Jørgen Elgaard Larsen

To uger før go live: Ny selvbetjeningsløsning til sygemeldte danskere forsinket et halvt år

Nu må det altså snart være nok med brug-og-smid-væk-systemer i det offentlige.

De her big-bang-omlægninger betyder, at alting bliver slået tilbage til start med hver ny version. Hver gang står man tilbage med et forsinket, fordyret og mangelfuldt system. Det er spild af skattekroner og af alles tid.

Problemet er, at man indkøber IT-systemer på samme måde som man køber vejbroer: Man tror det er et overskueligt projekt, som kan specificeres og projekteres i helhed. At de kan males og lappes i en periode, men når de bliver for gamle, så er det nemmere at bygge en ny.

Men IT-systemer er langt mere komplekse. De svarer mere til et helt vejnet: Så kompliceret, at ingen kan planlægge det hele fra starten. Og kun en tåbe vil vælge at udskifte hele vejnettet på én gang. I stedet forbedrer og udbygger man de enkelte broer og veje løbende.

Det kræver naturligvis at det offentlige selv kan bestemme over vejnettet. For IT-systemer betyder det, at det offentlige skal eje kildekoden og alle rettigheder til sine systemer. Og at man ktæver en vis kvalitet, når man køber ind.

15. oktober kl. 12:42
350.000 danskere rammes særligt hårdt af MitID-hack

man bør behandle det som en fortrolig oplysning ligesom CPR-nummeret

Suk! Er der nogen der kan forklare den mand, at man ikke kan bygge sikkerhed på en "fortrolig oplysning", der er nem at gætte.

CPR-nummeret er (ligesom er brugernavn) alene en primærnøgle, og er designet til at være nemt for mennesker at huske. Det oplyses i flæng over usikre kanaler.

Det bør ikke betragtes som fortroligt.

13. oktober kl. 09:39
Statens It forvandler humanister til it-specialister

Det er selvfølgelig muligt at opkvalificere medarbejdere, især til de mere rutineprægede drifts- og supportopgaver.

Men Statens IT mangler i den grad kompetente fagfolk, som kan lave gennemtænkte strukturer og tage de rigtige beslutninger. Det kræver både et teoretisk fundament og en solid erhvervserfaring.

Det får man ikke ved at blive sidemandsoplært af en anden autodidakt amatør.

Det er et stort problem, at Statens IT ikke har tilstrækkelige kompetente medarbejdere. En del skyldes den lave løn, men det er endnu mere afskækkende at arbejde under en udygtig og politisk styret ledelse, som ikke lytter til fagkundskaben - og som hellere benægter problemer offentligt end fokuserer på at løse dem.

Kære Statens IT, Skat, Rigspolitiet. Digitaliseringsstyrelsen, Rejsekortet m.fl.: Hver gang I forsøger at bortforklare en åbenlys fejl, sender I et klart signal om at kompetente folk skal søge arbejde et andet sted!

6. oktober kl. 22:17
Nets trækker i land om single point of failure i MitID: »Det var et upræcist ordvalg«

Jeg ved ikke, hvad der er værst: At der er single points of failure, eller at de lyver, når man beder om aktindsigt.

Deres nye forklaring er nu ikke meget bedre. Sikkerhed bør ikke baseres på, at svagheder holdes hemmelige.

28. september kl. 10:06
Samme sted, ti år senere...

Det vil da være fint med en havarikommision, der kan undersøge havarier. Men hvis det skal have nogen effekt, skal den have beføjelser til at stoppe defekte systemer/projekter.

Havarikommisioner for jernbane- og flytrafik virker netop fordi de har beføjelse til at stoppe ting: "Den her type fartøj må ikke bruges, før fejl X er fixet".

På samme måde skal en IT-Havarikommision have beføjelse til at sige "Det har system må ikke sættes i drift før X er fixet". Her kan X så være alt fra passwordhashing til projektorganisation.

Kørende systemer skal også kunne stoppes, hvis fejlen er slem nok.

23. juni kl. 14:02
Tidligere ansat: Nedlægning af Skat blandt de største problemer for EFI-afløseren

Lad os acceptere, at hvor Danmark gør sig særlig (dvs. lovgivningsnær IT), der bliver vi nødt til at gå væk fra at skulle standardprodukter som basis

Jamen, hvis vi ikke bruger standardprodukter, hvordan skal vi så sætte det i udbud hvert n. år og starte forfra med et ny standardsystem med utallige tilrettelser?

Med egenudviklet software (som vi selv har kildekoden til), får vi jo mulighed for bare at lave løbende udvikling i stedet for at udskifte hele systemer. Det går virkelig ikke. Tænk på børnene (og de stakkels uformuehavende konsulenthusdirektører).

23. juni kl. 13:42
Ny regeringsaftale om Skats gældsinddrivelse er tavs om massive it-problemer

Laver input-validering.

Fra den linkede artikel:Datafejlene består eksempelvis i tvivl om, hvornår gælden er stiftet, eller om den samme gældspost er sendt til inddrivelse to gange.

Det burde være muligt at sætte krav op, om at stiftelsesdato er udfyldt. Man kunne også kræve, at hver post skulle være markeret med hvilket system, det stammer fra og et løbenummer pr. system. Hvis man så får samme kombination to gange, er det en dublet.

Trin 1 er så, at man nægter at modtage poster, hvor de fornødne felter ikke er udfyldt korrekt. Det vil betyde, at de afsendende systemer vil opleve fejl, men så må de pågældende systemer jo fikses.

Men det vil ikke fange alle fejl. Jeg gætter på, at problemet bunder i, at der er flere systemer indblandet. Forestil dig f.x. at system A håndterer parkeringsbøder i Pladderballe Kommune. Hvis en bøde ikke bliver betalt til tiden, så sendes den til system B, som er kommunens inkassosystem.

Nu ændres arbejdsgangen, så både A og B sender deres registreringer til inddrivelsessystemet. System A rapporterer en ubetalt parkeringsbøde på 700 kr den 1. april (datoen for forseelsen). System B rapporterer en ubetalt gæld på 900 kr (bøde + gebyr) den 7. juli (datoen, hvor B modtog indberetningen fra A). Så kan inddrivelsessystemet kan ikke vide, at det i virkeligheden er samme fordring.

Disse fejl er sværere at finde. Nogle bliver måske først fundet, når borgeren reagerer. Andre kan man måske analysere sig frem til. I alle tilfælde skal der lidt detektivarbejde til at finde ud af, hvad der er sket.

Den rigtige løsning vil være at lukke for tilgang af poster fra både system A og B indtil de har fået styr på det. Men man skal jo først finde ud af, at det er de systemer, der skal blokeres. Og i mellemtiden går det ud over en masse sagesløse borgere.

Det er ganske givet den slags komplekse problemer, de slås med. Men med tilpas konsekvens og fokus på detektivarbejde burde de fleste fejl kunne undgås relativt hurtigt.

22. juni kl. 12:02
Find N Designfejl

Hvis vi skal fortsætte luseægplukningen, har der næppe været elektroniske sognerådsvalg - sognerådene blev nedlagt i 1970. Menighedsrådsvalg, derimod...

Udover det kan jeg kun bifalde indlægget.

20. juni kl. 14:35
Dansk Erhverv fremlægger ni visioner for et digitalt Danmark i 2042: Borgere skal eje og kontrollere egne data

Tigerrådet må have byttet om på cifrene. Hvorfor vente til 2042? Det ville være mere visionært at kræve, at borgerne skal have kontrollen over egne data i 2024.

13. juni kl. 10:59
Tre fejl sendte hele Statens It i gulvet: »Det er ikke hverdagskost«

Tak til Statens IT for at vove pelsen og fortælle, hvad der skete.

Enig, det er yderst positivt.

Og ja, det er nemt at kloge sig fra bagsædet. Men der bør være høje krav til en organisation, der varetager en så samfundskritisk infrastrukturopgave. Selvfølgelig kan fejl ikke undgås, men de kan minimeres ved brug af egnede værktøjer og arbejdsgange.

Mit indtryk er, at Statens It netop ikke anvender sådanne værktøjer, og det bør der rettes op på.

9. juni kl. 14:18
Tre fejl sendte hele Statens It i gulvet: »Det er ikke hverdagskost«

Helt enig med #2.

Statens It er notorisk ved at al konfiguration sker manuelt, åbenbart ved at klikke sig frem i diverse skærmbilleder. Der er ingen forståelse for, hvor mange fejlkilder, det kan medføre.

For eksempel er det ikke ualmindeligt hos Statens It, at firewallregler forsvinder ved en opgradering. Og hvis man som kunde hos Statens It beder om en liste over alle firewallregler, får man efter laang tid et regneark, der tydeligvis er lavet manuelt, og hvor format (inklusiv skrifttyper og farver) skifter undervejs.

Det er så håbløst uprofessionelt, at det er et under, at tingene ikke går horribelt galt meget oftere.

8. juni kl. 11:55
Leder: Statens it-projekter løber fuldstændig løbsk

Først og fremmest skal man indse, at software ikke opfører sig på samme måde som fysiske ting. Man kan derfor ikke bruge de samme modeller for softwareindkøb, som man bruger til f.x. at få bygget vejbroer.

  • Software bør ikke udvikles som "big bang", for ingen kan overskue et komplekst system i nok detaljer til at man kan skrive en anvendelig kravspecifikation. Forståelsen for, hvilket system, man har brug for, opstår først, når det er taget i brug. Man bør derfor starte småt og udbygge.
  • Software kan og bør ændres løbende. Hvis man har brug for ny funktionalitet, kan man ændre softwaren i små bidder i stedet for at smide det hele ud og starte forfra.

Derfor virker det ikke, at man sætter et helt system i licitation - og så efter en nogle år udskifter det under en ny licitation.

I stedet bør det offentlige eje de systemer, de betaler for. Så behøver man ikke smide det hele på porten, når der skal ændres noget.

Men af en eller anden grund har man valgt en model, hvor leverandøren ejer det hele. Det svarer til, at man får bygget et hus, men ikke må ændre noget. Hvis man vil have nye skabe i køkkenet er den eneste mulighed at rive hele huset ned og få bygget et nyt med de skabe, man gerne vil have.

Det kan kun gå galt.

3. juni kl. 13:53
633 virksomheder har søgt hjælp til it-sikkerheden: TDC efterlyser større fokus

Måske synes SMV'erne bare ikke, at TDC Erhverv kan bruges til noget relevant?

Men der er rigtigt, at sikkerheden ikke bliver prioriteret højt hos små virksomheder. Jeg har selv haft mange samtaler af formen:

SMV-chef: Vi vil gerne gøre noget for at få bedre sikkerhed. Mig: Hold op med at bruge [voldsomt usikkert produkt] SMV-chef: Jamen, det er jo så nemt at bruge. (slut på samtale)

27. april kl. 13:38
Rigsrevisionen skal finkæmme statens storforbrug af konsulenter

Så længe staten er så langt bagud med lønningerne, er det desværre svært at tiltrække fagligt tunge medarbejdere. Der bliver så brugt konsulenter for at komme uden om. En bedre løsning var måske at give bedre mulighed for anstændig aflønning for fastansatte i staten.

Der stadigvæk være nogle konsulenter. Her kunne man passende begynde at hyre konsulenter ind efter personlige kvalifikationer i stedet for at købe dem i bundter på SKI-aftaler.

27. april kl. 13:30
KL jubler over ny data-aftale: »Det er en kæmpe, kæmpe lettelse«
Denne kommentar er blevet fjernet af en moderator.
KL jubler over ny data-aftale: »Det er en kæmpe, kæmpe lettelse«

»Når den så er skrevet, har man jo et overførselsgrundlag, der gør, at USA umiddelbart er et sikkert tredjeland at overføre data til. Og så er problemerne løst.«

Tilsæt selv sommerfugle og lyserøde ponyer.

4. april kl. 11:43
Mit.dk er heller ikke på IPv6

Jeg ville gerne bruge IPv6 flere steder, men der er desværre alt for mange udbydere, der ikke tilbyder det.

En af mine kunder hører under Statens IT. De kan sådan set godt få IPv6-adresser, men det er også Statens It, der kører DNS for den, og SIT's DNS-servere har ingen IPv6-adresser.

Så man kan fint sætte en server op med IPv6 og få lavet en AAAA-record. Men folk skal bruge IPv4 for at slå AAAA-recorden op. Så er det jo lidt lige meget.

28. marts kl. 12:49
Dansk virksomhed frygter Analytics-forbud: »Vi bliver fuldstændig blændet«

Alle data er anonymiseret, jeg kan ikke se e-mails, jeg kan intet se på de her brugere. Jeg kan ikke identificere nogen ud fra det, jeg har i Analytics. Jeg kan ikke engang trække en IP-adresse. Så for mig som virksomheden, der bruger det her værktøj, kan jeg ikke se, jeg gør noget forkert.

I denne sammenhæng er det fuldstændigt ligegyldigt, hvad Johan kan se. Det handler om, hvad Google kan se.

"Jeg indsamler bare folks pas og sender dem til Skumle Preben. Men jeg kigger ikke i passene, så jeg kan ikke se, jeg gør noget forkert."

for i en virksomhed som Toolworld, hvor der udover Johan sidder ‘en halv’ person og et par freelancere, er der ikke ressourcer til at vurdere, om det bedste værktøj på markedet – som alle konkurrenterne bruger – kompromitterer de frivillige internetbrugeres privatliv.

Det er muligt, at Johan og kollegaerne ikke er eksperter på området. Men nogen har udviklet en ganske habil hjemmeside til ToolWorld. Så der må være adgang til nogle kompetencer, enten inhouse eller eksterne.

Det er med andre ord kun et spørgsmål om prioritering og at hyre de rigtige folk.

Jeg håber ikke, at Johan regner med at slippe for at lave årsregnskab og afregne moms, fordi de kun sidder en halv person og nogle freelancere og derfor ikke rigtig har ressourcer til det der regnskab.

28. marts kl. 12:24
GDPR vs moderne hjemmesider: Holdninger, jura og gråzoner

Hvor almindeligt er det, at der opsættes tjenester på hjemmesider, webshops, SaaS-løsninger mv, som registrerer IP-adresser og/eller brugeres adfærd?

Siden de første WWW-servere har man haft en server-log, som registrerer mindst

  • Tidspunkt
  • IP-adresse
  • URL: Hvilken ressource (side/billede/javascript/video etc) på serveren, der blev hentet. Ofte også query parameters, f.x. søgestrenge
  • Referer: Hvilken side kom brugeren fra
  • User agent: Browserversion

Jeg tror ikke, at der findes mange hjemmesider, som ikke har sådan en log. Men den er kun tilgængelig for hjemmesideejeren.

I gamle dage brugte nogle denne log til at danne sig et vist indblik i brugernes adfærd på et site.

Senere kom tjenester som Google Analytics til, som bruger JavaScript på siden til at opsamle mere detaljerede oplysninger og sende dem til en logtjeneste (f.x. Google).

Udbredelsen af denne slags tjenester kan nærmest 1:1 aflæses af udbredelsen af cookie-bokse: Det er som regel brugen af sådanne værktøjer, der kræver cookie-accept.

Hvor let er det i dag at finde frem til brugeren bag en IP-adresse, selv hvis man ikke kan få oplysningerne udleveret fra internetudbyderen? Og hvad med "device fingerprinting" og andre lignende tracking teknologier?

Det kommer an på, hvad du mener med at finde frem til brugeren. Der er mange typer identitet. Navn/adresse/CPR-nummer er bare en blandt mange og er ikke nødvendigvis mere korrekt end Facebook-profil, GitHub-handle eller Google-brugernavn.

Som Simon skriver, så er det ikke nødvendigt at kende din CPR-identitet for at kunne målrette annoncer. Du skal bare kunne fastslå en identitet.

Med IP-adresse og fingerprinting kan du ret sikkert fastslå en identitet på en bruger. Test selv med EFF's Cover Your Tracks

Hvis du så går ind på en hjemmeside, der både bruger Facebook og bruger Google Analytics, så kan Google koble din Google- og din Facebook-identitet sammen. Hvis du logger ind på en offentlig hjemmeside, der bruger GA, så kan Google potentielt koble din Google-identitet sammen med din CPR-identitet.

For almindelige mennesker er det ikke nødvendigvis nemt at finde frem til en CPR-identitet ud fra IP-adresse. Men Google ved, hvem du er.

Står den store fokus på cookies og IP-adresser mål med risikoen, også sammenholdt med det høje sikkerhedsniveau der typisk er på tjenester såsom Google Analytics?

Sikkerhedsniveauet er ikke nok. Det er selvfølgelig rart, hvis Google passer på ikke selv at blive hacket. Men anken er primært, at de kan bruge oplysningerne selv, sælge dem direkte eller indirekte, og udlevere dem til myndigheder.

Og er der i øvrigt nogen der kan sige noget om, hvorvidt Googles nye ændringer til GA rent faktisk medfører en substantiel forbedring af privatlivsbeskyttelsen?

Deres "nye ændringer" er bare, at de udfaser nogle ældre versioner af Google Analytics. Og beder folk om at bruge GA4.

Jeg kan se i afgørelsen fra Østrig, at der beskrives, at i hvert fald den ene indklagede ikke har brugt seneste version (GA4). Det ser diog ikke ud til at have været afgørende for udfaldet. Men jeg vil tro, at Google har grebet fat i det strå og håber, at de kan købe tid ved at udfase nogle gamle versioner, som de alligevel gerne ville af med.

25. marts kl. 11:47
Digitaliseringsstyrelsen får kritik af Datatilsynet: Gav uvedkommende adgang til digital post

Det lader til, at de har en rent manuel arbejdsgang. Ud over at det er ineffektivt, giver det også mulighed for den her slags fejl.

24. marts kl. 10:39