Bedrifter sikres ikke godt nok

Norske bedrifter stiller sjelden krav til forretningssikkerhet når de skal anskaffe ny programvare, og det har ført til mange og kostbare feil som det tar unødvendig lang tid å rette opp igjen.

(Foto: Colourbox)
(Foto: Colourbox)

BUCS: Business-Critical Software

Prosjektleder: Professor Tor Stålhane
Kontraktspartner: Institutt for datateknikk og informasjonsvitenskap, NTNU
Stipendiater og postdoktorer: Torgrim Lauritzen, Per-Trygve Myrer og Jon Arvid Børretzen

Tor Stålhane har også ledet to andre IKT2010-prosjekter:
WebSYS: Web-based Systems – Time-to-market vs. reliability
Stipendiater:
Jianyun Zhou, Sven Ziemer
Quantifying security risk in software systems using disparate information sources
Stipendiat: Siv Hilde Houmb

Mange norske bedrifter er ganske flinke når det gjelder den typen datasikkerhet som kalles «security» på engelsk, og som betyr at de beskytter seg godt mot virus og datainnbrudd.

Men den typen sikkerhet som kalles «safety» – nyansen finnes ikke på norsk – er ofte blitt uteglemt, forteller professor Tor Stålhane.

– Forretningssikkerhet eller «business safety» i datasystemene betyr at systemet ikke skal miste fakturadatabasen, ikke sende varene til feil sted, ikke nekte kreditt til en god kunde, og så videre.

– Det skal også være mulig å opprettholde driften selv om det oppstår en feil. Dette er noe som bør bygges inn i datasystemene, men det er sjelden blitt gjort, forteller han.

Kan skape store problemer

Det finnes mange eksempler på at feil eller svakheter i norske bedrifters forretningskritiske datasystemer har forårsaket store problemer.

25. november 2006 mistet for eksempel et av Norges største kjøpesentre, City Syd, og mange andre butikker i Trondheim nettforbindelsen i seks timer midt i julestria. Resultatet ble at ingen kunder fikk handlet med bankkortene sine.

I månedsskiftet mars-april 2007 ble 600 000 kunder i Postbanken rammet av en feil som gjorde at bankkortene deres ikke kunne brukes til betaling eller i minibanken. Feilen varte i tre dager. 

– En av stipendiatene her ved instituttet har lagd en liste over feil som var så store at de ble omtalt i riksmediene i 2006 og 2007, og listen er trist lesning. I mange av tilfellene hadde tilsynelatende ingen tenkt tanken på at det kunne oppstå feil, og det fantes derfor ingen backup-løsninger.

– Dette står i kontrast til noe jeg opplevde under et opphold i Auckland nylig, der strømmen plutselig gikk i store deler av byen. Det viste seg at det lokale politiet trente en gang i uka på hva de skulle gjøre i slike tilfeller, hvis både radio- og dataforbindelser forsvant.

– Politiet var så godt forberedt at de ikke fikk problemer i det hele tatt, forteller Stålhane.

Overføring av kunnskap

Den manglende forretningssikkerheten i datasystemer er en del av en større problemstilling som går ut på at mange norske bedrifter er svake på alt som har med risikoanalyser og risikovurdering å gjøre.

– Risiko er noe som ligger høyt oppe i bevisstheten i enkelte bransjer, som for eksempel offshore, luftfarten og transportsektoren. I annen industri har det vært for lite fokus på dette, forteller Stålhane.

Tor Stålhane
Tor Stålhane

Han har likevel inntrykk av at risikotenkningen begynner å bli mer utbredt i næringslivet, kanskje delvis fordi både han og andre eksperter har «mast» i en årrekke.

Still krav til leverandørene

Forskerne har blant annet studert utvalgte programvarebedrifter i Norge og Storbritannia. Resultatene viser at i alle fall to av de valgte metodene er både enkle å lære og enkle å bruke ved programvareutvikling.

Metodene, som kalles PHA (Preliminary Hazard Analysis) og FMEA (Feil Mode og Effekt Analyse) vil gi mer forretningssikre datasystemer, altså systemer som beskytter bedriftenes verdier bedre enn det som er vanlig i dag, forteller Stålhane. 

– Virksomheter som bestiller en ny dataløsning bør i større grad enn i dag utfordre leverandøren til å svare på spørsmål av typen «Hva skjer hvis jeg mister dataforbindelsen, eller hvis strømmen går? Hva om det skjer en databasefeil og jeg mister viktig informasjon?»

– Utviklingsbedriftene vil sjelden gjøre ting kunden ikke har bedt om og derfor heller ikke har betalt for. Men i dag bør vi ha kommet så langt at de programvarebedriftene som viser sine kunder at det er mulig å formalisere og analysere krav til forretningssikkerhet, vil ha en fordel i markedet, sier Stålhane.

Lenke:

Forskningsrådets program: Grunnleggende IKT-forskning (IKT-2010)

Powered by Labrador CMS