Coop: »Alle vores it-problemer skyldes KMD«

Tak for klart svar, Jesper :-)

Hvis vi faktisk så forsøger at hæve problemstillingen lidt op til et højere niveau - er der mon så et problem i Danmark, hvor offentlige data i forskellige sammenhænge er i fare for at havne i usikre omgivelser i udlandet via underleverandører?

// Jesper

Hvis vi faktisk så forsøger at hæve problemstillingen lidt op til et højere niveau - er der mon så et problem i Danmark, hvor offentlige data i forskellige sammenhænge er i fare for at havne i usikre omgivelser i udlandet via underleverandører? Eller er det et forholdsvis ikke eksisterende problem?

Er holdningen hos de offentlige myndigheder "Ude af øje, ude af sind", dvs. at man mener, at ansvaret ligger hos leverandører og underleverandører - for det har man skrevet i kontrakterne?

Jeg mener jo "Ja" - da man f.eks. i Epic har valgt at lade vore sundhedsdata flyde til USA. Så jeg forestiller mig, at det har man nok også valgt at acceptere i mange andre sammenhænge - altså at man lader data slippe til udlandet, fordi man har overladt (mener man) ansvaret til private leverandører/underleverandører.

Mon der overhovedet er nogen, der har en form for overblik over, hvor mange steder i det offentlige system, personfølsomme eller samfundsvigtige data på denne måde kan tænkes at befinde sig i andre lande?

Men ok - så er vi flyttet lidt væk fra selve KMD.

Du skal huske på, at de fleste af os er fagfolk, som har eller arbejder for forskellige leverandører. Derfor kan og vil mange ikke snakke om enkeltsager, simpelt hen fordi det er man lovgivningsmæssigt og/eller kontraktuelt forpligtet til ikke at gøre.
Men når man hæver abstraktions niveauet til et mere teoretisk plan, så er det noget andet.

Tak for svar, Jesper. Ja, jeg var begyndt at ane, at det var der, det bar hen ad - og jeg forstår det også godt. Det er derfor, jeg kunne håbe, at journalister ville undersøge sagen, ganske som de undersøger mange andre sager.

Det har du helt ret i - nogen gange er det bare de mange bække små (= de mange store enkeltskandaler/sager), der på et tidspunkt bliver så mange, pinlige og alvorlige, at politikere tvinges til at hæve det op på et højere niveau.

En anden grund til at et 'højere niveau' og at se bort fra enkeltsager her er en god ide, er at så kan flere være med. Du skal huske på, at de fleste af os er fagfolk, som har eller arbejder for forskellige leverandører. Derfor kan og vil mange ikke snakke om enkeltsager, simpelt hen fordi det er man lovgivningsmæssigt og/eller kontraktuelt forpligtet til ikke at gøre. Men når man hæver abstraktions niveauet til et mere teoretisk plan, så er det noget andet.

// Jesper

Jeg vil gerne løfte det op på et højere niveau end 'bare' at se på en enkelt leverandør, for det er det der skal til.

Hvis det viste sig, at der var lignende huller i KMD's samarbejde med TechMahindra, som i nødnett-sagen, så ville det vel være både meget alvorligt og meget pinligt - måske noget, der kunne medvirke til at fremtvinge politisk nytænkning/indgriben mht. underleverandører på offentligt relevante områder.

Jeg kan ikke helt finde ud af, om vi er uenige, Jesper Frimann - det er nok mig, der er lidt træt i hjernen i dag. Men for mig er det ikke i første omgang i denne sag så vigtigt at få placeret ansvaret, men blot at få opklaret, om der overhovedet er et ansvar, der er behov for at placere - måske er der slet ikke noget problem ift. KMD's brug af TechMahindra ? Det ville jo være dejligt!

Jeg vil gerne løfte det op på et højere niveau end 'bare' at se på en enkelt leverandør, for det er det der skal til. Hvis du har noget vigtigt hængt op i en kæde og kun fokuserer på rusten på et enkelt led, og ikke bruger tid på at se på at hele kæden er rusten og ser på hvorfor ruster hele kæden. Så kan du være helt sikker på, at et eller andet led vil fejle og 'det vigtige' vil falde til jorden. Derfor skal vi flytte fokus, når det gælder datasikkerhed, til et højere abstraktions niveau.

Og hvis der ikke er nogen 'der har den' eller hvis der er nogen 'der har den' så hvis det ikke har nogen konsekvens for dem, så bliver der ikke gjort noget ved det.

Hele outsourcing området er en meget kompleks struktur af leverandører og underleverandører, både internt og eksternt i leverandør firmaerne. Disse underleverandører (internt og eksternt) er desuden spredt ud over hele verden.

Det er ekstremt komplekst, og kræver at man gør tingene rigtig for at holde vores data sikre.

// Jesper

Nej det tror jeg ikke, det ved jeg. At det så ikke er en 100% sikring mod fejl, hos både leverandør og kunde, det er en helt anden sag.

Så du ved du ? Må jeg så spørge om, hvem er blevet stillet til ansvar hos den offentlige myndighed, der er ansvarlig for kørekort og Schengen systemerne, der blev hacker i den sag ?

Hvem er blevet stillet til ansvar hos SSI for den åbenlyse uforsvarlige måde at sende sundhedsdata på, som resulterede i at data endte hos et kinesisk visum firma ?

Det seneste og værste er nok den politik man har med, at pålægge private virksomheder at opsamle data og stille dem til rådighed for forskellige offentlige instanser. For så er datasikkerhed jo lige pludselige et privat firmas problem.

// Jesper

Jeg kan ikke helt finde ud af, om vi er uenige, Jesper Frimann - det er nok mig, der er lidt træt i hjernen i dag. Men for mig er det ikke i første omgang i denne sag så vigtigt at få placeret ansvaret, men blot at få opklaret, om der overhovedet er et ansvar, der er behov for at placere - måske er der slet ikke noget problem ift. KMD's brug af TechMahindra ? Det ville jo være dejligt!

Jeg vil bare gerne være sikker på, at der ikke er det, før det er for sent.

Peter Hansen: Det er selvfølgelig en anden sag, når folk frivilligt overlader deres liv til Google - men jeg tror alligevel, at mange har en forventning om, at myndighederne følger lidt med og griber ind, hvis Google misbruger sin position (for meget). Det gør de så ikke....

Mener du, at Datatilsynet er under politisk pres mh.t at frede Google?

Jeg har mistet min tillid til, at myndighederne af egen fri vilje følger op på disse sager - se bare Datatilsynets holdning til Google-sagen. "Der er ingen borgere, der klager, så vi vil ikke prioritere det." (sådan ca.)

Nu er der stor forskel på, når en kommune eller statslig myndighed overdrager borgerens data til en leverandør, og når en privat forbruger acceptere at en virksomhed deler ens data. Lovgivningen er vidt forskellige på de to områder.

Men derudover er jeg enig og jeg følger din sunde skepsis, men i den konkrete debat om Google, bevæger vi os fra myndighedsniveauet, op på det politiske niveau, hvor politikerne har en interesse i at please Google og andre store virksomheder. Det vil ingen nogensinde indrømme, og KMD vil heller ikke sige offentligt, hvis de har begået fejl og sådan har verden jo altid set ud.

In your dreams. Tror du virkelig at de tager alvorligt, hvor dine data ender ?
De bliver alle målt på at gøre det så billigt som muligt. Og vil helst ha' tingene som de altid har været.

Nej det tror jeg ikke, det ved jeg. At det så ikke er en 100% sikring mod fejl, hos både leverandør og kunde, det er en helt anden sag.

Enig Jesper Frimann. Det er kun, hvis der skulle kommer fokus på sagen i medierne herhjemme, at der er håb om, at man tjekker tingenes tilstand i KMD på det punkt .

Nu er der jo andre end KMD der driver vigtige offentlige systemer der indeholder vigtige data, der kan misbruges til f.eks. at 'få en klemme' på borgerne. Og jeg vil egentlig helst have det perspektiv, at det er de ansvarlige, der skal stilles til ansvar.

Hvis du som myndighed outsourcer din drift/udvikling ... til et privat firma, så er du stadig ansvarlig for data sikkerheden. Det største problem her, er at ingen bliver stillet til ansvar, i den offentlige myndighed når det går galt.

Vi har jo set det i hele udbytteskatte misæren, hvor det ender op med at være en menig HK'er, der tiltales af politiet og får ødelagt sit liv. Alt imens de folk, som bliver betalt for at tage beslutningerne og formelt stå til ansvar.. går fri.

Så vi kan gå efter KMD eller [INSERT OTHER PRIVATE SERVICE FIRM] lige så meget vi vil, men det løser ikke problemet. Vi skal ha' fat i roden til problemet og det er og bliver den offentlige myndighed, der sidder med ansvaret.

// Jesper

Enig Jesper Frimann. Det er kun, hvis der skulle kommer fokus på sagen i medierne herhjemme, at der er håb om, at man tjekker tingenes tilstand i KMD på det punkt .

Peter Hansen: Jeg har mistet min tillid til, at myndighederne af egen fri vilje følger op på disse sager - se bare Datatilsynets holdning til Google-sagen. "Der er ingen borgere, der klager, så vi vil ikke prioritere det." (sådan ca.)

Myndighederne skal presses - ellers læner de sig op ad, at det er nok nogen andres - eks. KMD's - ansvar. Måske forståeligt pga. ressourceproblemer - men ikke godt for samfundet. Problemet er, når heller ingen journalister borer i den slags.

Men måske bekymrer jeg mig unødigt - måske har TechMahindra slet ikke fingrene i noget sårbart i KMD? Så ville det jo være rart at få slået fast - så behøver man ikke bruge flere kræfter på det.

Men måske skulle man sende et venligt brev til KMD og bede om at få oplyst, hvilke af ens private data, der opbevares/behandles af TechMahindra? For det har man vel krav på at få at vide?

Jeg er helt overbevist om, at de danske myndigheder er opmærksomme på sagen i Norge, men jeg er helt enig i dine bemærkninger.

In your dreams. Tror du virkelig at de tager alvorligt, hvor dine data ender ? De bliver alle målt på at gøre det så billigt som muligt. Og vil helst ha' tingene som de altid har været.

// Jesper

Hvis der er risiko for, at der er lignende sikkerhedshuller i KMD's samarbejde med TechMahindra, så vil jeg da håbe, at fokus på problemet ville få ansvarlige myndigheder til at lægge pres på KMD for at hjemtage opgaven, inden det går galt.

Jeg er helt overbevist om, at de danske myndigheder er opmærksomme på sagen i Norge, men jeg er helt enig i dine bemærkninger.

Hvad ville du i så fald bruge det til?

I Norge har den ansvarlige underleverandør Broadnet valgt at hjemtage opgaven til Norge pga. sagen:https://www.nrk.no/norge/broadnet-flytter-all-it-drift-fra-india-til-norge-1.13371402

Hvis der er risiko for, at der er lignende sikkerhedshuller i KMD's samarbejde med TechMahindra, så vil jeg da håbe, at fokus på problemet ville få ansvarlige myndigheder til at lægge pres på KMD for at hjemtage opgaven, inden det går galt.

Den norske sag kan følges her:https://www.nrk.no/sok/?q=n%C3%B8dnett

Hvad ville du i så fald bruge det til? KMD vil aldrig kunne garantere med 100 % sikkerhed, at der ikke kan ske fejl eller, at systemer ikke kan hackes.

Den norske historie peger på, at hverken de norske myndigheder eller TechMahindra har haft ordentligt syr på sikkerheden, selv om der er tale om vital norsk infrastruktur. Derfor er det relevant også at kigge kritisk på TechMahindra (og de danske myndigheder?) i dansk sammenhæng.

Svaret kunne selvfølgelig være, at der simpelthen ikke kan opstår en lignende problematik med sjuskehuller i sikkerheden i Danmark. Men er det svaret?

Hvilke gode grunde kan der være til ikke at lære af den norske historie og gøre det? Jeg undrer mig.

Er det muligt at få en præcisering fra KMD af, hvilke følsomme danske data og systemer TechMahindra er involveret i driften, behandlingen og opbevaringen af (inkl. i forbindelse med udvikling og support), og kan KMD med sikkerhed afvise, at en historie som den norske kunne ske i Danmark i forbindelse med KMD's samarbejde med TechMahindra?

Hvad ville du i så fald bruge det til? KMD vil aldrig kunne garantere med 100 % sikkerhed, at der ikke kan ske fejl eller, at systemer ikke kan hackes.

Jeg håber, at du har ret, Mads Bendixen. Men nu er KMD jo ikke bare et privat firma - men et privat firma, der står for vigtige danske følsomme data. Set i det lys synes jeg godt, at vi kunne har ret til oplysninger af denne type.

I øvrigt: Kan du opklare for mig, om jeg husker forkert mht., at man før er gået ud og har kommenteret på ting i kommentarfeltet?

Og tror du virkeligt, at jeg ville have større chance for at få svar, hvis jeg henvendte mig direkte? Jeg forestiller mig, måske fejlagtigt, at chancen er større her.

Jeg mener (kan huske forkert), at KMD tidligere har været ude og kommentere på spekulationer i kommentarfeltet på V2. Hvis det er korrekt (igen - jeg kan huske forkert) - hvad skal vi så lægge i, at KMD ikke har været ude og afkræfte min mistanke om, at TechMahindra på lige fod med sagen i Norge har/har haft adgang til følsomme danske systemerdata, og/eller persondata - måske uden at der er/har været tjek på sikkerheden?

Jeg mener (kan huske forkert), at KMD tidligere har været ude og kommentere på spekulationer i kommentarfeltet på V2. Hvis det er korrekt (igen - jeg kan huske forkert) - hvad skal vi så lægge i, at KMD ikke har været ude og afkræfte min mistanke om, at TechMahindra på lige fod med sagen i Norge har/har haft adgang til følsomme danske systemerdata, og/eller persondata - måske uden at der er/har været tjek på sikkerheden?

Er det muligt at få en præcisering fra KMD af, hvilke følsomme danske data og systemer TechMahindra er involveret i driften, behandlingen og opbevaringen af (inkl. i forbindelse med udvikling og support), og kan KMD med sikkerhed afvise, at en historie som den norske kunne ske i Danmark i forbindelse med KMD's samarbejde med TechMahindra?

Det er meget bekymrende at høre, at KMD benytter TechMahindra, som er skurken i denne historie om det norske nødnet, som via netop dette firma gav indiske arbejdere adgang til det norske nødnet:https://www.nrk.no/norge/driftet-nodnettet-ulovlig-fra-india-1.13358591

Hvilke følsomme danske data kan det tænkes på denne måde er tilgængelige for tilfældige indiske ansatte?

Lige en tilføjelse: Det ovenfor stående indlæg "Længe ventet..." er skrevet under pseudonym, selvom jeg er klar over, at det er imod debatreglerne. Grunden til dette er, at jeg stadig har venner og bekendte i KMD, som jeg ikke ønsker at bringe i problemer ved inddirekte at kunne forbindes med dette indlæg. Da ytringsfriheden, i forhold til konsekvensfrit at kunne tale om problematiske forhold på en arbejdsplads, desværre er meget begrænset, kommer denne type "insideroplysninger" desværre meget sjældent frem. Jeg vil derfor hermed gerne opfordre Version2 og andre medier til give mulighed for at kunne debattere anonymt.

For os, der tidligere har været ansat i KMD og stadig har føling med hvad der sker under overfladen, er denne udvikling ikke overraskende. Det overraskende er, at den shitstorm KMD nu står i, ikke er startet før nu.

Eksempelvis lønafdelingen har i mange år været forsøgt kørt via programmering i Indien, og det har i et stykke tid kunnet fungere nogenlunde, så længe der inhouse har været resourcer til at rette op på eller reprogrammere det makværk, der ofte blev leveret fra TechMahindra. De senere par år er det imidlertid gået helt galt. TechMahindra har nu også fået ansvar for design og test. Og der er stort set ikke noget tilbage i lønafdelingen til at rettet op på det, da der nu nærmest er ryddet for udviklere og forretningsspecialister (de fleste har sagt op eller er gået ned med stress). Der har derfor i et stykke tid ikke sket udvikling og knap nok vedligehold på produktet, så det var kun et spørgsmål om tid inden ballon'en revnede.

Denne udvikling er typisk for KMD: Arbejdsstyrken på udviklingsfronten er voldsomt reduceret både via store fyringsrunder, diskrete klatfyringer og medarbejderflugt pga. dårligt arbejdsmiljø.

Den eneste virkeligt store gåde der står tilbage er: Hvorfor sørgede Advent (kapitalfondsejeren) ikke for at sælge KMD inden konsekvenserne den katastrofale afvikling af kompetencer, som målrettet er sket de sidste 6-7 år, blev åbenbar for omverdenen?

Det er den ikke, den ligger hos en anden ekstern partner.

/S

Så vidt jeg er orienteret har Coop lige indført SAP på økonomistyringen. Problemerne med det kan KMD vel næppe være ansvarlige over - med mindre implementeringen er outsourcet til KMD.

MVH Jan

Ville vi handle i en butik hvis den ofte havde tomme hylder eller rådne varer? Nej. Vi handler som regel i en butik vi har tillid til.

Helt så sort/hvid er den nu altså ikke. Hvad hvis historikken for COOP er at KMD før har løst opgaven, dvs. at der var varer på hylden og de var friske ?

Hvordan kan det være at KMD bliver valgt?
Det kan vel næppe være meritten .

Fordi store firmaer kun tror at store firmaer kan klare opgaven.... Man kan ikke tillade sig at få opgaven udført af et mindre firma, tænk hvis nu de knækkede nakken, så ville man stå i en dårlig situation....

Hvis man læser både artiklen på Finans og den på Version2 er det ret tydeligt at der er gået "EB: Gul Bar Breaking News" i den og man har fra Version2 valgt at kun fokusere på overskriften og ikke at hans udtalelser drejer sig om et løn system og ikke alle de mange samarbejdsaftaler der er mellem de to virksomheder.

Generelt virker det til at der er et kollektivt ønske om at KMD skal ned med nakken, på nogle punkter utvilvlsomt beretiget men med denne artikel udstiller ret meget for mig hvad agendaen er.

/Søren Walther

Coops problemer skyldes dem selv. Deres fejl er, at de har valgt en IT-leverandør der ikke kan levere. Det har KMD ofte vist at de ikke kan.

Ville vi handle i en butik hvis den ofte havde tomme hylder eller rådne varer? Nej. Vi handler som regel i en butik vi har tillid til.

Nogen hos Coop har fået til opgave at løse et problem. Det problem er ikke løst, altså har vedkommende fejlet opgaven. Uanset hvor god en kontrakt man står med, og uanset hvor meget bod IT-leverandøren skal betale, ændrer det ikke på, at opgaven ikke er løst.

En retssag løser ikke problemet. Det kommer IT-systemet ikke til at virke af. En retssag er noget fnidder langt uden for kerneforretningen, der måske kan skaffe lidt af de tabte penge.

Skift til nogen som er mere professionelle.

At blive ved dem når de er så dårlige, svarer vel lidt til konen som bliver ved manden som tæsker hende.

Det er svært at have sådan rigtigt ondt, af nogen som bliver i et dårligt forhold og så er det lidt ligegodt om det er et parforhold, eller et handelsforhold mellem firmaer.

Hvordan kan det være at KMD bliver valgt? Det kan vel næppe være meritten .