Der er en hovedrolle, jeg ikke ønsker at spille. Selvom jeg allerede er ansat til den.

Plottet er nogenlunde sådan her: Der udbryder brand i vores virksomhed. Selvom brandslukningsgasser kvæler ilden i vores server-rum, klarer det nedsivende brandslukningsvand, hvad flammerne ikke formåede: Alt vores it er ødelagt. Alle data og systemer er forsvundet. Pist væk.

Nu er spotlight på mig, og kravet er enkelt: Genskab det hele – nu. De første timer har jeg arbejdsro, men efterhånden som Murphy viser sit grimme ansigt – igen og igen – får alle bekymrede miner. Lige fra piccolinen til bestyrelsesformanden. Efter tre dage mister alle tilliden til mig, og et eksperthold sættes ind. De må til sidst konstatere, hvad jeg allerede ved: Vi kan ikke genetablere vores it-systemer.

Spillet er tabt, kun nødaviser udkommer i ugevis. Vi aner ikke, hvem der har købt eller betalt hvad i månedsvis. Efter to år sælges virksomheden til en brøkdel af fordums værdi.

En usandsynlig bangesang, enfoldig som omkvædet i Bjarne Jes Hansens 70’er-børnesang? Nej egentlig ikke: Undersøgelser omtalt i Disaster Recovery Magasine viser, at kun halvdelen af virksomheder, der skal genetablere deres systemer fra en backup, lykkes med deres forehavende. Sandsynligheden for succes er 1/2.

Datatab = virksomhedsdød

Amerikaneren Jim Hoffer offentliggjorde i 2001 en undersøgelse, der viste, at kun 6 pct. af virksomheder, som mister store mængder data, overlever på sigt. 43 pct. genåbner aldrig, mens 51 pct. lukker indenfor to år. Muligheden for langsigtet overlevelse er 1/17.

Men værst af alt: Dette er ikke det mest sandsynlige mareridt. Ca. hver anden måned bliver et af vores virksomheds delsystemer ramt. Eksempelvis virus i bannere, strømsvigt, eller indbrud i blogsystemer.

Selvom der tit står kriminelle bander bag, så har de frit spil. Risikoen for at blive fanget for et digitalt indbrud i København er minimal, hvis du befinder dig få tidszoner mod øst. Eller blot i en anden EU-hovedstad. En europæisk bande stjal eksempelvis for næsten 300.000 kr. telefontrafik fra os, før vi fik stoppet hullet. Og nej, politiet kunne ikke gøre noget i den sag.

Men er løsningen så helt at droppe it? Nej! Vi holder heller ikke op med at færdes i trafikken, selvom vi kan dø af det: 409 ud af 5.482.266 danskere blev dræbt i trafikken sidste år. Det svarer til en risiko på 1/13.404. Til sammenligning er chancen for at vinde førstepræmien i Lotto 1/8.347.680.

Vi må altså forholde os voksent til de trusler, der er mod vores virksomheds fundament.

Kogebog for sikkerhed

Siden den 1. januar 2008 har alle statslige myndigheder haft pligt til at gennemføre de nødvendige sikkerhedsovervejelser og -forholdsregler vha. en standard der kaldes DS 484 med titlen ”Standard for informationssikkerhed”.

Det 100 sider lange hæfte en god kogebog og huskeseddel. Om end det er overordentlig tør læsning. Der er heldigvis lettere veje: Hvis du googler på ”DS 484”, dukker IT & Telestyrelsens vejledning til standarden op som et af de første søgeresultater.

En anden mulighed er, at virksomhedens bestyrelse kræver, at den daglige ledelse udarbejder en sikkerhedspolitik, der er i overensstemmelse med standarden. Og at en it-revisor en gang om året udarbejder en erklæring til bestyrelsen, der vurderer om den bliver overholdt. Er dette virkelig noget en bestyrelse skal interessere sig for? Det mener jeg. For store værdier kan forsvinde; til skade for aktionærerne.

Har den offentlige sektor så styr på alt, hvad der har med it at gøre? Det er der ikke meget, der tyder på. Mere om dét emne næste uge.

Bragt som kommentar i Jyllands-Posten d. 26 maj 2008 og på epn.dk d. 28. maj 2008.