Det var en mislykket test af en firewall, der førte til Danske Banks IT-nedbrud i tirsdag aften. Firewall'en blev installeret i forbindelse med en test på netværket.
- Firewall'en var konfigureret forkert ved en menneskelig fejl. Den "støjede" og sendte alarmer og fejlmeddelelser rundt, siger Peter Schleidt, vicedirektør i Danske Bank.
Firewall?en sendte fejlmeddelelser ud hele natten, og om morgenen kunne netværket ikke mere.
- Det ramte så vores mainframes, som ikke kunne kommunikere sammen, fordi netværket var fyldt med fejlmeddelelser, forklarer Peter Schleidt.
Danske Banks mainframes kunne godt arbejde videre med, hvad de var i gang med, men de kunne ikke kommunikere med andre maskiner på netværket.
Medarbejdere, der kom på arbejde onsdag morgen, kunne godt logge på netværket, men kort efter arbejstidens begyndelse brød netværket endeligt ned. Derefter kunne hverken medarbejdere eller Netbank-brugere komme på.
Fejlen blev lokaliseret ved frokosttid. Netværket blev genstartet i løbet af eftermiddagen, og sent på eftermiddagen var også Danske Netbank online igen.
- Det er jo en kedelig fejl, som vi godt kunne have undværet. Det var en menneskelig fejl, og det kan jo ske, men det er jo ærgerligt, når vi har gjort meget for at højne sikkerheden efter sidste gang, siger Peter Schleidt.
Han henviser til nedbruddet i marts, da Danske Banks IT-systemer var ude af drift i godt en uge.
Ikke hurtige nok
Siden da har banken blandt andet strammet op på procedurerne vedrørende opsætning af firewall, og gjort sine mainframes mere tolerante over for støj på netværket, fortæller Peter Schleidt.
- Vi har også sænket tolerancen for, hvornår vi går til kritisk tilstand, så vi kommer hurtigt op i omdrejninger næste gang, siger han, og retter derefter sig selv - der bliver selvfølgelig ikke nogen næste gang.
- Vi erkender, at vi ikke var hurtige nok til at reagere denne gang, og vi er selvfølgelig kede af det på vores kunders vegne, og vi vil gøre meget for, at det ikke sker igen, siger Peter Schleidt.
Nedbruddet har medført en påtale til den ansvarlige medarbejder, som kan beholde sit job. Peter Schleidt har endnu ikke hørt om, at bankens skulle have modtaget erstatningskrav.
- Det var jo muligt at ringe til os hele tiden, og aktie- og obligationshandel fungerede som normalt, men vi dækker selvfølgelig, hvis nogen skulle have tabt penge på nedbruddet, siger Peter Schleidt.
Hårdt for image
En menneskelig fejl, ja, men en større bank, der har to nedbrud på et halvt år er uhørt, mener sikkerhedsanalytiker hos IDC Nordic, Carla Arendt. Selv om nedbruddet denne gang ikke skyldes den samme fejl som i marts, er det ikke godt nok, fastslår hun.
- Når man ser på andre finansielle virksomheder i Europa, har de generelt en meget god sikkerhed. De har 110 procent styr på det, både når det gælder angreb udefra, men også driftssikkerheden er meget høj, siger Carla Arendt.
Og der kan Danske Bank ikke følge med.
- Det er ikke acceptabelt, at en så stor finansiel virksomhed har så store driftsproblemer, og jeg har aldrig hørt om en anden bank, som har haft to større nedbrud inden for den relativt korte tid, siger Carla Arends.
IT-nedbrud, som i onsdag går det både ud over bankens - og bankens kunders - omsætning og bankens image som troværdig virksomhed. Derfor er nedbrud i bankens IT-systemer, hvor banken mister kontrollen over systemet, per definition et brud på sikkerheden.
- Så der er noget, Danske Bank skal arbejde seriøst med at få styr på, siger Carla Arendt
