Nicolai Klausen

Statens it-projekter er skredet med tre milliarder på fire år: »Det er jo borgernes penge«

Måske man skulle starte med at gøre projekterne mindre. Med 97 projekter til en samlede værdi af 14,2milliarder, ligger vi med en gennemsnits pris lige under 150millioner. Der er ikke nogen, der kan overskue et projekt i hoved, der er så stort.

I min optik, må et projekt ikke være større, end én person kan overskue det i hoved.

Jeg var en gang arkitekt på et offentlig projekt, hvor vi havde en kontrakt med krav på over 3500 sider. I så store kontrakter, kan én person ikke overskue alle konsekvenserne, så naturligvis var der både krav fra kunden og løsninger fra leverandøren, der ikke kunne lade så gøre samtidig. Udbudsmaterialet var tydeligvis lavet af flere forskellige teams, ligesom leverandøren havde svaret via flere forskellige teams - Selvom man snakker sammen, kan man simpelthen ikke sikre, at alle krav og løsninger er uden modstridende krav eller løsninger.

En anden afdeling i et firma jeg engang var i, arbejdede på et offentlig projekt, som skulle køre i 4 år. De fuldt næsten planen, men var i mellemtiden blevet ligegyldige, for loven var lavede om og de offentlige departementer flyttede rundt, så de færdig gjord og fik betaling for et projekt, som der ikke var nogen der skulle bruge...

Hvem husker ikke Amanda, som tog så lang tid (selv uden alle forsinkelserne), at teknologien, som det var byggede på, var forældet da det blev færdigt og Arbejdsmarkedsstyrelsen i mellemtiden var lavet så meget om, at det ikke kunne bruges og da det var lavede på forældet teknologi og havde en række problemer, blev lukkede kort efter det gik i luften.

Små projekter har mindre risiko.

25. november kl. 10:44
MitID, Aula og kommunen skraber bunden: Her er brugernes dom over de offentlige it-løsninger

Det helt store problem med e-boks og mit.dk er, at det ikke er dig som borger der vælger, men afsenderen der vælger.

Havde det være en åben model, hvor jeg som borger kunne vælge - lige som jeg kan vælge email udbyder og alle andre email udbyder kan sende til mig, uanset hvilken udbyder jeg vælger. Havde digital sikker post, være et rigtigt godt eksempel på et område, der kunne være flere udbyder... I stedet er det blevet et eksempel på, hvordan man ikke skal lade flere udbydere være samtidig!

22. november kl. 12:23
Få så lavet gov.dk

Det var den oprindelige ide med borger.dk, at ALT borger interaktion med det offentlige, skulle ske gennem borger.dk. Det er et stykke hen af vejen lykkes, men i mål kom de ikke.

22. november kl. 10:04
MitID, Aula og kommunen skraber bunden: Her er brugernes dom over de offentlige it-løsninger

Man få hvad man betaler for... Hvor mange offentlige monopol systemer, belønner deres leverandør, for at brugerne er tilfreds med løsningen? Jo vist, der stilles krav til brugervenlighed, men jeg har ikke set et eneste udbud, hvor der var kontant belønning for at lave et system, der af borgerne, blev anerkendt som en god løsning (det er dog snart 6 år siden, at jeg sidst var med til at svare på et offentlig udbud).

Beløn leverandøren for at lave en løsning, som borgerne godt kan lide.

Kig på om udbuddet kan laves laves, så flere leverandør kan lave interaktionen med borgerne, og lad dem få betaling for hvor mange borger, der vælger deres løsning (ja, det er nok ikke mange steder, hvor en sådan model, vil kunne tages i brug, uden at forvirre borgerne)

22. november kl. 10:01
Hver fjerde dansker stempler MitID som 'dårlig'

Hvis det ikke kan garanteres, så kan der heller ikke garanteres at dine data ikke bliver hacket - uanset om (kun) du er har root adgang eller ej.

Det er en meget speciel garanti at stille... ALLE slut bruger enheder skal betragtes som hacket og nul data på en slut bruger enhed kan der stoles på - Bygges sikkerheden i noget som helst op omkring andre antagelser, skal man bare spørger sig selv: "Hvor mange har en enhed, der er bedre sikret end Angela Merkel?

22. november kl. 09:50
Hver fjerde dansker stempler MitID som 'dårlig'

[geshifilter-]Der er ingen tvivl om at sikkerheden grundlæggende er højere i MitID, end i NemID[/geshifilter-]

Korrekt, der er absolut ikke nogen tvivl - MitID er markant mere sårbar over for denial of service end NemID

21. november kl. 20:07
Hver fjerde dansker stempler MitID som 'dårlig'

[geshifilter-]En rooted telefon kan aldrig betegnes som sikker - og det handler ikke om bootloaderen er åben eller ej[/geshifilter-] Min telefon er ikke rooted, den har en åben bootloader!

Men ligger sikkerheden i, at en slut bruger enhed ikke er kompromitteret, er der ikke sikkerhed! En hvert slut bruger enhed skal antages at være komprimeret. Det skal simpelthen være antagelsen, at der er nogen der har uhindret adgang til at gøre hvad de vil på enheden (forhåbentlig er det ejeren af enheden , men det SKAL antages at nogen har det). Alle andre antagelser om slut bruger enhed end kompromittede, er en en fejl, da alle enheder kan kompromitteres, det er kun et spørgsmål om vilje, før en slut bruger enhed er komprimeret - Angela Merkels mobil var komprimeret af NSA... Der er næppe mange almindelige danskere , der har enhed der e bedre beskyttet end hendes...

21. november kl. 20:04
Hver fjerde dansker stempler MitID som 'dårlig'

NemID var ikke nogen god løsning (den blev dog bedre med tid), men NemID gav et kraftigt løfte i forhold den digitale signatur, som den afløste.

MitID virker nogle gang som forventede, men giver mig ikke nogle muligheder for noget, som jeg ikke kunne før.

Hvis en ny løsning succesfuldt skal erstatte en tidligere løsning, er den nød til at bidrage med noget, der ikke var muligt før.

MitID ikke giver mig nye muligheder og tilmed ikke altid virker - Nøj hvor har jeg prøvet mange gange, at godkendelser i MitID ikke registeres i programmet, der forespørger godkendelsen - og det leder helst sikkert til, at der er mange (muligvis mig selv inklusiv), der kommer til at godkende noget anden end forventede og ikke opdage det, fordi, det er normalt det ikke registeres i programmet, der forespørger en godkendelse.

Min rejse ind i MitID var en katastrofe! Jeg var låst ude af min netbank, fordi MitID antog, at min mobil var rootede, fordi OnePlus mobiler har en åben bootloader (og selv hvis den var rootede, så må sikkerheden ikke ligge i, at min mobile ikke er kompromitterede og igen har root adgang til den, uanset om det er mig eller andre, der har root). MitID afviste mig totalt, fordi de havde hævet sikkerheden, ved at afvise rootede mobiler og det var derfor mit problem (og ikke deres fejl antagelse, at en mobil med åben bootloader er usikker). Banken ville ikke give mig adgang, før jeg havde skiftede til MitID. Heldigvis havde jeg ikke nogle aktiviteter, der krævede, at jeg loggede ind i netbanken i perioden! Da MitID endelig finder ud at, at en mobil med åben bootloader, skal accepteres, var min indrolling i MitID gået baglås og jeg skulle derfor igen have fat i MitID support, for at komme videre - Forestil jer en, men begrænsede IT kompetencer skulle igennem den mølle...

MitID bliver naturligvis betegnet som en succesfuld afløser af NemID, fordi næsten alle borger med tiden får MitID. Men der er langt vej til, at MitID ser fra et bruger perspektiv, er en succesfuld afløser af NemID.

21. november kl. 12:00
»Eklatant brøler« i MitID: Alle kunne logge på med usikre CPR-numre

Jeg forstår ikke, at vi har ET digitalt ID... Vi brude have EN protokol (gerne en der allerede findes) som alle kan implementere. Myndighederne skal så certificere virksomheden, procedurerne og implementeringen.

24. oktober kl. 13:15
Dansk ekspert slår fast: USAs nye dekret har ikke løst cloud-krisen

Uanset hvad der menes om USA, så er deres lovgivning ikke kompatible med EU lovgivning.

Næste spørgsmål er så, om man mener USA eller EU skal ændre sin lovgivning, så de bliver kompatible, eller om begge skal fasthold sin lovgivning og dermed forblive inkompatible...

11. oktober kl. 14:27
Dansk ekspert slår fast: USAs nye dekret har ikke løst cloud-krisen

Med overførelse af data menes ikke kun hvilken server data ligger på, men også hvis data tilgås af medarbejder eller systemer i lande uden for EU.

Så ja, firmaer underlagt USAnsk lovgivning (og sikkert også lovgivningen i mange andre land uden for EU), er forpligtede til at gøre data tilrådighed for personer i deres hjemlande, f.x. efterretningstjenesterne - Det netop underskrevet dekret, ændre ikke på dette punkt, hvilket også er årsagen til, at alle der ikke lever af, at sælge løsninger baseret på platforme ejet af firmaer i USA, siger at Schrems III dommen mod, den nye data aftale er givet...

11. oktober kl. 14:21
Statsministeren har udskrevet valg: Partier sender ulovligt borgeres data til Google

Hvad siger de enkelte partier, når Verson2 spørger dog om deres ulovlige løsninger?

5. oktober kl. 22:04
Første jura-professor i offentlig digitalisering: »Jeg vil hellere give programmørerne et jura-kursus«

De første var klart jurister der tolkede lovgivning, det øvrige var jurister og forretningsfolk der sammen beskrev tekniske krav.

4. oktober kl. 17:45
Første jura-professor i offentlig digitalisering: »Jeg vil hellere give programmørerne et jura-kursus«

Mest alm tilfælde, er modstridende krav til rækkefølge, fx hvem har første prioritet, eller hvad skal gøres først. Et eksempel her på, var et projekt hvor der ikke var nok af "noget" til alle og der derfor var definerede en rækkefølge på hvem der er havde første prioriteret, desværre gav en række undtagelser til den generelt definerede rækkefølge flere, der alle var første prioriteret. Et andet var hvilken skat, der skulle på lægges først, hvilket gør en forskel, når det ikke er brutto beløbet der beskattes i alle skatter, men beløbet inklusiv alle de allerede pålagte skatter.

Compliance krav om ting der skal være og ikke må være, er også ret alm, altså ting der skal være fraværende samtidige med, at de skal være tilstede. Et eksempel her på, var et projekt jeg var på, hvor der var et krav omkring, at alt trafik skulle to vej krypteres end-to-end, så data først kunne læses, når det var kommet ind i applikationen (nøglen her til, ikke måtte være tilgængelig andre steder end i applikationen) og lytning på et hvilket som helst sted i netværk ikke kunne resultere i læsning af data, samtidige med, at der var et krav om, at alle netværks pakker skulle scannes via deep packet inspection, før det ramte applikation, så der kunne lave "intrusion prevention system" istedet for "intrusion detection system" og selvom begge krav gav god mening, kunne de ikke lade sig gøre samtidig, da data jo ville være krypterede med en nøgle, som ids'en ikke måtte kende.

Et andet eksempel, der ikke var modstridende krav, men manglende teknologi forståelse, var et projekt jeg var på, hvor alle interfaces have nogle svartids krav, desværre var kravende sat på en måde, der betød jo mere du begrænset hvor meget data du fik ud, jo længere tid havde vi til at svare, kravet var regnet efter sidste bit i svaret og tilføjelse af flere søge kriterier påvirkede ikke nævneværdig søge tiden, men i stedet mængden af data der blev sent tilbage. Så vi havde længere tid til at svar på forespørgseler, der fyldt mindre, selvom data mængden i svaret, var det udslagsgivende i svartiden. Et andet i samme projekt var svartids krav til en kø, selvom brugen af kø var valgt for at øge throughput, som vi kunne tage i mod større mængder data, ud at afsenderen skulle vente på svaret. Så istedet for at stille krav til antallet af request og størrelsen på den, der kunne modtaget pr sekund (der var formålet), var kravet hvor hurtigt vi kunne ack hvert enkelt sendt data. Så selvom kravet i sig selv kunne give mening, understøttede kravet ikke formålet med, at der skulle være en kø.

4. oktober kl. 16:32
Første jura-professor i offentlig digitalisering: »Jeg vil hellere give programmørerne et jura-kursus«

Fantastisk ide med "udviklingsjurister", men det virker på mig, som en noget arrogant tilgang, at det kun skal være udviklerne, der skal lære jura, når Hanne Marie Motzfeldt siger hun prøvede programmeringskursus "og kunne ikke bruge det til noget som helst." og siger "Jeg ved ikke, om det ikke er lidt naivt" og "Jeg vil hellere give programmørerne et jura-kursus. Juristerne skal have forståelse for, hvordan teknologierne fungerer.", så vi kan undgå "Chancen for, at juristernes input bliver læst og implementeret i en it-løsning, er lig med nul".

Måske juristerne skal starte med at kigge lidt ind af og tænke over, hvorfor "Chancen for, at juristernes input bliver læst og implementeret i en it-løsning, er lig med nul".

Jeg har som software arkitekt læst rigtig mange kravspecifikationer, input, noter, dokumenter og andre former for kommunikation fra jurister, der ikke har tjekket om deres "ønsker og krav" kan "kompilere"... Mængden af krav der over hovedet ikke kan lade sig gøre, grundet alvorlige modsigelser, er bestemt ikke til at overse og jeg gætter på, at en langt større del af årsagen til de mange kulsejlede projekter skal findes i den ekstreme mangle på teknologiforståelse hos krav stillerne og lovgiverne, kombinerede med overdrevet behov for at detaljere alle krav så dybt, at den manglende teknologiforståelse sikre modstidende krav - Selv hvis ALLE i implementerings projekterne læse alt fra juristerne, ændre det ikke på, at modstridende krav ikke kan implementeres.

Jeg tænker, at den fantastisk ide med "udviklingsjurister", skal arbejdes lidt mere med og sikre, at både folk der ser sig selv primært som it-folk og jurister kan se sig selv om "udviklingsjurister", så begge sider af ordets sammentrækning kan bidrage til succesfulde projekter og det ikke alene er it-folk, der skal underkaste sig jurister og kæmpe den umulige kamp, for at kompensere for juristernes inkompetencer.

4. oktober kl. 09:40
Her er tallene bag nedskæringen på Datatilsynet

Datatilsynet har et indbygget problem.

Datatilsynet skal bruge finansiering fra en delmængde af dem de føre tilsyn med og når deres tilsyn giver resultater finansiering kilden ikke bryder sig om, begrænses finansieringen...

16. september kl. 16:58
Dødt link i ejendomsvurderinger kan blive dyrt for boligejere

Det virker som en umulig opgave, at foretage en fair lagerbeskatning af et objekt, der muligvis ikke har været handlet i mange år.

Der er så mange elementer der spiller ind på prisen af en bolig, at der næppe ud fra et mangelfuldt datagrundlag, kan gættes en realistisk pris at beskatte ud fra.

7. september kl. 15:10
Ungdomsuddannelse betaler overpris til Statens IT: Må ikke vælge en billigere leverandør

Når det er lovbestemt, er det ikke et monopol der sådan lige bliver brudt...

26. august kl. 17:27
Ungdomsuddannelse betaler overpris til Statens IT: Må ikke vælge en billigere leverandør

Når man har monopol, er der ikke nogen grund til at levere en bedre service til en relevant pris.

26. august kl. 11:42
Ungdomsuddannelse betaler overpris til Statens IT: Må ikke vælge en billigere leverandør

Den gang SIT blev grundlagt, blev det i sidste øjeblik valgt, at fjerne projekt rådgivning og overvågning af projekt status fra SIT. Det valg var vi mange der så som en beslutning om at bygge SIT, som noget der lige som Kommune Data og Data Centralen, kunne sælges...

26. august kl. 10:43