Danmark er ikke noget IT foregangsland

Når Rigspolitiet ikke har styr på IT sikkerheden tager man sig uvilkårligt til hovedet.

Men er det egentlig så svært at forstå hvorfor ?

Her er Rigspolitichefens officielle hjemmeside

Nu ved jeg godt han er nogenlunde ny i jobbet, men kig på hans mini-CV og spørg så dig selv om du med den baggrund ville være i stand til at omsætte de meget generelle, men bestemt ikke helt ubrugelige, krav i lovgivningen til organisatoriske tiltag ?

Selvfølgelig ikke.

Men vi kommer ikke uden om at det er hans job at gøre det, med eller uden Rigsrevisionen kritiske kommentarer, er det hans job at sikre at politiet overholder landets lov.

Omvendt, hvis han havde en solid IT sikkerhedsmæssig baggrund, ville han sikkert kigge på MF'ernes iPads og sukke "Nå, mere vigtigt end som så er det altså heller ikke ?"

I netop tilfældet Rigspolitiet er sagen utroligt speget, for vi kommer ikke udenom POLSAG, der skulle løse alle politiets IT problemer.

Men i min optik understreger det blot min pointe: At indføre regler om (person)datasikkerhed, uden at sikre at der var de nødvendige resourcer og penge til rådighed var bare luftkartofler og vindfrikadeller.

Det tror jeg godt Folketinget vidste, for ingen af de relevante love indeholder sanktioner der kommer i nærheden af hvad man kan risikere ved at køre for hurtigt på landets landeveje.

Frustrationen hos de myndigheder der skal holde øje med datasikkerheden, primært Datatilsynet, men kun i svagt mindre grad Rigsrevisionen, Digitaliseringsstyrelsen og Center for Cybersikkerhed var til at tage og føle på til høringen i forgårs.

I mange år har skiftende politikere peget på antallet af overbetalte ADSL linier og PC-kørekort og kaldt Danmark et IT foregangsland mens IT folket vantro har rystet på hovedet af flosklerne.

Hvor er uddannelsen der producerer systemadministratorer til driften af kritiske IT systemer ?

Hvor er uddannelsen der proucerer IT arkitekter ?

Hvor kom IT-principper, IT sikkerhed og persondatasikkerhed ind i Cand Polit. studiet ?

Hvor er den ansvarsgivende autorisationsordning for persondataansvarlige ?

Inden længe kommer EUs persondatadirektiv. Det var der ikke megen entusiame for fra statsadministrationen i forgårs og ifølge mine kontakter i kommissionen har Danmark modarbejdet enhver form for bid eller konsekvens i direktivet fra start til slut.

Jeg ved ikke om det er frygt for at alle skelletterne skal vælte ud af skabene, hvilket de utvivlsomt vil gøre hvis direktivets krav om indberetning bliver til noget, eller om det er bekymring for hvad det kommer til at koste faktisk at implementere datasikkerhed, frem for bare at pege på de love ingen, selv ikke statens egne organisationer, overholder og lade som om vi har løst problemet for længst.

Men tiden er langt over inde til at tage emnet seriøst og det vil primært sige at give lovene og tilsynsmyndighederne det nødvendige bid.

Men sekundært betyder det også at Folketinget skal holde op med at behandle IT som et mirakelmiddel der kan skære 12% af ethvert budget, bare man skriver "IT-rationaliseringer" i finanslovens noter.

IT er en samfundstransformativ teknologi på niveau med ild, elektricitet og automobiler og den skal behandles med samme seriøse tilgang.

Vi har funktionelle brandkrav, brandindspektører, brandslukningsudstyr, brandvæsner og brandforsikringer.

Vi har elektricitetslov, autorisationskrav, kortslutningssikringer, fejlstrømsafbrydere, netansvarlige, CE mærker og sikkerhedsstyrelsen.

Vi har færdselsloven, færdselspolitiet, skolepatruljer, cykelstier, gangbroer, motorveje, kørekort, typegodkendelser, forureningskrav og obligatoriske syn.

Men på IT området har vi reelt intet, bortset fra Datatilsynet der er bemyndiget til bestemt at henstille at solstolene skal stilles tilbage i stativet på Titanics dæk.

De love vi har kan omkostningsfrit ignoreres, problemerne uanset størrelsen kan frit begraves i baghaven, ingen er nogensinde ansvarlige og der er intet produktansvar overhovedet.

Men vi nærmer os en kant, den kant hvor computerne er årsag til så meget ragnarok at politikerne bliver tvunget til at reagere.

Forskellige overlæger jeg har talt med, anslår at de forskellige EPJ systemer allerede har slået ca. 400 danskere ihjel før de ellers ville være døde. (Præcis hvor mange dage, måneder eller år det i det enkelte tilfælde drejer sig om er de ikke meget for at skyde på.)

Inden længe vil vi se de første folkepensionister der dør fordi de ikke kan finde ud af kommunens IT selvbetjening, eller fordi der sker "en computerfejl" -- det er udelukkende et spørgsmål om tid, alle dominobrikkerne er linet op og står klar til at vælte.

Det ville klæde vores MF'er at de for en gangs skyld handlede uden at gøre det i panik over at Ekstrabladet har pisket en stemning når "det er også alt for galt".

Her er nogle forslag:

  1. Produktansvar for software. (Mere konkret forslag her)

  2. Strafansvar og erstatningsansvar ved læk af persondata. (Som et absolut minimum på linie med miljølovgivningen.)

  3. IT Havarikommission, så vi alle kan lære af vores fejltagelser.

  4. Autorisationsordning for IT sikkerhedsansvarlige. (lige som for elinstallatører, VVS osv.)

  5. Tilsyns og kontrolmyndigheder med magt og bid.

  6. IT uddannelser der kan klæde folk på til at leve op til lovens bogstav.

Hvis vi gjorde noget i den stil ville Danmark faktisk blive et IT foregangsland og ikke bare det land der først havnede i IT-grøften.

phk

Kommentarer (26)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Eiriksson

"IT er en samfundstransformativ teknologi på niveau med ild..."

Hmm..OK, men man kan løse problemer langt hurtigere med ild ;-)

Jeg er iøvrigt fuldstændig enig i PHK's betragtninger. Specielt mht. IT-havarikommission.

Jeg vil blot indskyde at mange af de problemer som "digitaliseringen" forsøger at løse er af social art og man kan ikke løse sociale problemer ved bare at smide teknologi efter dem.

  • 18
  • 0
Benjamin Kristensen

Men på IT området har vi reelt intet, bortset fra Datatilsynet der er bemyndiget til bestemt at henstille at solstolene skal stilles tilbage i stativet på Titanics dæk.

Danmark er ikke Titanic, vi er ikke ved at synke!
Vi er flyvende! Hvis noget så er Datatilsynet bemyndiget til bestemt at henstille at solstolene skal stilles tilbage i stativet på Hindenburgs dæk.

/joke

Men mere seriøst så er det ufattelig at der ikke er nogle af chaufførerne der kan se at vi er på vej ud over afgrunden, selv om hele bussen råber "pas på"

  • 6
  • 1
David Rechnagel Udsen

Åbenbart.

PHK nævner det selv; der skal først folk til at dø pga. en edb-fejl før politikerne gør noget. For en bilanalogi bør man huske på at I mange år (fra 1880erne til omkring 1910) anså man automobiler som et stykke legetøj og færdselslove var kun dem man havde tilbage fra hestevogne (som der stadig var flertal af), hvilket primært involverede at man skulle holde til højre.

Det tog da også et par biluheld at få staten til at kræve identifikation af bilerne. Men der var ikke tale om nummerplader, man tegnede bare nummeret på karosseriet og så var den i vinkel. Og man måtte selv finde på nummeret, så det skete ofte at nogle numre var de samme.

Og kørekort? Det kom først meget senere. Stelnumre kom først i 1950erne. Tyskerne var her mere fremme i skoene, da de allerede i 1910 havde rigtige nummerplader og kørekort.

Der vil desværre gå tid endnu før politikere (verden over) får øjnene op for hvad edb egentlig er for en størrelse.

Forskellen på edb og så ild, elektricitet og automobiler er vel primært at det tog mange årtier før statsapparatet overhovedet begyndte at bruge de andre teknologier, mens gerne med det samme ville ud og skaffe datamater til papirarbejdet. De glemte blot at der nok skal komme et tidspunkt hvor det fylder mere end blot nogle få hobbyister. Lige som automobilerne i gamle dage, men edb er jo slet ikke det samme, så det kan man vel heller ikke lære noget af.

  • 6
  • 1
Finn Christensen

Jeg vil blot indskyde at mange af de problemer som "digitaliseringen" forsøger at løse er af social art..

Socialt nej... som PHK jo lister er det jo ligegyldighed overfor borgernes data i fuld offentlighed. Kongen er dum og rådgiverne er snu så alle opfører "Kejserens nye klæder" endnu engang.

Hvis man kunne koble 'grøn', 'pædagog', 'natur' eller lignende på digitalisering, så vil der konstant ses tusinder af kittelklædte og deres utallige foreninger tæske løs i medierne.

Men det er it (mystiske æsker med ledninger), så borgens 179 valgte, ministre + spinfolket + embedsværket ser kun it på samme måde som vores kloakering..

  • foretrækkes lugtfrit, usynligt samt 'nogen' tager sig jo nok af det.
  • 'rotter' betyder intet, så længe de ikke ses og de forbliver i 'kloakken'.
  • 8
  • 0
Poul-Henning Kamp Blogger

Den er her:

Nej, desværre ikke engang tæt på.

Du overså at jeg skrev kritiske IT systemer.

Til almindeligt kontorbehov gør datateknikerne sikkert god fyldest, men hvis vi taler om vigtig infrastruktur, persondata og angrebsinviterende IT installationer, så er datateknikerne overhovedet ikke klædt på.

De lærer for eksempel overhovedet ikke noget om persondataloven de steder jeg har spurgt.

Datateknikeren er en håndværkersvend, jeg spørger hvor vi uddanner maskinmestre og driftsingeniører.

Svaret er "ingen steder" for IT branchen har aldrig taget driftsopgaven alvorligt, der er stort set ingen forskning, praktisk taget ikke nogen lærebøger og overhovedet ingen akademisk interesse.

  • 17
  • 3
Anders Nielsen

De lærer for eksempel overhovedet ikke noget om persondataloven de steder jeg har spurgt.

Jeg husker at jeg på fjerde hovedforløb havde et 3 ugers fag som hed datasikkerhed, hvor vi skulle udfærdige en IT-sikkerhedspolitik baseret på ISO/DS/IEC-27001.
Bemærk at uddannelsen varierer fra sted til sted, og dette var i Ballerup.

On-topic:
Måske uddannelsen ikke er helt optimal til kritiske systemer, men eftersom det er den eneste IT uddannelse i Danmark som overhovedet beskæftiger sig med drift, så må det være et godt udgangspunkt. Hvad er alternativet?

  • 0
  • 1
Alex R. Tomkiewicz

Det er værd at bemærke at de organisationer som har været i mediemaskinen med sikkerhedsproblemer, læk af persondata m.v. formentlig alle har en velskrevet og gennemarbejdet sikkerhedspolitik baseret på ISO-27001 eller tilsvarende.

En del af problemet består af disse to møntsider:

1 - Softwareudvikling kan sammenlignes med at konstruere bygninger - med den underliggende arkitektur inkl. metoder m.v. Man kan glemme eller udelade adskillige ting og stadig ende op med noget der i en eller anden udstrækning er funktionsdygtigt. (Eventuelle rettelser og uønskede mellemrum mellem konstruktionselementer kan dækkes med puds, trælister, tæpper etc.)

2 - Hvis der skal sikkerhed med ind i billedet så svarer det mere til at bygge dæmninger end at konstruere bygninger. Det hjælper ikke meget at ingeniøren siger: Vi har et hul ovre i den ende, men alt i alt er det en god konstruktion.

  • 2
  • 0
Jørgen Henningsen

Det er værd at bemærke at de organisationer som har været i mediemaskinen med sikkerhedsproblemer, læk af persondata m.v. formentlig alle har en velskrevet og gennemarbejdet sikkerhedspolitik baseret på ISO-27001 eller tilsvarende.

Det har du nok ret i, men et er at have en beskrevet standard et andet er at effektuerer standarden og intentionerne bag.
Man skal også tænke på at flere af projekterne er gået galt fordi man har forsøgt at gøre ting som teknisk set ikke er muligt (polsag f.eks.). Det indikerer at de tekniske projektledere enten ikke har det fornødne overblik eller at de ikke har haft magt til at skære igennem til de rette tekniske løsninger.

  • 1
  • 0
Jens Dalsgaard Nielsen

Helt helt enig.

Jeg kender en del meget dygtige sysadm'er. Alle gået gennem en mesterlære hos gl sysadmer, idet deres ingeniøruddannelse ikke var meget bevendt.

Kunne være sjovt at se en opgørelse over uddannelsen for sysadm's feks på vores universiteter - det er nok nemmere at få adgang til disse end i firmaer. Og det er sysadmer som PHK definerer dem ikke edb teknikkere. Jeg vil gætte på at det er en skøn blanding af folk med uddannelse som ingeniør, folkeskolelærer, matematiker osv osv der alle har tilegnet deres færdigheder "con amore" :-)

  • 3
  • 0
Morten Hansen

Jeg har stor respekt for PHK's talløse klummer om rigets sande tilstand indenfor IT-sikkerhed, -infrastruktur, -integration/digitalisering og ikke mindst projektledelse. Og jeg er stort set enig i hans fleste samfundskritiske indlæg, men må desværre endnu engang konstatere: Der er nok af udfordringer at gå i gang med som politiker, eks. Havarikommision, hvor en liste over de sidste 10 års offentlige IT-projekter, ved blot en sammenligning på budgeterede pris og leveringstid vs. faktiske pris og leveringstid skulle være nok til at kunne se noget var kørt helt af sporet, men ...
1. Generelt har politiske ordførere og ikke mindst ministre sjældent fagligt indsigt i deres respektive områder
2. Der skal ikke særlig meget faglig debat eller analyse til, før den respektive politiker (jf. ovenstående punkt) må overlade det til en kommission eller et råd, hvor DJØF'er ofte er rigt repræsenteret , og derfor har svært ved at se om den ene løsning er bedre end den anden; og måske i sidste ende vælger at lytte til person med pænt jakkesæt og hvid skjorte, end en person med løs T-shirt påtrykt en pingvin.
3 Jeg har personligt skrevet til Debatten på DR2 om at tage dette emne op (og tilladt mig at henvise til Version2), og fik som svar at man altid var glade for at modtage input og ideer. At man så mener at Danmarks deltagelse i Syrien eller finansering af flygtningelejre er mere relevante end Danmarks IT-tilstand, tyder måske bare på at IT stadigt betragtes som en fjernt og nørdet område for ordstyrer og redaktion samt at man for pro-IT-debat folket ikke formår at sælge problemstillingen godt nok - uanset hvor mange klummer man skriver. Jeg frygter at hvis man ville ofre en hel times Debatten på DR2 til dette område (for at starte et sted), ville "eksperterne" blive de herrer fra det famøse program "Harddisken" på P1, måske nogle advokater samt nogle politikere der har IT-politik som bi-område (uden nogen praktisk erfaring eller holdning).

Derfor synes jeg det var sundt at der blev rusket lidt op i nogle politikere, da man illustrerede hvor skrøbeligt CPR-systemet er, ved en sag der florerede tidligere i år.

Så en egentlig IT-debat lobby ville få min fulde opbakning. Den ville så både skulle have personer med faglig baggrund og/eller gode kommunikationsevner, der om nødvendigt skulle konfrontere politkere personligt med udnyttede sårbarheder i de respektive personers private brug af computere.

Så desværre er der stadig lang vej, for at få afmystificeret IT-området, selvom mange betragter det som en selvfølge i deres hverdag, for at kunne få en IT-minister.

  • 2
  • 0
Christian Nobel

Derfor synes jeg det var sundt at der blev rusket lidt op i nogle politikere, da man illustrerede hvor skrøbeligt CPR-systemet er, ved en sag der florerede tidligere i år.

Som jo så desværre pt er parkeret der hvor man i vanlig dansk stil har varetægtsfængslet to "terrorister" - for så har systemet jo fundet nogle syndebukke, og så er alt jo godt (efter centralmagtens mening).

Og så slipper man jo også behændigt at forholde sig til selve problemet.

Der er desværre rigtig, rigtig lang vej igen, og det er op ad bakke hele vejen.

  • 11
  • 0
John Foley

Jeg var også til nævnte høring og er helt enig i dine betragtninger. Cybersikkerheden i Danmark er for ringe. Bjarne Corydon og Margrethe Vestager holder "skåltaler" og roser sig selv over Digitaliseringsstrategien, men gør intet for at sikre befolkningens personfølsomme oplysninger og metadata. Det er kun provenuet der tæller. Befolkningens sikkerhed er man ligeglade med. Det er ren hykleri fra de to politikeres side og de instanser der burde gøre noget ved problemet - Datatilsynet, kontroludvalget, tilsynet med efterretningstjenesterne, Digitaliseringsstyrelsen, Center for Cyber(u)sikkerhed- er alle "tandløse" og ineffektive.

  • 5
  • 0
Kevin Johansen

Jeg er som sådan yderst enig i PHKs kommentar (men her læner jeg mig i virkeligheden op af personer, jeg anser for væsentlig mere kompetente end mig på det pågældende område).

Men i bund og grund er jeg fløjtende ligeglad. Jo, det ville da være rart hvis politikere / embedsmænd ikke så IT som en spareøvelse (jeg kender iøvrigt ikke til nogle reelle besparelser som følge af IT. Alle jeg kender i det offentlige (stat som kommune) har rapporteret det modsatte). Og jo, det ville da også være fint med en mere rimelig (retfærdighedsgivende) lovgivning i forhold til brud på samme.

Men når alt kommer til alt, så er det jo pivligegyldigt, når vi til stadighed har et embedsapperat, der ignorerer at sundhedsudgifter og dødstal som følge af livsstilssygdomme er en større trussel som samfundet end nogen terrorist (medmindre denne har en A-bombe i megaton størrelsen); når vi har et sundshedssystem, der er ret gode til at holde folk i live, men elendige til at holde folk arbejdsduelige.

IT-området kan for min skyld sejle ad helvede til. Og jeg ville ønske en så begavet person som PHK havde fokus på et område, der for alvor har konsekvenser for hele landet; for løses de problemer ikke, bliver der alligevel ALDRIG råd eller behov for den sags skyld til ovenævnte forslag.

Mht. tilsynet til FE (CFCS) så har tilsynet krav på at kunne møde op uanmeldt og få adgang til enhver oplysning, person og sted de måtte ønske. Dette kan ikke fraviges pga "nationens sikkerhed" el. lign. Så at tilsynet ikke har mulighed for at udøve deres opgave, passer ikke. Og nej, de er ikke tandløs. (kilde: FE)

  • 0
  • 5
Frithiof Andreas Jensen

Men når alt kommer til alt, så er det jo pivligegyldigt, når vi til stadighed har et embedsapperat,

Jah. Apparatet tränger muligvis til et service-eftersyn og en holdnings-justering.

Muligvis - fordi man desvärre ikke kan udelukke (ligesom med EU-politikken) at politikerne behöver syndebukke for "den nödvendige politik" og artiklerne om embedsmandsvärkets egenrådighed synes at "peake" lige for tiden; uden at man dog hörer om konkrete konsekvenser af deres påståede ageren.

http://jyllands-posten.dk/indland/ECE7145879/Milj%C3%B8minister-skal-st%...
http://jyllands-posten.dk/politik/ECE7143592/Folketingspolitikere-har-mi...
http://politiken.dk/oekonomi/virksomheder/ECE2436490/skat-erkender-bekla...

  • 0
  • 0
Kevin Johansen

Ad Frithiof A. Jensen:
Jeg vil egentlig godt rette mig selv der. Der skulle have stået "embedsapparat og en samling folkevalgte". (nb. læg mærke til stavekontrollen på apparat der :D)

Ad Michael:
se det sjove er vel egentlig, at Digitaliseringsstyrelsen ikke aner hvad de har at gøre med. Jeg vil vove den påstand at gode udviklere, systemdesignere og arkitekter er lige præcis "analytisk skarpe generalister". Og nok også i en liga over den gængse cand. pol. :D

  • 1
  • 0
Michael Deichmann

... når man ikke kan den.
Indrømmet det er off topic, men når David Rechnagel Udsen kommer med en række forkerte oplysninger må de korrigeres - også selv om de ikke er så relevante for hovedemnet.
Tildeling af registreringsnumre blev indført i København i 1902 og numrene tildeltes af politiet. Samtidig indførtes kørekort.
http://nrpl.dk/doc/LTA1902.pdf
I 1903 indførtes det for hele landet.
http://nrpl.dk/doc/LTA1903.pdf
Det er korrekt at man i de første år kunne male numrene på bilen, men der var nøje regler for stregbredde og højde på bogstaver og tal. Og som sagt var det politiet der udleverede og registrerede numrene.

  • 0
  • 0
Henrik Kramshøj Blogger

System administration er aldrig noget som jeg har set præsenteret som et separat fag i Danmark, og det er trist. Det drejer sig ofte om at der bliver set lidt ned på dem som "bare drifter" systemerne, selvom det er et vigtigt område og kræver ansvar, modenhed og mange andre gode kvaliteter.

Det at sikre systemerne altid er overvåget, altid har fri plads på disken, får opgraderet hardwaren løbende til opgaverne der vokser, sikrer at alle relevante rettelser kommer på indenfor passende tid er IKKE noget der sker automagisk. Det er langt mere end blot at installere en Nagios og så måske reagere på nogle SMS'er.

Jeg stødte engang på LOPSA, og de har selv lidt information om deres virke. Blandt andet promovere og fremme system administration. Det er vigtigt at faget bliver løftet, og før det sker kan vi slet ikke begynde at tale om kritiske systemers drift.

The League of Professional System Administrators (LOPSA) is a nonprofit corporation with members throughout the world. Our mission is to advance the practice of system administration; to support, recognize, educate, and encourage its practitioners; and to serve the public through education and outreach on system administration issues.

Kilde:https://lopsa.org/AboutLOPSA

  • 4
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize