Kommune ramt af skygge-it: Alarmopkald fra anfaldsramt beboer kom ikke frem

Illustration: palinchak/Bigstock
Skygge-it har mange facetter: ipads anvendes til notater selv om man ikke har styr på persondata og IoT-enheder kobles i strid med regler på netværk. Men skygge-it kan ikke standses.

I december får teknikerne i Viborg Kommune i slutningen af en arbejdsuge en melding om, at en switch på et netværk er ustabil, kaldet at den »står og flapper.«

Switchen bliver midlertidigt stabiliseret med henblik på at blive skiftet den følgende mandag morgen. Det burde ikke være et problem, da der ikke er livskritiske enheder, der baserer sig på netværket.

Sagen tager imidlertid en noget mere dramatisk udvikling, da det om lørdagen kommer frem, at en beboer på en institution, der har været ramt af et epileptisk anfald, ikke har fået den fornødne hjælp, da beboerens alarmopkald ikke er registreret.

Årsagen viser sig at være skygge-it, altså en anvendelse af it som ikke er kendt eller godkendt af it-afdelingen.

»Institutionslederen har valgt at koble alarm-anlægget ind over vores netværk, stik imod vores regler,« fortalte Erik Sørensen, der er it- og digitaliseringschef i Viborg Kommune på Dansk ITs konference, Offentlige Digitalisering, som afholdes i Aarhus i disse dage.

»Jeg havde en oplevelse af, at vi havde styr på det, men virkeligheden var anderledes,« tilføjede Erik Sørensen.

Læs også: Shadow IT - er du også sårbar

Han understeger at han lægger vægt på at håndtere problemet i en åben tilgang. Men oplever dog alligevel, at omfanget af skygge-it stiger:

»Jeg vil ikke komme med knippelsuppe, men et utal af medarbejdere arbejder med digitalisering og skyggerne vokser,« sagde han.

Det kan f.eks. være kulturmedarbejdere, der selv lige stykker en app sammen eller IoT-enheder som f.eks. digitale assistenter eller dørlåse-systemer, der kobles på netværk.

Eller det kan være iPads, der bliver købt ind lokalt på en institution og anvendt til at notere referater fra fortrolige samtaler eller til at lægge billeder fra institutioner på.

Hvilket kan være i strid med persondatareglerne, for hvor bliver billeder og notater reelt gemt.

I Statens IT, der sørger for it-drift til 60 statsinstitutioner med 17.000 brugere, er vicedirektør Søren Vulff, enig i at skygge-it ikke kan undgås.

»Der er masser af muligheder for at installere software på egen pc, og der er også masser af muligheder for at bruge et kreditkort til at købe tjenester uden at man får det autoriseret,« sagde Søren Vulff.

Statens IT har lagt en aktiv indsats i at afdække brugeres behov for særlige it-værktøjer og har på den baggrund selv udviklet en række løsninger, der tilgodeser disse behov.

Målet er at man mindsker tendensen mod at vende sig mod skygge-it løsningerne.

Læs også: Fortrolige firma-oplysninger lækkes gennem gratis oversættelsestjenester

Det gælder f.eks. et Dropbox-lignende løsning, kaldet Filkassen, en platform, som giver mobile enheder sikker adgang til data og apps, MIA, og OpenStackCloud, som er en private cloud i Statens IT datacenter, som kan anvendes til udviklings- og testservere.

Zangenberg argumenterer for, at den digitale generation finder de værktøjer, der skal til for at løse deres opgaver - også selv om det er skygge-it Illustration: Henning Mølsted af Zangenberg-slide

Alligevel kan det godt give 'en aha-oplevelse,' når man screner it-miljøerne for, hvad der installeret, erkendte Søren Vulff:

»Nogle steder er der ganske meget, som man ikke var klar over,« sagde Søren Vulff.

Henrik Zangenberg, der driver sin egen konsulentvirksomhed, konkluderede, at som ledelse må man acceptere skygge-it - især hvis man vil have fat i de yngre digitale generationer:

»Kreative medarbejdere vil tage de værktøjer i brug, som de mener er nødvendige for at løse en opgave. Hvis I forbyder dem at bruge det, så vil de søge andre steder hen.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Gert Madsen

I bund og grund er det vel et spørgsmål om at gøre folk personligt ansvarlige for de løsninger de indfører ?
I det ovenstående eksempel er en straffesag jo oplagt mod pågældende institutionsleder.
Hvorfor skal folk pakkes ind i vat fordi det handler om IT ?
Hvis institutionslederen havde beordret stikkontaker afmonteret med frie spændingsførende ledere, ville han så også slippe for straf ?

Jan Heisterberg

Jeg har et opklarende spørgsmål vedrørende de omtalte alarm-anordninger, som ifølge sagens natur er / kan være vitale for brugerne:

  1. er der en tilbagemelding til brugerens apparat ? Grøn lampe ....
    Naturligvis kan brugeren være ude af stand til at reagere på¨denne, men det ændrer ikke det åbenlyse behov.

  2. er der en lokal alarm ? F.eks. i personalerum eller uden for døren ?
    Der kan, som i det konkrete tilfælde, være eksterne årsager som blokerer en alarm, men her er der tale om en institution, som er bemandet, og (bortset fra strømsvigt) så må det formodes at det lokale netværk virker OG kan reagere på en alarm.

Overordnet er spørgsmålet vel, om disse alarmer er lavet baseret på et fail-safe design, med redundans, eller bare er en kopi af en dørklokke ?

Hvem ved noget konkret og i almindelighed ?

Cristian Ambæk

Hvordan er Viborg kommunes netværk lige strikket sammen så de ikke selv kan finde ud af hvad der køre over deres netværk?

Er Viborg IT så skod at de ikke kan se at der køre VoIP trafik fra en source der ikke er tilladt? Derved havde de selv løst problemet.

Uprofessionelt af Viborg IT SAMT afdelingsleder for institutionen.
Fyr begge parter, da begge tydeligvis er ligeglad med deres rolle og ansvars.

Log ind eller Opret konto for at kommentere