Nedbruddet hos betalingsgiganten Nets den 19. juli lammede store dele af Danmark og afslørede, hvor sårbar landets digitale betalingsinfrastruktur er. Bag de tekniske forklaringer gemmer sig en dybere krise: et system domineret af udenlandsk ejerskab, dårlig krisekommunikation og manglende krav til uafhængig IT-sikkerhed. Sammenbruddet rejser spørgsmålet: Er vi klar til et kontantløst samfund, hvor én fejl kan lamme alt?
Af Franz Krejberg, APK
For en uge siden, lørdag den 19. juli, brød det digitale betalingssystem i Danmark sammen i flere timer. Det skabte masser af problemer, både her i landet og for danskere på ferie der ikke havde sørget for at hæve kontanter. Årsagen var et nedbrud hos betalingsgiganten Nets, der står for administrationen.
Nets’ officielle forklaring kom først efter flere dages tavshed, og de forklarede at nedbruddet skyldtes “en særdeles sjælden teknisk fejl i en central komponent, som drives af en global tredjepartsleverandør”. Både det primære system og backupsystemet fejlede samtidigt. Fordi de var bygget på den samme teknologi fra den samme leverandør. En idiot fejl der advares om i første time i IT-sikkerhed, fordi redundansen bliver en illusion.
Tilsynsmyndigheder som Finanstilsynet og Nationalbanken har kun anbefalinger til backup-systemer, og ikke krav om at de er en teknologisk uafhængig løsning. Der er underligt nok heller ikke krav om at virksomheder som Nets skal give en hurtig og ærlig kommunikation, under og efter nedbrud. De kan kort sagt slippe afsted med at lade folk strande i uvidenhed, og bagefter reducere forklaringen til at der var tale om en teknisk fejl.
Nets fortæller ikke om der er tale om f.eks. fejl i systemet der håndterer krypteringen af pinkoder eller et andet system. Disse systemer er hjertet i enhver betalingsinfrastruktur og leveres ofte af en håndfuld globale monopoler. Ved at outsource driften af dele af IT-systemer afgives samtidig en del af kontrollen. Det er nøjagtig som at gøre sig afhængig af Microsoft online Office pakke, uden at forstå man risikerer at miste alle sine data, når tingene går galt, eller USA vedtager sanktioner.
Man skal huske på at det er sket mange gange, at fejl hos en ekstern leverandør føre til it nedbrud. F.eks. NotPetya-angrebet i 2017, der bl.a. ramte Mærsks med et milliarddyrt nedbrud efter en kompromitteret tredjepartsopdatering automatisk blev installeret fordi den overholdt sikkerhedsprotokollerne. Selvom Nets-nedbruddet kaldes en teknisk fejl, er resultatet i princippet det samme som et cyberangreb.
Radiotavshed og myndighedernes afmagt
Mens systemerne var nede, var der en anden, lige så kritisk fejl: kommunikationen. Partnere som Sund & Bælt oplevede total “radiotavshed”. De vidste ikke, om nedbruddet ville vare fem minutter eller fem dage. Og nets tog ikke telefonen, når man ringede på deres nødnummer, netop oprettet til denne type situationer. Denne afmagt lyder som den som hr og fru Jensen tit oplever når de ringer til det offentlige, for at få hjælp gennem IT-labyrinten, uden at få et menneske i røret.
Denne mangel på åbenhed er en systemisk risiko, når én aktør har en markedsandel på op mod 80 % af alle danske kortbetalinger. Storebælt havde selv en ”dårlig” dag, fordi deres direktør nægtede at lade bilister slippe igennem hvis de ikke kunne betale… Mindre tumult opstod, da folk der sad fast i timevis, blev nægtet at komme igennem.
Nets markedskoncentration betyder at een fejl et sted i denne ene gigant kunne vælte hele Danmarks betalings systemer. Nets’ ejerforhold er gået fra at være ejet af bankerne, til kapitalfonde og nu en del af den italienske Nexi Group. Kort sagt er Danmarks kritiske betalingsinfrastruktur i hænderne på globale, kommercielle interesser, hvor optimering og profit altid vejer tungest.
Erfaringen er, at det er totalt naivt at overlade vitale it-systemer til udenlandske eller private aktører. Det er uanset om det er systemer til at håndtere journaler på sygehuse, eller det handler om andre personlige data. Datacentre skal ikke stå i udlandet, eller håndteres af private virksomheder. Et af de mere kuriøse eksempler er “Se og Hør-sagen”, hvor en IT-ansat hos Nets/IBM lækkede kendissers kortdata.
Statsmagten er heller ikke lig med sikkerhed. Kontrollen med IT-sikkerhed er placeret under Forsvarsministeriet hos Center for Cybersikkerhed (CFCS), en del af Forsvarets Efterretningstjeneste. Dette har skabt en fundamental interessekonflikt. Som Snowden afslørede har efterretningstjenester en interesse i at kende – og hemmeligholde – sårbarheder for at kunne udnytte dem til overvågning.
Det er klart at hemmelige tjenester og virksomheder hverken kan eller vil beskytte samfundet mod it-fejl. En ægte sikkerhedsmodel må bygges på “zero trust” – dvs. at ingen aktør, intern som ekstern, tildeles blind tillid.
Bevar kontanter
Presset for at afskaffe kontanter kommer fra mange sider: Banker ønsker at spare omkostninger, Amazon og de store netbutikker elsker det, og EU stræber efter total overvågning i pengestrømme via digitale centralbankvalutaer (CBDC).
Kontanter har deres egne problemer som betalingsmiddel, herunder flere typer af kriminalitet, men af mange grunde vil det være en ulykke for arbejdere og den brede befolkning at afskaffe dem som det eneste reelle, velfungerende offline-alternativer, med sikkerhed for anonymitet.
Digitale betalinger er bestemt bekvemt, når det virker. Men som Nets-nedbruddet igen har vist, så kommer de forkromede centrale digitaliserings systemer med garanti for sammenbrud, og digitale nødplaner viser sig i praksis utilstrækkelige. Til gengæld betyder digitalisering, at vejen bliver banet for den totale overvågning.
Der findes lande hvor det er lykkedes at udvikle alternative decentrale systemer til digital betaling, som i Kenya hvor man indførte M‑Pesa. Mulighederne er der, men ikke med storbankerne ved roret.
Dette er en artikel fra KPnet. Se flere artikler og følg med på
KPNET.DK – NYHEDER HVOR DER KÆMPES – eller på FACEBOOK
Udgives af APK – Arbejderpartiet Kommunisterne
