Flemming Nielsen

Vestas-hacket vokser: Topledelse og produkt-data kompromitteret i kæmpe læk

@Klavs

For de større, multinationale selskaber med datterselskaber og kunder/samarbejdspartnere i flere forskellige lande, er det ganske normalt og udbredt, at medarbejdere udsendes i længere eller kortere perioder. Og det kræver typisk et arbejdsvisum for den pågældende medarbejder ift. det pågældende (fremmede) land. Kravene til dokumentation ift. at få udstedt arbejdsvisum omfatter bl.a. et gyldigt pas fra hjemlandet.

Den enkelte medarbejder kan godt på egen hånd gennemføre sådan en visumansøgning ift. det fremmede lands myndigheder, men i nærmest alle de tilfælde jeg er stødt på det, er det arbejdsgiveren der håndterer processen/ansøgningen på vegne af den pågældende udsendte medarbejder. Dels fordi de har HR/Expat specialister ansat til netop at understøtte "expats" ift. deres særlige behov, bl.a. at der ansøges om det i god tid (det kan godt tage en del tid i visse lande), og dels for at sikre at ansøgningen ikke "smutter" fordi den enkelte medarbejder reelt set kan være en grønskolling ift. det bureaukrati og dokumentationskrav, som internationale arbejdsvisa er sovset ind i, i visse lande.

28. januar kl. 18:01
Vi får aldrig plads nok...

Da jeg begyndte hos Kommunedata i 1994, i Aalborg, var en hulkort maskine udstillet i montre i deres laveste sikkerhedszone (1) på daværende adresse Hadsundvej 184. Det skulle angiveligt være en af de originale 2 maskiner, som de danske kommunale regnecentraler var bygget over, og de kunne ifølge bog udgivelsen "Historien om en central"https://bogbasen.dk/showBook?id=4429386spores tilbage til 2. verdenskrig og amerikanernes beregning af løn til de europæisk udstationerede soldater.

Jeg har ingen idé om model betegnelsen eller hvor maskinen er idag, hvis den overhovedet eksisterer længere, men hvis der er interesse kunne en forespørgsel evt. rettes til KMD.

22. november 2021 kl. 16:18
Edward Snowdens biografi

Ikke at Joe Rogan er den mest spidskompetente interviewer ift. Snowden, men hans podcast med Snowden kan nu alligevel anbefales. Han får rigeligt med taletid, uden afbrydelser. Ligger på YouTube.

13. november 2019 kl. 07:11
Elløbehjul. Er der en voksen til stede?

.... der kommer en god løsning imorgen! :)

10. november 2019 kl. 22:29
Ingeniøren og Version2 skrotter adgangskort til fordel for RFID-chips

Det er 1. april! God weekend ;)

1. april 2017 kl. 12:11
Skal internettet fortsat være en fristad?

Godt blog indlæg, Anders!

Tillad mig at komme med en tilføjelse og en præcisering af et essentielt begreb, som jeg kan se i debatsporet, at der bliver hintet til, men der refereres ikke eksplicit til det.

Spørgsmålet er, hvordan vi helt grundlæggende forstår begrebet "frihed", samt ikke mindst, hvad der i det lange løb er en holdbar, velovervejet og afbalanceret forståelse af frihedsbegrebet.

De principielle diskussioner af, hvordan man finder den rette balance mellem frihed og ansvar i et demokratisk samfund med en tredeling af magten i hhv. den lovgivende, udøvende og dømmende magt (og med pressen som den fjerde "statsmagt"), har været et af de helt store og fast tilbagevendende diskussionsemner blandt de store tænkere lige siden Oplysningstiden i det 18. århundrede, og der har da også været mange bud på et svar fra forskellige tænkere fra diverse ideologiske lejre; nogle har vundet almen tilslutning, andre har mere været af en karakter, der gør det fortjent til en betegnelse som et intellektuelt vildskud i tågen og ikke særligt holdbart, måske fordi det har været for sekterisk og udelukkende har taget sigte på at skulle pleje særinteresser for en afgrænset kreds af aktører i samfundet og derfor ikke kvalificerer som almengyldigt og legitimt princip for hele samfundet.

Dog er der kommet en temmelig holdbar definition af frihedsbegrebet, men man skal faktisk forbavsende langt op mod nutiden, før man finder den: Isaiah Berlin gav i sin tiltrædelsesforelæsning på Oxford i 1958 en tvedelt definition på frihedsbegrebet, i hhv. positiv og negativ frihed:

https://en.wikipedia.org/wiki/Two_Concepts_of_Liberty

Og denne definition af "frihed" er efter min ydmyge mening rent faktisk både velovervejet og holdbar når det omsættes til praksis, netop fordi det ikke beskæftiger sig med enkeltinstanser af frihedsudfoldelse eller -krænkelse, men nærmere adresserer det et underliggende princip omkring friheden i et pluralistisk, demokratisk samfund, hvor der ganske vist skal være plads til alle, uanset de individuelle forskelle i præferencer og behov, men omvendt heller ikke medfører at nogensomhelst skal stå model til hvad som helst (fra andre, der har svært ved at respektere andre borgeres/aktørers grænser og rettigheder).

Kort sagt: Din positive frihedsret stopper lige nøjagtig dér, hvor din frihedsudfoldelse begynder at begrænse min negative frihedsret - og vice versa.

Tilbage står spørgsmålet om, hvordan staten kan og skal definere og håndhæve lovgivning, der søger at ramme denne balance mellem positiv og negativ frihedsret for alle juridiske personer i samfundet.

Og hvis vi overfører dette til internettet, så er der vist lang vej hjem, før vi har fundet frem til en regulering og en "statslig" institution som magtudøver, der både er afbalanceret, velovervejet og bliver betragtet som legitim af flest mulige aktører, således at reguleringen og magtudøvelsen er holdbar i det lange løb.

6. december 2016 kl. 14:34
Skatteministeren vil bruge 7 mia. kr. på at redde Skat ud af it-krise

Problemet er vel reelt at der er etableret et skattesystem der kræver 6000+ mand at forvalte. Oven på den kompleksitet bygger man så it-systemer - det skal gå galt.

Præcis, og det ligger godt i tråd med en af de primære anbefalinger, som Dansk IT for nyligt har været ude at give regeringen:

https://dit.dk/da/DANSKITmener/Nyheder/Lovgivning

Og denne anbefaling vedrører efter min vurdering ikke kun SKAT, for der er masser af andre områder af den offentlige sektors aktiviteter, hvor der er masser af logiske og strukturelle inkonsistenser når man stikker snablen langt ned i substansen, ser på tværs af forskellige separate stykker lovgivning, inkl. der hvor de overlapper på området, og stiller modsatrettede og inkompatible krav til både informations- og forretningsarkitekturen, når man skal forsøge at strikke løsninger sammen, der kan tilfredsstille samtlige lovbundne krav.

Med andre ord: Der er behov for en simplificering og transparens i den samlede lovgivning, og det kan vist kun komme via et modpres/samarbejde og praktisk orienteret (IT faglig) opkvalificering af de ministerielle embedsmænd (også på tværs af ministerier), der sidder og formulerer en stadig mere voluminøs og indbyrdes inkonsistent sæt af love, som kun kan kræve mere bureaukrati, hvis man skal forsøge at forvalte og administrere efter loven og levere borgerrettet serviceproduktion og myndighedsmæssige afgørelser ift. både borgere, virksomheder og øvrige offentlige institutioner på både det kommunale, regionale og statslige forvaltningsniveau.

Og for at kalde en spade for en spade: De ministerielle embedsmænd er i for høj grad for langt væk fra den praktiske virkelighed, og mangler måske noget forståelse for, hvilken impact den lovgivning der udarbejdes, reelt har ude i "virkeligheden", hvor man er langt tættere på praksis end de ministerielle embedsmænd er i deres dagligdag. Jeg har stor forståelse for, at ministerielle embedsmænd primært skal orientere sig i deres opgaveløsning mod det politiske beslutningsniveau, som de er sat i verden for at betjene på en (juridisk) kompetent facon, men det kunne jo også tænkes, at det tætte samarbejde mellem det ministerielle embedsværk og det rent politiske miljø er gået hen og har udviklet sig for meget til en lukket/afsondret symbiose, der er i for ringe kontakt med den ydre virkelighed.

27. august 2016 kl. 13:22
Dobbelt it-fejl banede vej for kæmpe datatab på Nordfyn: Ingen backup og usunde diske blev spejlet

Tid til at kontakte Ibas og krydse fingrene ;)

20. april 2016 kl. 17:03
Datadrevet forretningsudvikling – hvorfor Big Data?

Ganske udmærket gennemgang, og især synes jeg dit sidste afsnit rammer en central pointe omkring tolkning af statistiske regressionsanalyser, som både er tudsegammel og alligevel brandaktuel i en Big Data kontekst:

Blot fordi der viser sig en høj korrelationsværdi (nær 1) ved en regressionsanalyse af forskellige datasæt, der smækkes sammen fra forskellige kilder, så er det ikke ensbetydende med, at dette også indikerer en reel kausalitet (årsag og virkning), mellem trenden i datasæt A som mulig årsag til trenden i datasæt B. Det kan rent faktisk vise sig at være et freaky tilfælde, at korrelationen er høj, uden at de to sæt af data forklarer noget som helst, forstået som ren kausal årsags-virkning sammenhæng.

Den klassiske læresætning indenfor statistikken er jo:

https://en.wikipedia.org/wiki/Correlation_does_not_imply_causation

Og så er spørgsmålet, hvad man kan bruge det spottede mønster til overhovedet, ift. at træffe beslutninger, øge indsatsen ift. datasæt A for at maksimere effekten i datasæt B.

Den morsomme anekdote jeg fik fortalt til forelæsningerne i statistik på universitetet for mere end 20 år siden, var de to datasæt for hhv. antallet af storke i DK hen over en årrække og antallet af nyfødte babyer i den tilsvarende årrække. Bingo! Høj korrelationsværdi mellem de to datasæt ..... men hvad sagde det egentlig om kausaliteten mellem storke og nyfødte babyer?

Og hvad nu hvis der er mange kausale årsager til en given effekt, men man blot endnu ikke har fået samlet datasæt ind på samtlige årsagsparametre (A1, A2, A3 osv.)?

Det er fint nok med værktøjerne, men man skal altså stadigvæk gøre sig nogle kvalificerede og realistiske tanker om, hvordan tingene hænger sammen ude i virkeligheden, så man undgår at stirre sig blind på et mønster, som man mener at kunne spotte rent statistisk/matematisk.

30. oktober 2015 kl. 15:46
EFI-skygge: Regeringen opgiver fuld gældsinddrivelse i 2016

@Max, det tror jeg ikke er en fejl. Da der jo er akkumuleret en masse skattegæld/fordringer hen over årene, er SKAT naturligvis nødt til at arbejde med målsætninger om at få inddrevet over 100% af, hvad der løbende akkumuleres af yderligere skattegæld/fordringer i det indeværende år, ellers vil den samlede masse af fordringer hos personer, virksomheder og organisation blot stige og stige ... og til sidst vil fordringerne skulle afskrives som tabt, fordi fordringen falder for forældelsesfristen.

29. september 2015 kl. 22:48
Kommentar: Derfor er en it-havarikommission ikke løsningen

Prince2 har en rolle/koncept der hedder "Project assurance role", hvis rolle det er at holde øje med om projektet er på sporet og forhold der kan ændre projektets berettigelse.</p>
<p>Hvis man nu forstiller sig en lille gruppe på ca. 2-3 personer der varetager denne rolle.
Rollen skal besættes af personer som ikke har aktier i projektet eller den organisation der har projektet (får løn fra en seperat institution) og de skal på samme måde som Rigsrevisionen have adgang til alt materiale.</p>
<p>Sådan en gruppe vil kunne fungere som gardering for at projekter ikke går over tid, koster mere end hvad der kan forsvares og levere et relevant resultat.

@Claus, hvis det skal være brugbart, så hviler det på en række forudsætninger, som langt fra altid er til stede i et projekt:

  • at det Prince2 styrede projekt samtidig også har fået lavet et realistisk "produktnedbrydningshierarki" fra starten af projektet (hvilket ikke ret mange store, komplekse it projekter reelt har, målt op mod den samlede projektleverance, der kan konstateres ved afslutningen af et succesfuldt projekt), og
  • fået produktnedbrydningshierarkiet til en udspecificeret detail projektplan (hvilket også sjældent gøres ... i stedet arbejdes der med hovedplaner og roadmaps, der kun forholder sig til hovedmilepæle og større blokke af projektleverancer)
  • at der undervejs i projektforløbet ikke sker "scope creep" eller godkendes markante, større change requests, der ændrer markant på hvad der rent teknisk skal leveres fra projektet, inkl. alle de potentielle knock-on effekter på øvrige dele af projektet ... (det er et klassisk projekt dilemma: de arkitektur- og løsningsmæssige beslutninger der træffes i begyndelsen af et projekt, har størst impact på slutløsningen, men den nødvendige viden og information er lavest i begyndelsen af et projekt, og stiger gradvist og rykvist undervejs i projektet; se evt. grafik nedenfor, planket fra Mikkelsens & Riis, "Grundbog i projektledelse")

http://www.myllerup.dk/images/SenesteAnsvarligeTidspunkt.jpg

12. august 2015 kl. 14:11
Skatteministeren om EFI: Det er meget alvorligt og har ikke været gjort godt nok

Eller også har de gjort det rigtig godt, afhængig af hvilket synspunkt du ser det fra.

Jep, en lille interessent analyse kunne være passende, med alle de involverede parter der er i sagen. Men med den udliciterings- og udbudslogik den offentlige sektor er underlagt, mener jeg generelt, at den offentlige sektor især bør styrke sig (læs: rekruttere flere) med flere egne arkitekter (og BI/LIS folk), for det er uundværlige kompetencer at have i eget hus, når alt andet (programmering, drift osv.) i stor stil bliver leveret af eksterne folk via udbud og udlicitering. Den tid er for længst forbi, hvor man havde store egne IT afdelinger i den offentlige sektor med en bred palette af it kompetencer (de kan simpelthen ikke følge med, rent løn mæssigt ift. markedet), men der er visse nøglekompetencer, som man ikke bør udflage hvis ens interesser som offentlig myndighed skal håndhæves, og der skal sikres solid videreudvikling og optimering af eget systemlandskab. Det er simpelthen naivt at tro, at eksterne konsulenter kan komme ind på en forholdsvis kortvarig opgave, og få etableret et solidt overblik over den offentlige myndigheds systemlandskab og levere kvalificeret rådgivning der passer til situationen. Hvis man beslutter sig for at udflage det meste, så bør man dog stadig holde fast i arkitekter, BI/LIS folk, samt få opkvalificeret de DJØF'ske projektledere, så de også forstår og har respekt for den tekniske/arkitekturmæssige kompleksitet i styringen af projekter.

12. august 2015 kl. 10:08
Skatteministeren om EFI: Det er meget alvorligt og har ikke været gjort godt nok

Umiddelbart lyder det for mig som om, at bullit 2 og 3 i artiklen peger på, at der skal laves noget grundlæggende arkitektur arbejde vedr. kortlægning af forretningsarkitekturen/procesmodellering (2. bullit), og af informationsarkitekturen/datamodellering (3. bullit), og det kan man da kun hilse velkomment. Men det burde man nok retteligt havde gjort ved begyndelsen af projektet, så den rette løsningsarkitektur og -design var blevet gjort til startpunktet for projektet, og ikke blot en masse tvetydig ordflom i en voluminøs kravsspecifikation, som man desværre ofte ser, fordi der ikke involveres kompetente it arkitekter på fra startet af de større komplekse projekter.

12. august 2015 kl. 01:08
Kommuner bruger suspekt tracking-cookie

Rent faktisk viser Ghostery, at denne Version2 side rummer 22 trackere, hvoraf AddThis er en af dem.

Det bekræftes af Disconnect, og der kan udspecificeres i 3 kategorier:

  • 15 advertising
  • 2 analytics
  • 5 social

Og AdBlock Plus ... well, den blokerer bare de 15 advertising elementer.

Men det bliver interessant at høre svaret fra Version2.

22. juli 2015 kl. 11:33
Privacy-bekymring over privat virksomheds indsamling af kvitteringsdata

Umiddelbart går mine tanker i retning af, at det godt nok må have været en crappy datamodellering der er bygget på, siden der tilsyneladende ikke har været en solid tids-/datostyring koblet på datamodellen (gyldighedsdatoer (start og slut) for stamdataene, og tid-/datostempling på transaktionsdataene), så det er muligt at lave autorisations- og governancemæssige valideringscheck på, hvem der må tilgå hvilke data, hvornår og med styring ud fra formålet/funktionen/autorisationen til at kunne tilgå dataene.

Det er så basalt og grundlæggende, at man til stadighed ikke forstår, hvor meget der bliver sagt "what the hell" til den slags krav til en datamodellering, især når der er tale om person-, forretnings- og konkurrencefølsomme data.

Jeg synes det er hovedrystende så ofte man støder på det. Måske er det også en nøglefaktor i denne case.

30. juni 2015 kl. 10:41
Vi har tabt ad h... til

PHK, det aftvinger altid en vis grad af respekt, når du udtaler dig, pga. dine meritter.

Men helt seriøst: Det er ikke først nu at "kampen" blev tabt. Den blev tabt for ca. 20 år siden, da man begyndte at implementere og udrulle den TCP/IP baserede packet-switching arkitektur overalt, i et sindsygt rasende tempo. Vel at mærke uden at have nogen som helst form for kryptografisk løsning eller PKI på plads.

Disse 2 ting skulle have været på plads, dengang, og så havde verden måske set anderledes ud idag.

Men vi har haft for travlt med at jagte jubelbegrejstret og risiko-blinde efter et bling-bling agtigt og piv-åbent IT slaraffenland, uden fra devicen: "Hvis bare det er åbent og grænseløst, så alle kan få adgang og deltage, så MÅ det pr. definition være hunky dory, dudes!"

Men det var det ikke ;)

19. juni 2015 kl. 19:58
Hvor råddent er IT i politiet ?

Gutter, I roder altså lidt rundt i begreberne her. SKI er ikke en myndighed, der kan træffe myndighedsmæssige afgørelser omkring lovligheden af et udbud eller måden en udbudsproces er blevet håndteret på.

SKI er "blot" en indkøbsorganisation, der forhandler rammeaftaler på plads. Den har ingen myndighed til at håndhæve og træffe afgørelser i henhold til lovgivningen på området.

Myndighedsrollen på udbudsområdet ligger hos Klagenævnet for Udbud, og de refererer til Erhvervsstyrelsen, som stiller sekretariatsfunktion til rådighed for Klagenævnet for Udbud. Og Erhvervsstyrelsen refererer til Erhvervs- & Vækstministeriet.

... bare lige for at få det formelle på plads ;)

18. juni 2015 kl. 14:17
Atea: Vi accepterer ikke bestikkelse

Er det rigtigt forstået?

Ja, det er umiddelbart mit bud. Men som sagt er der jo ingen af os der har dybt indsigt (endnu) i sagen til at kunne udtale os om, hvad der helt konkret er foregået.

En mulighed er jo også, at den omtalte returkommision (set fra regionens synspunkt) er landet på eksterne konti, der slet ikke er under kontrol af økonomisystemets setup, men at det f.eks. blot er nævnt sporadisk i emails eller lign., hvorfor gravearbejdet og controllingfunktionen nærmere skal foretages i email systemet, og ikke i økonomisystemet.

Men fra leverandørens side vil jeg da umiddelbart antage, at de midler der er blevet brugt til den bestikkelse, der angiveligt er foretaget, nok bør kunne spores i deres økonomisystem. Spørgsmålet er hvordan det er posteret mht. artskontering og cost bærer, for den slags kan jo godt være angivet obskurt og misvisende, hvis der har ligget en bevidst ond vilje bagved, hvis man godt vidste at det nok ikke var helt rent i kanten at brug virksomhedens midler på den slags. Og hvis det tilmed er posteret med en længere række af små beløb over en længere periode, så kan evt. mekanismer omkring eskalering og godkendelse hos nærmeste overordnede chef, hvis beløbene overstiger de opsatte godkendergrænser i et økonomisystem også omgåes, hvis man nu skal lege spekulativ djævlens advokat.

Jeg ved som sagt ikke om det er sådan det er foregået, for min indsigt i sagen er ikke større end din. Men rent holdningsmæssigt er jeg enig i, at den slags sager er undergravende for den tillid til et korruptionsfrit embedsværk, som vi ellers med rette nyder godt af her i Danmark.

11. juni 2015 kl. 11:13
Atea: Vi accepterer ikke bestikkelse

Selv tak, Anne-Marie :)

Helt generelt kan man sige, at der findes internationale retningslinier for corporate governance, IFRS, som er udstedt af IASB, og langt de fleste lande har adopteret og indarbejdet dem i deres lovgivning. Så lovkravene er skam på plads, men den praktiske udfordring kan evt. være, hvordan det konkret er implementeret i det økonomisystem der anvendes.

Jeg arbejder selv med SAP, især HR/Løn og finans-/controlling modulerne og de procesområder og datamodellering der hører til, så det kunne jeg godt holde et længere foredrag om. Men det er jo ikke nødvendigvis relevant her. Dog kan jeg sige, at der er behov for at grave sig rimelig detaljeret ned i både data- og procesmodellering, lave en masse arkitekturarbejde, fokusere på autorisations- og workflow setup, i tæt integration med selve kerneprocesserne på de forskellige typer af forretningsgange, der (forhåbentlig) kører med tæt integration til økonomistyringen. Og det gør nærmest alt i en virksomhed ;)

Et nøglepunkt i den interne sikkerhed er den såkaldt "separation of duties", hvor forskellige funktioner og transaktioner der potentielt kan misbruges, skal holdes adskilt med flere forskellige rolleindehavere (med forretningsroller mappet til funktioner og stillinger i organisations-/stillingshierarkiet), der hver især udfører adskilte transaktioner, der indgår i en samlet transaktionskæde / forretningsproces. Det sikkerhedskoncept bygger på "constrained RBAC", som er defineret af NIST i USA (de svarer i et vist omfang til vores ISO organisation her i DK og Europa).

SAP kan leve op til den slags, men det kræver en del arbejde af både konsulenter og kundens egne folk. Hvad de anvender hos ATEA, og hvordan det er sat op og implementeret hos ATEA, kan jeg ikke udtale mig om - det ville være for useriøst, for jeg har aldrig arbejdet sammen med dem, så tag venligst mit indlæg med et forbehold ift. den konkrete case omkring ATEA. Jeg prøver blot at skitsere, at lovgivningen og standarderne sådan set er på plads, og at der er visse systemer, bl.a. SAP, der i sit tæt integrerede design og arkitektur er lavet til at kunne honorere kravene, hvis man lavet implementeringen tilstrækkeligt solidt og gennemtænkt imod det evige potentiale for misbrug.

11. juni 2015 kl. 10:10