede for langsomt og for uklart. Det skal de svare på, og det er de også blevet bedt om af Finanstilsynet og Nationalbanken.
Men det største svigt ligger et andet sted: Hos Nets-kunderne.
Det er dem, der har outsourcet en (samfunds)kritisk funktion - og glemt at tænke det næste led igennem. Hvor var nødplanerne? Hvor var beredskabet? Hvor var muligheden for at skifte til manuel håndtering?
Storebæltsbroen kunne have reageret anderledes. De kunne have åbnet bommene, registreret nummerplader og sendt regningen senere. Det gjorde de ikke. I stedet fik vi køer, vrede bilister og politianmeldelser. Det var ikke kun et it-svigt. Det var et ledelsessvigt.
De oversete digitale aktører
Virksomheder som Sund & Bælt – og alle andre med kritiske funktioner - er i dag digitale aktører. Og de bør agere sådan.
Når nedbrud sker – og det vil de gøre igen - skal der være en plan. Ikke bare på papir, men i praksis. Det kræver øvelse, procedurer og klare beslutningsveje. Det kræver, at nogen tør tage ansvar, også klokken 20 en lørdag aften.
Desværre er Nets-nedbruddet ikke enestående.
I februar 2023 oplevede Danmark et lignende wake-up call, da TDC Net havde et af de største telenedbrud i nyere tid. Politiets hovednummer virkede ikke. Borgere fik at vide, at "nummeret eksisterer ikke". Alarmcentralen blev ramt. Offentlige myndigheder og private virksomheder måtte improvisere. Igen uden plan, uden information og uden forudgående øvelser.
Alligevel fortsætter mange danske virksomheder og myndigheder med at satse alt på én leverandør. Én platform. Én vej. Det har længe givet mening økonomisk. Men det gør os sårbare. Når ét system fejler – enten på grund af teknisk fejl, menneskelige misforståelser eller et fremtidigt cyberangreb – er der ikke noget alternativ.
Billigste løsning først
Vi har digitaliseret hurtigt og bredt. Men vi har gjort det med "billigste løsning først"-mentalitet. Ligesom vi i årtier har skåret i forsvaret, som vi nu må genopbygge, må vi samtidig erkende, at vores digitale beredskab er underudviklet.
Det er ikke nok, at it-afdelingen har styr på firewalls og backup. Når det gælder kritisk infrastruktur, skal hele organisationen være klar. Helt op til ledelsen.
Nets kunne have gjort mere. De kunne have stillet krav. De kunne have forberedt deres kunder: Dette kan ske. Hvad er jeres plan? De kunne have tilbudt fælles beredskabsøvelser. Det er naivt at tro, at driftsproblemer kun opstår søndag nat klokken 02.
Det er her, NIS2-direktivet kommer ind i billedet. For første gang er det tydeligt, at ansvaret ikke ligger hos it-chefen alene. Det ligger hos direktionen og bestyrelsen. Det er deres opgave at stille de svære spørgsmål: Hvad nu hvis det her bryder sammen? Hvad gør vi så?
Danmark dumpede generalprøven
Hvis vi ser på weekenden som en generalprøve på et cyberangreb - og det bør vi - så dumpede vi. Ikke fordi systemer gik ned, men fordi reaktionen fejlede. Vi havde ikke styr på planen, og vi havde ikke styr på kommunikationen. Vi havde ikke styr på hinanden.
Det skal vi tage alvorligt. Og vi skal begynde nu. Med ærlig dialog mellem leverandører og kunder. Med flere øvelser. Med mindre tavshed og mere planlægning. Den perfekte storm er fuld digitalisering, fravær af beredskab og en usikker verden.
Det er desværre dér, vi er nu.
Opdatering: Sund & Bælt så lyset allerede mandag og vil nu arbejde for at have alternativer. Klogt. Læs deres besked her.