Hvor råddent er IT i politiet ?

Først var det POLSAG der gav os brug for en ny og længere målestok for offentlige IT-skandaler.

Dernæst var det CSC outsourceingen, hvor der tilsyneladene ikke var nogen hos Rigspolitiet der anede hvad sikkerhed og data-ansvarlighed var.

Derefter kom CSC-hackingen, hvor svensk politi ikke kunne råbe nogen op hos rigspolitiet.

Derefter sad politiets mand og løj i byretten om disse advarsler.

Nu er det ATEA sagen, hvor der tilsyneladende har fundet klokkeren gemen bestikkelse sted.

Præcis hvor bundrådden og indkompetent er IT i rigspolitiet ?

Hvad gør vi ved det ?

Hvordan genopretter vi tilliden ?

phk

Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Niels Callesøe

Som du har nævnt mange gange før, er der brug for en IT-havarikomission. Men der er muligvis også brug for en særlig uafhængig IT-anklager, med et lille, kompetent team, som havarikomissionen kan henvise sager til, og som selv kan tage relevante sager op. Altså IT sager, hvor der med god sandsynlighed er tale om misbrug, svindel eller inkompetence på massivt niveau og hvor sværhedsgraden er så høj at andre instanser må formodes at have svært ved at løfte den.

Martin Bøgelund

Som du har nævnt mange gange før, er der brug for en IT-havarikomission.

Dette er ikke et IT-problem; der er ikke lavet basale fejl som kunne være undgået hvis man havde haft erfaring fra en IT-Havarikommission, men derimod begået deciderede ulovligheder (bestikkelse og korruption) i et politisk styrelsesetup som ikke bare understøtter budgetoverskridelser og korruption, men ligefrem fremmer dem.

Det er mennesker med en dårlig tilgang, der er problemet - det er tydeligt allerede før en IT-havarikommission træder ind ad døren.

Og derfor er en IT-Havarikommission ikke en løsning som sådan.

Det åbenlyse spørgsmål er, hvorfor revisionskontrollen ikke har fundet anledning til at påpege problemet i alle disse forbundne pengekar, og den åbenlyse strøm af værdi i den forkerte retning. Hvis der da overhovedet har været revision på sagen...

Revisorer skal jo fange den slags på forkant - en IT-Havarikommission kommer først til sin ret, når skaden er sket.

Poul-Henning Kamp Blogger

Jeg er enig, en IT-Havarikommission kunne "kun" bidrage med at oplyse hvordan de IT-tekniske problemer undgås igen. Det vil ikke være dens job at placere et juridisk ansvar.

Jeg ser det mest som et organisations- og/eller ledelses-problem, men bortset fra "nye oste vejer mest" har jeg svært ved at se hvordan man retter op på sagen på en troværdig måde ?

Mads Bendixen

Har bestikkelsen fundet sted mens vedkommende har været ansat hos Politiet eller er det udelukkende fra tiden i Region Sjælland?

Ud fra hvad jeg har læst, er det kun "Region Sjælland" det har foregået i, Rigspolitiet er nævnt fordi det er medarbejderens nuværende arbejdsplads. Eller har jeg misset noget?

Anne-Marie Krogsbøll

Offentlighedsloven må som minimum forbedres ganske voldsomt - så er der da LIDT bedre mulighed for at opdage, hvis noget "fishy" er i gang.

Og så må fokus flyttes fra ukritisk brug af bonusser og resultatmål i det offentlige, for mit indtryk er, at det forvrider kulturen i retning af, at "alt er tilladt", hvis det er økonomisk givtigt.
Mange penge og høj levestandard (selv hvis det er opnået via bestikkelse) er blevet et succeskriterium i sig selv. Enhver er sin egen lykkes smed i den herskende tankegang (New Public Management) - fokus på kvalitet og ordentlighed er rykket i baggrunden.

Mikkel Mikjær

Umiddelbart tænker jeg at en central myndighed der kunne dobbelttjekke udbud, og havde lovhjemmel til at annullere et udbud kunne gøre rigtig meget.

Rådet skal kunne:
- Hyre Mogens Nørgaard o.l. som konsulenter.
- Egenrådigt vælge at gå ind i nye sager.
- Automatisk notificeres om alle offentlige udbud.

Rådet kan så samle erfaringer, og skal f.eks. vide at det er nonsense at sælge 42 Zebraer som tilkøb på en software kontrakt og altså generelt kende alle smuthullerne og kunne skride ind.

Myndigheden skal selvfølgelig have IT Konsulenter så vidt som bygningsingeniører og hvad de ellers stifter kendskab med.

En justering af udbudsprincipperne sådan at små og mellemstore virksomheder kunne være med også ville bestemt heller ikke være dumt!

Thomas Løcke

Jeg er bange for at tillid til Rigspolitiets IT evner ikke bekymrer ret mange andre end os herinde. Resten af befolkningen er fløjtende ligeglade, og der er flere af dem end af os.

Skulle jeg foreslå noget, så må det være fuld åbenhed omkring udbud. Vi som arbejdsgivere skal vide hvem der byder på hvad og hvem der godkender hvilke tilbud. Når et udbud er afsluttet, så skal ALT gøres tilgængeligt for offentligheden. Det er vores penge der brændes af, så vi har al ret til at vide hvor og hvordan.

Dernæst skal udbud gøres langt mindre, så vi kan få flere spillere ind. Det nytter ikket noget med de her milliard projekter som kun 1-2 virksomheder kan være med på. Risikoen for "udvidet kammerateri" er alt for stor.

Kristian Sørensen

@Mikkel

Det lyder meget som argumenterne for at oprette SKI i sin tid

Det blev bl.a. begrundet med at man ville de mange små lokale lokumsaftaler, fætter-økonomien og hus-leverandøraftaler til livs og i stedet have en fri, åben, faktabaseret og dermed retfærdig udbudsprocess.

Det er gået som det nu engang er gået.

Der skal noget andet på bordet hvis der skal forventes et andet resultat.

Kristian Sørensen

@Christian

Ikke enig. Forskellen er ens om du kalder det en tilsynsmyndighed eller en udbudsmyndighed.

I begge tilfælde er det en gruppe mennesker der uden at være en del af hverken kunde eller leverandørsiden skal tilse at udbudsforretningerne foregår på et sagligt og retfærdigt grundlag.

En "tilsynsmyndighed" vil også have behov for at betale løn til sine ansatte, så de må også pålægge en transaktionsafgift på alle udbudene for at financiere sit eget virke.

Men hvis du laver to sådanne, en tilsynsmyndighed og en udbudsmyndighed så bliver summen af afgiften jo blot det større for at mætte to hold embedsmænd.

Hvis vi er enige om at den nuværende SKI udbudsmyndighed er endt i noget hø, mangler jeg at få at vide hvorfor en ny "tilsynsmyndighed" ikke vil gå samme vej?

Flemming Nielsen

Gutter, I roder altså lidt rundt i begreberne her. SKI er ikke en myndighed, der kan træffe myndighedsmæssige afgørelser omkring lovligheden af et udbud eller måden en udbudsproces er blevet håndteret på.

SKI er "blot" en indkøbsorganisation, der forhandler rammeaftaler på plads. Den har ingen myndighed til at håndhæve og træffe afgørelser i henhold til lovgivningen på området.

Myndighedsrollen på udbudsområdet ligger hos Klagenævnet for Udbud, og de refererer til Erhvervsstyrelsen, som stiller sekretariatsfunktion til rådighed for Klagenævnet for Udbud. Og Erhvervsstyrelsen refererer til Erhvervs- & Vækstministeriet.

... bare lige for at få det formelle på plads ;)

Brian Hansen

En løsning kan jeg ikke komme med, men jeg bidrager gerne med en hacker sag vi meldte til politiet for et par år siden:
Sælger i firmaet modtager en email fra en potentiel kunde.
Sælger svarer retur med et udvalg af produkter.
Hackeren sender en email hvor han lyder vældig interesseret, "se venligst vedhæftede PDF".
Det var selvfølgelig ikke en PDF, men custom skrevet malware designet til at styre lige gennem præcist de forsvars værker firmaet nu har sat op.
100% målrettet angreb.
Vi falder faktisk kun over problemet, fordi den crashede netværkslaget i sælgers Laptops styresystem :P
Sagen bliver meldt til Politiet, sælgers laptop klonet til research og derefter formateret.
PET kontakter os dagen efter, og vurderer der er rigtig meget at gå efter.
Jeg har imidlertid reverse engineeret trojanen, og kan se det en variant af ZeuS / ZBOT, heftigt modificeret til at flyve under radaren.
Den snakker med 4 servere: 3 i Danmark og 1 i Atlanta, USA.
Alle er de hackede web-servere, med Command & Control softwaren kørende i skjul bagved en ellers operationel hjemmeside. Ejerne aner intet.
Jeg kontakter de 3 danske web-hoteller, og ud over én bliver de taget offline indenfor en halv times tid. Den der var hosted ved Jaynet kører dagen i dag. Nogen der har noget hos dem? :P

Nå. Tiden går. 6mdr senere kontakter PET mig igen: Sagen er droppet, da der ikke var nok at gå efter alligevel.
Say what? Jeg har leveret dem al softwaren inkl. Kildekoden, tracet kommunikationen og fået lukket et par af serverne ned. Det hele er serveret på et sølvfad, og de dropper sagen?
Det er edderhakme opad bakke hvis det er standarden i PET's efterforskninger...

Jesper Frimann

Først undskyld for denne lidt længere rant....

Problemet med IT i det offentlige er jo at det anses for at være et redskab på lige fod med en skruetrækker eller en kniv. Man kan måske lidt spydigt sige at det anses for at være et af de skarpeste redskaber i spare-værktøjskassen, måske endda den primære sparekniv. Problemet er bare efter min mening at IT i det offentlige er blevet en så central del af 'core business' lidt, som det er med bankerne. Hvis vi ser på hvor IT er forankret i det offentlige, så er det især i finansministeriet. Og hvis man tænker, hvor mange folk der sådan er core IT folk i digitaliserings styrelsen... så er ja det lidt af et hårdt job de har. Og bare det at det er forankret i finansministeriet... siger .. hvis alt om agendaen.

Så med al ære og respekt for de folk der sidder i digitaliserings styrelsen og statens IT m.m. så er det 'offentlige' altså en org. med 800.000+ ansatte, eller det der svarer til HP, IBM... og Mærsk til sammen, og det kræver altså IMHO en konstruktion, hvor IT har en slagkraftigt platform, der gør at man kan sætte fagligheden i fokus. Hvor man kan have den nødvendige faglige ballast og det momentum der gør, at man faktisk kan have en overordnet offentlig IT-strategi, der giver mening og få denne eksekveret og udbredt. Og ja der er en offentlig IT-strategi.. men den er meget politisk farvet, og mangler det her tunge IT-faglige
Den kritiske masse af IT faglighed man i 'gamle dage' havde i det offentlige i form af KMD og DataCentralen, er jo solgt fra. Derfor er der, igen med al ære og respekt for de folk der knokler med IT i det offentlige, altså ikke nok kritisk IT-masse samlet på et sted til at sikre at offentlige IT-projekter faktisk kan få success.

Så jeg mener ikke at en IT-haverikommision eller et IT-Projektråd er nok.. eller løsningen. Jeg mener at der skal enten et selvstændigt ministerium eller aller helst en uafhængig konstruktion, der er uden for politisk kontrol men har det mandat... at de bestemmer over IT i det offentlige. Jeg mener ikke at politikerne skal lave en digitaliserings strategi.. eller eller .. på det niveau, som de i dag tror de kan snakke med om, det er de simpelt hen ikke fagligt kvalificerede til. De skal holde sig til, hvad man i det private ville kalde "forretningen".

Så se det her ikke som en kritik af de offentlige IT folk, rent teknisk var jeg selv en af dem for 20 år siden, de har det ikke nemt der i hjertet af Djøffistan.

// Jesper

Martin Bøgelund

Umiddelbart tænker jeg at en central myndighed der kunne dobbelttjekke udbud, og havde lovhjemmel til at annullere et udbud kunne gøre rigtig meget.

Mig bekendt forvalter Konkurrence- og forbrugerstyrelsen reglerne for offentlige udbud ie. udbudsloven.

Rådet skal kunne:
- Hyre Mogens Nørgaard o.l. som konsulenter.
- Egenrådigt vælge at gå ind i nye sager.
- Automatisk notificeres om alle offentlige udbud.

Konsulenter: Jeg har ikke hørt det skulle være et problem, at staten bruger for få penge på at hyre konsulenter...
Gå ind i nye sager: Konkurrencestyrelsen håndhæver konkurrenceloven, herunder lovens indvirkning på offentlige udbud.
Automatisk notificeres: Der er anmeldelsespligt for offentlige myndigheder på udbud over 500.000kr.

Anne-Marie Krogsbøll

Martin Bøgelund: Det lyder som om, du har noget insiderkendskab til dette. Kan du så svare på følgende?

Er det indbildining, at det for nogle dage siden kom frem i forbindelse med ATEA-sagen, at de tilbudsgivende firmaer i følge udbudsreglerne er forpligtede til at oplyse, hvis de er involverede i bestikkelsesager, og at de i bekræftende fald som udgangspunkt IKKE kan indgå i en budrunde?

Hvis det er rigtigt husket, så kan det da (ud over almindelig sund fornuft) undre, at ATEA på nuværende tidspunkt kan vinde en ordre?

Burde de ikke i følge reglerne være diskvalificerede, eller gælder denne regel ikke, hvis mistanken først opstår, når først budrunden er i gang?

Anne-Marie Krogsbøll

Ok, jeg har selv fundet svaret, tror jeg: "Den præcise formulering af udbudsdirektivets kapitel 45 kan du selv læse her, og den omhandler udelukkelse af virksomheder, som er blevet endeligt dømt for bestikkelse, for deltagelse i organiseret kriminalitet eller hvidvaskning af penge."
Read more at http://www.computerworld.dk/art/234135/bestikkelses-sag-atea-risikerer-a...

Det kræver åbenbart, at der foreligger en endelig dom, så det har lange udsigter. Så må man håbe, at de øvrige budrunder, ATEA er involverede i, i stedet undersøges grundigt i forbindelse med sagen.

Bjarke Haack Jørgensen

Jeg tror det første skridt på vejen er at få folk til at indse hvor vigtigt IT, specielt offentligt IT, er - også for de som ikke umiddelbart føler sig involverede. Det betyder at IT-Politik og IT-Etik skal være helt konkrete og særegne dagsordener i det politiske system.

Med den udvikling der er sket har IT fået en immanent politisk og etisk karakter der ikke kan benægtes og bør bringes frem i lyset.

Big Data og overvågning har en ligeså vigtig politisk karakter som sprøjtegift og atomaffald, og jo før problemstillingerne bliver bragt til Christiansborg jo bedre.

Jens Krabbe

Stråler og kemikalier er meget mere håndgribelige og umiddelbart forståelige, mens IT er noget stort og komplekst, med uoverskuelige og uigennemskuelige konsekvenser for både samfund og borgere.
Men det kan spare penge og effektivitet er et positivt ladet ord, så det køber de offentlige forvaltere gerne noget mere af og de færreste borgere har hverken kompetence eller overskud til at sætte sig ind det.

Erfaringerne fra tidligere IT katastrofer skræmmer ikke, for dem, der tager beslutningerne nu, vil enten ikke huske, eller så var de ikke ved magten dengang. Direktørerne for leverandørerne er heller ikke bange for at underbyde, for de er garanteret et 7-cifret beløb uanset udfaldet. Borgerne har som sædvanligt ikke meget at skulle have sagt.

Ikke engang Se&Hør sagen eller offentliggørelse af deres CPR-numre fik politikerne til at indse, at vi alle er udsatte. Det er derfor svært at se, hvad der skal få de IT-inkompetente folkevalgte til at prioritere dette område.

Eneste udvej, jeg kan komme på, er at gøre det nedefra: Crowdfunde Open Source tiltag, der de fakto ændrer på hvordan IT implementeres i vores samfund.
Vi har allerede set eksempler på hvordan Rejsekortet og NemID kan gøres bedre gennem privat og ubetalt udvikling.
Med lidt mere målrettet støtte kan vi komme meget længere for næsten ingen penge - og helt undgå bonusser til direktørerne for de store IT leverandører. Men den største gevinst vil være bedre offentlig IT.

John Foley

I lighed med bl.a. Holland, Norge og England burde Danmark oprette et nationalt råd, der bl.a. kunne indeholde en IT-haverikommission, Datatilsynsmyndighed, IT-revisonsenhed, SKI osv. bestående af repræsentanter fra det offentlige og private samt akademia. Rådet skal have de nødvendige ressourcer, beføjelser og kompetencer. I Holland mødes det nationale råd en gang om ugen og forholder sig til IT-problematikker, som omtalt i alle de ovenstående bemærkninger samt PHK's udemærkede indlæg.
I samarbejde med de politiske partier gennemføres en konference/høring på Christiansborg den 18. august, hvor vi bl.a. vil drøfte mulighederne for oprettelse af et nationalt råd, men også andre løsningsmuligheder skal drøftes. Der er plads til 250 deltagere i Landstingsalen, som bliver inviteret personligt.
Måske er tiden kommet til oprettelse af et egentligt IT-ministerium, hvor alle trådene og problematikkerne kunne bearbejdes i sammenhæng i stedet for som nu segmenteret og spredt for alle vinde.

Anne-Marie Krogsbøll

Artikel i dag i Inf. om grænsekontrol med kameraovervågning, der allerede er på vej. http://www.information.dk/537527. Meget interessant.

Det, der undrer mig, er at hele projektet lyder meget "løst" defineret - som om man dels har en temmelig stor og løs pengepung at bruge af - a propos diskussionen om, hvordan det offentlige (herunder politiet) køber ind - dels lyder det som om, man arbejder efter devicen: "Nu går vi igang, og så kan vi altid bagefter forme reglerne efter, hvordan vi gerne vil bruge systemet".

Det lyder slet ikke betryggende, den måde dette indføres på, synes jeg. Hverken økonomisk eller "privacy-mæssigt".

John Foley

Enig i dine betragtninger og bemærkninger Anne-Marie Krogsbøll. Især er det meget lidt betryggende, den måde man påtænker at implementere projektet på. Der er alt for mange løse ender, herunder om bla. beføjelser, opbevaring af data og sikring af befolkningens personfølsomme oplysninger.
Projektet har været igang siden 2013 med diverse tests m.v. efter devisen: "Nu går vi igang, og så kan vi altid bagefter forme reglerne efter, hvordan vi gerne vil bruge systemet". Det er meget lidt betryggende ikke mindst set i lyset af Justitsministeriets og Politiets håndtering (eller mangel på samme) af Danmarks største hackersag, der mildest talt var amatøragtig. Nu vil man så igen give politiet beføjelser og ret til at indføre et projekt, der - endnu engang - er meget lidt gennemtænkt, også fra et privacymæssig synsvinkel.
[/quote]

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize