USA får IT-Havarikommission

Yes!

Biden har lige udstedt en executive order der blandt andet indeholder:

"Establish a Cybersecurity Safety Review Board. The Executive Order establishes a Cybersecurity Safety Review Board, co-chaired by government and private sector leads, that may convene following a significant cyber incident to analyze what happened and make concrete recommendations for improving cybersecurity. Too often organizations repeat the mistakes of the past and do not learn lessons from significant cyber incidents. When something goes wrong, the Administration and private sector need to ask the hard questions and make the necessary improvements. This board is modeled after the National Transportation Safety Board, which is used after airplane crashes and other incidents."

Hvornår får Danmark sin ITHK ?

phk

Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Jari Wiklund

Ved du om den har været under opsejling i et stykke tid? Eller måske blev colonial pipeline dråben der fik bægeret til at løbe over og de fik strikket en executive order sammen i løbet af et par dage(?) Jernet til smedningen af et borgerforslag er varmt, hvis man kunne få medierne med på “når nu amerikanerne gør det” helt i tråd med amerikanernes forslag om begrænsning af patentbeskyttelse på coronavacciner.

  • 8
  • 0
#3 Jari Wiklund

Men nu tænkte jeg på om der har været politisk omtale af selve ideen. Selve udformningen og implementeringen er relativ simpel(alt efter hvor meget politikerne blander sig), de politiske konsekvenser er(og skulle gerne være) alt andet end simple.

  • 0
  • 1
#5 Nis Schmidt

Jeg er sikker på at der er folk der har haft det liggende klar i øverste skrivebordsskuffe i årevis.

Og de planer kan man nok ikke bruge til så meget. Man må gøre sig klart, at IT-projekter skal stoppes inden de fører til IT-haverier - ellers ender man med en "skyldfordeler". Og om 15-20 år er det for sent! Udviklingen løber for hurtigt.

Hvad skal en ITHK bruges til?

At afdække uheldige valg og praksisser - i tide til at lignende dumheder ikke begås igen. Det kræver folk med masser af hård på brystet - at stoppe ting mens de sker. Det er nødvendigt med praktisk erfaring og mod (og plads) til at bruge den.

Har DK størrelse og kultur til en ITHK?

Som udgangspunkt: nej, ingen af delene. USA har nok størrelsen, men kulturen - vi får se. England kan måske være med der pga sproget, men igen er kulturen i vejen. I Europa er fælles sprog ikke en hindring og måske kan man på 10-20år udvikle tilstrækkelig interkulturel forståelse, men det bliver en lang, lang rejse. DKs udgangspunkt for deltagelse er pilråddent - desværre. Her skal vi nok på en kæmpe omvej med at (gen-) opfinde demokrati og respekt.

Ironisk nok

Ironisk nok var vi måske nærmere for 30 år siden, men meget "badevand" er spildt gennem årene. Open source hjælper ikke her - for i den verden (trouble shooting) er al source åben - ellers kommer man slet ingen vejne. Det lovgivning har US.gov dog på plads.

Et andet problem er teknologisk udvikling, som pt er for hurtig til at man kan definere en standard. Så engang når "Moores lov" er glemt og ting er faldet til ro kan man begynde.

Så man må begynde nu med at raffinere teknikker til at undgå haverier.

  1. Domæne engineering
  2. Test Driven Development
  3. Udnyttelsesgrad: af HW i SW

kan være steder at starte. Men det kræver folk med teknisk, psykologisk indsigt og kulturel forståelse; så de skal nok lige uddannes først.

(fortsættes efter diskussion)

  • 1
  • 15
#6 Jari Wiklund

Du kan godt kalde det en skyldfordeler, men essensen er finde root cause, som ofte, som du selv påpeger, vil pege på kulturelle/strukturelle problemer. Lige nu bliver der dog ikke placeret noget som helst ansvar/det har ingen konsekvens at sætte dødfødte milliarddyre projekter igang. Også selvom de bliver udført med præcis de tiltag du lister op.

  • 14
  • 0
#7 Børge Svingalius

går os i vente, når danske politikere nu endelig får øjnene op - ikke fordi de har fattet pointen - men fordi "sådan gør USA" - og os/de/jer der har stædigt vedholdt, trods kritiske røster/døve øren, at måske ville det være i alles interesse med en IT-havarikommision, bliver glemt indtil næste gang lægmand kan se lyset lysår før politikerne.

Hvornår blev det sådan at kompetenerne til at forme et samfund forduftede fra Christiansborg og i stedet forplantede sig i den utilfredse befolkning...?

\rant

  • 4
  • 0
#9 Ivo Santos

Man kan lære en masse ting, og ingen af disse har noget af gøre med i hvilket land man bor i.

En ting man kan lære af alle disse skandaler er at man ikke skal benytte en komponent som har en kort levetid. Jeg husker et projekt som tog flere år at udvikle og var baseret på .net 2.0. Da projektet næsten var færdigt var alle begyndt at overgå til .net 4.0, så jo, vi kan lære en masse af alle disse skandaler.

Selv i dag undrer det mig at man for næsten 50 år siden som til dels stadig virker den dag i dag, det er trods alt også en vigtig lektie.

  • 5
  • 0
#10 Magnus Jørgensen

Selvom vi har haft en havari kommision i danmark og meget at det arbejde er landet i Dansk Standard, så bruger vi også arbejdet fra USA. Disse standardiserings organer har historisk arbejdet sammen. Hvis vi ikke selv laver en IT Havari kommision kan vi også ende med at stå uden for indflydelse på standardiserings området.

  • 2
  • 0
#11 Carsten Thomsen

Det skal igennem et utal af simuleringer, test, og godkendelsesprocedurer. Det drejer sig om dyb ingeniørmæssigt og videnskabeligt arbejde for den fysikse del af konstruktionen, samt anvendelse af best practice inden for sikkerhedskritiske indlejrede systemer.

NTSB (National Transportation Safety Board) som er et uvildigt organ til undersøgelse af transport ulykker, arbejder godt og grundigt, ofte i et år eller længere for at afdække "root cause" som typisk er et sammenfald af op til fem forskellige faktorer der resulter i et havari.

Baseret på rapporten udfærdiges anbefalinger til FAA (Federal Aviation Authority) som udfærdiger og håndhæver reglerne. Denne proces har resulteret i dramatiske forbedringer af bl. a. flysikkerheden.

Men vil IT nogen sinde blive betragtet men samme alvor? Bugs sker jo bare, og det er vi konditioneret til at tro. Men når en dag vi får et større og længervarende internet nedbrud (eller ligende systemkritiske funktioner som strøm, mobilnet, eller avancerede våbensystemer som F-35) vil vi endelig vågne op til at erkende den enorme sårbarhed vores moderne samfund har pga af dårlig IT.

Godt nok er der en god tradtion for software i kritiske systemer, men den rækker ikke, så vidt jeg kan se, til store sammensatte systemer som internettet, som ikke er designet fra bundet af med sikkerhed i mente.

Det ville være god læsning for alle software ingeniører at læse NTSB ulykkes rapporter, og se den mere populære TV version "Undersøgelse af flystyrt". Ikke fordi den primært handler om software, men pga af den interdisciplinære tilgang der er til sagerne. Også bogen QF 32 om et nært fatalt styrt af en Quantas Airbus 380 giver god indsigt i komplekse software systemer der presser piloter ud over menneskelige grænser.

  • 2
  • 0
#12 Maciej Szeliga

Men vil IT nogen sinde blive betragtet men samme alvor? Bugs sker jo bare, og det er vi konditioneret til at tro.

Det ville de hvis der var leverandøransvar som der er på alle andre produkter. IT branchen har været ualmindelig dygtig til at fraskrive sig alt ansvar. Fidusen er at flyproducenter kan holdes ansvarlige men IT producenter kan nøjes med at sige: "Læs EULA'en".

Lige bortset fra det så kan enhver godt bygge et fly for der er en "experimental" godkendelse / definition som giver selvbyggere mulighed for at bygge fly.

  • 3
  • 0
#13 Jakob Dahl

Det ville de hvis der var leverandøransvar som der er på alle andre produkter. IT branchen har været ualmindelig dygtig til at fraskrive sig alt ansvar. Fidusen er at flyproducenter kan holdes ansvarlige men IT producenter kan nøjes med at sige: "Læs EULA'en".

Levenrandøransvar vil uden tvivl bringe os op på et andet niveau, men hvor vil det stille open source software? Firmaer som Red Hat og Canonical skal nok klare sig men jeg vil tro at de 1016 medlemmer i Debian projektet hurtigt vil begynde at falde fra https://nm.debian.org/members/

  • 2
  • 1
#15 Jakob Dahl

F.eks her: https://queue.acm.org/detail.cfm?id=2030258

Jeg tror det vil virke som en yderligere begrænsning på brug af OOS for eksempel i den offentlige sektor som der eller er gode argumenter for (jeg har selv støttet det borgerforslag der ligger). I forvejen er der argumentet: Ja det er meget godt, men kan jeg få en serviceaftale? og det er nogen gange svært. Nu vil der også komme argumentet: Ja, det er meget godt, men kan jeg få produktansvar? og det kan man ikke. Det vil give markant bedre software fordi leverandørerne skal stå til ansvar for hvad de laver, men den model du foreslår vil også give closed source en konkurrencefordel

  • 0
  • 3
#16 Carsten Thomsen

der er gået 10 år siden du skrev dette gode, enkle forslag. Og som sagt, om det er open source eller ej er ligegyldigt. En virksomhed der sælger et produkt, kan ikke tørre den af på sine underleverandører.

I de 10 år der er gået er kvaliteten af software nok faldet noget, fordi der er så meget mere af den i drift (one bug per thousand lines source code). Derudover er hastighed på computere og forbindelser mellem dem er steget markant, som øger sprednings hastighed. Tid sidst er samfundets afhængighed af "interconnected programmable devices" blevet så stort, at konsekvenserne af nedbrud af internet, større hacking events osv. kan være langt mere lammende end COVID-19. Kombinationen af disse tre faktorer gør vores sårbarhed idag langt større end 10 år siden.

Vi kan sove vores tornerosesøvn indtil vi bliver lammet. Worst case scenarier, bliver mere og mere sandsynlige. Mette kan bygge vaccine fabrikker og konkurrence dronning Margrete kan smække store bøder på de amerikanske uhyre i åbenbaringens bog. Men teknologi sårbarhed er en langt større, og global trussel.

Romanen https://www.wired.com/story/2034-novel-next-world-war-editors-letter/ beskriver et ikke usandsynligt skrækscenarie.

  • 4
  • 0
#17 Christoffer Kjeldgaard

Men vil IT nogen sinde blive betragtet men samme alvor? Bugs sker jo bare, og det er vi konditioneret til at tro. Men når en dag vi får et større og længervarende internet nedbrud (eller ligende systemkritiske funktioner som strøm, mobilnet, eller avancerede våbensystemer som F-35) vil vi endelig vågne op til at erkende den enorme sårbarhed vores moderne samfund har pga af dårlig IT.

I Sundhedssektoren håndteres nedbrud / havarier / betjeningsfejl mv. i henhold til Sundhedslovens LBK nr. 903 af 26/08/2019, der indeholder en forpligtigelse til at rapportere utilsigtede hændelser, UTH. Formålet med at rapportere utilsigtede hændelser er at skabe systematisk opmærksomhed og læring om de fejl, der kan undgås og derved forebygge, at de sker igen.

UTH'er håndteres ikke kun når noget er gået galt, men bare muligheden for at der kunne være sket fejlbehandling, diagnostik eller forkert håndtering af patientens data er nok til at problemet skal håndteres, vurderes og prioriteres jf. Sundhedsloven.

Hvis årsagen og løsningen til fejlen ikke er umiddelbar, nedsættes en taskforce typisk bestående af IT-folk, eksperter, leverandører og brugere af systemet der skal afdække hvad der er sket, hvad der kunne være sket og hvordan det løses.

Min pointe er at vi i Sundhedsvæsnet allerede har et fint lovgrundlag og en model der fungerer, som muligvis kunne finde anvendelse i andre dele af det offentlige.

  • 7
  • 0
#18 Nis Schmidt

Alt for ofte har offentlige systemer et helt andet formål, end man skulle tro!

FD er om man skal "blæse stykket" eller "blæse det et stykke"!

Hvis det kan tjene oplysningen i undervisning, så klart det første; men hvis målet er at gøre opmærksom på sig selv, så er svaret ikke lige så klart - for "ordentlige mennesker".

  • 0
  • 0
#19 Rune Larsen

Nej, USA får ikke en ITHK. I hvertfald ikke i den form, PHK har plæderet for i årevis. Her har fokus været på kuldsejlede offentlige udviklingsprojekter, hvilket branchen med god grund generelt er afvisende for:

https://www.version2.dk/artikel/it-branchen-havarikommission-spild-tid-o...

PHKs tossede ITHK skulle bl.a. behandle:

"Alle offentlige IT projekter der overskider det oprindelige budget eller tidsplan, eller hvis den oprindelige funktionalitet reduceres mere end marginalt."

https://www.version2.dk/blog/it-haverikommission-nu-51199

Det kan tyde på, at PHK syntes ITHK skal have fingrene i den store kagedåse:

"Alle offentlige IT projekter indbetaler forlods 10% af de budgeterede udgifter, til en pulje der betaler for ITHKs virke."

"Undersøgelser af private IT-systemer under punkt 4c) betales efter regning 50/50 af ejerne af software og hardware, hvis de ikke forlods har aftalt andet indbyrdes."

Bidens Cyber Security Safety Board er noget helt andet end PHKs ITHK.

Det giver rigtig god mening at undersøge hvilken vel hackere kom ind, så andre kan beskytte sig mod angrebsvektoren fremover.

Ja, tak, til Cyber Security Safety Review Board, nej tak til PHKs ITHK.

  • 3
  • 6
Log ind eller Opret konto for at kommentere