Men det der går galt indenfor IT idag er faktisk også simpelt, helt ned til ikke at teste sine nødplaner og reagere på advarsler fra skrivningen af sikkerhedskopier.
Jo, men er det egentlig rootcause ? Du har jo selv stykket (og tak for det btw.) en tidslinje sammen, der viser at man gik fra en dagligdag, hvor der blev lavet DR øvelser, hvor det alt andet end lige ser ud som om, at tingene kørte sådan nogenlunde "by the book". Så i jagten på den egentlige rootcause, er at stille spørgsmålet Hvorfor endnu en gang. Altså hvorfor holdt man op med DR øvelser og slækkede på tingene ? Vi skal dybere ind. Rootcause er i 80%+ af de 'IT relaterede haverier' (for at holde jargon'en) noget der har med især People og sekundært Processes at gøre, det er i det mindste min erfaring.
Selvfølgelig er en ITHK ikke en vidunderløsning der på ingen tid gør den bløde gane fast og fodsved til et ukendt problem, men det er en kendt, afprøvet og gennemdokumenteret måde at gøre en branche professionel på.
Igen det er konsekvens, professionalisme og kold analyse der virker, jeg er igen enig i det du skriver:
systematiske, fakta-drevne tilgang til at forhindre gentagelser, ikke også skulle virke med IT?
Jeg tror bare ikke, at vi er der hvor implementeringen af en IT-Havarikommission vil afstedkomme dette. For når du skriver:
og gennemdokumenteret måde at gøre en branche professionel på.
Så viser det jo at du allerede har draget konklusionen, på hvad problemet er. Det er IT-branchen der er problemet. Og hvorom der i mine øjne ingen tvivl er, at de er 'medskyldige', så forklarer det jo ikke alle de offentlige IT-projekter og initiativer, der fejler hvor det er 100% interne projekter, eller hvor en leverandør faktisk har lavet sit arbejde ordentligt. Offentligheden ser kun toppen af isbjerget.
Så der, hvor jeg mener, vi ikke er er alignede, er at jeg mener ikke at IT-branchens professionalisme er rootcause til det vi ser.
Mit bud er simpelt hen mangel på IT-professionalisme i det offentlige, især i ledelse og politisk. Hovedparten af ledere og ikke IT-funktioner, anser stadig digitalisering, som sådan noget der svarer til at købe kuglepenne. Der er store dele i offentlig ledelse, der synes det er en fordel ikke at forstå IT. Forstået som IT virkeligheden. Med det mener jeg IT folk, IT rammeværk, IT metoder, IT processer og IT. Og IT er sådan en ting, der bider hovedet af folk, hvis man ikke gør det professionelt. Man mangler den fundamentale respekt for IT-fagligheden. Det tragiske er så at det gør man også for mange andre fagligheder, så som sundhedsområdet, børnepasning, skoler mv.
Det er så mit take. Og jeg er sådan rimelig sikker på, at jeg ikke rammer helt forbi.
Hvordan kommer vi så det her til livs...
Jeg mener man må tage tingene seriøst og nedsætte en analyse gruppe, som analysere tingene igennem og kommer med en handlingsplan, som så kan implementeres.
Og .. jeg mener.. som jeg også har sagt.. at en IT-Havarikommission, vil være et relevant punkt på en handlingsplan, altså skal implementeres når niveauet af professionalisme i det offentlige er tilstrækkelig højt. Hvilket IMHO betyder, at man er startet på faktisk at have implementeret og faktisk bruge de Feedback mekanismer, der er til at opsamle viden omkring fejl og derved organisatorisk learning, i stort set alle IT rammeværk. Hvis man starter med en IT-Havarikommission, så bliver den opgave den skal løse næsten umulig, fordi tingene simpelt hen står for galt til. Det kræver et vist niveau af professionalisme, før den kan gøre nytte.
// Jesper
Er vi enige om at de andre havarikommissioner virker ?
Ja selvfølgelig.
For mig lyder det nærmest som om du tror at en havarikommission er politisk udpeget blandt de sædvanlige bengnavere ?
Men hvordan skulle de blive anderledes ? Hvad utopi skulle pludselig materialisere sig således, at en ny prestige fyldt org. ikke skulle blive det ? Prøv at læse Jan Heisterberg observationer herover. Og for the record, så har jeg selv skrevet materiale, der skulle i Statens IT-projektråd. Og jeg har været en del af et evaluerings korpset til en anden 'lavere offentlige institutioners' egen versioner af IT-projektrådet. Og jeg har set mine evalueringer blive tromlet, pga. office politics, bare for at se at resultatet af manglende efterlevelse resultere i forsider i pressen. Så jeg er måske bare lidt mere ... brændt end du er.
Hvis vi er enige om at de virker, må du forklare os hvorfor du tror IT er så specielt, at den samme systematiske, fakta-drevne tilgang til at forhindre gentagelser, ikke også skulle virke med IT?
Fordi havarikommissioner typisk eksisterer i meget simplere domæner end IT domænet. Hvis du ser på sådan noget som Togdrift, så er det en meget meget simplere virkelighed end offentlig IT i Danmark. Togdrift implementere jo ikke regler for skat, offentlige ydelser, skoler, politi, you name it. Togdrift implementere togdrift. Og desuden så kører togene jo sådan nogenlunde, vi har kun haft 4 togulykker de sidste 25 år. Vi har formodentlig haft 4 IT ulykker i det offentlige siden du skrev det her blogindlæg. Så både kompleksiteten og frekvensen er meget meget anderledes end f.eks. luftfart og togdrift, for bare at tage to eksempler på hvor der er havarikommissioner.
Du skriver så:
systematiske, fakta-drevne tilgang til at forhindre gentagelser, ikke også skulle virke med IT?
Men så er vi jo helt 100% enige. Det drejer sig netop om systematiske, fakta-drevne faglige evalueringer af fejlede, initiativer (for ikke at begrænse os til projekter). Men for at dette skal virke, skal vi længere ind.. helt ind i sindet (for at citere Rytteriet), nej vi skal sørge for at al IT i det offentlige (også outsourced) praktiserer fakta-drevent feedback, således at organisationen lærer af sine fejltagelser, og at denne læring kan deles både horisontalt og vertikalt.
Og dette ligger f.eks. i Statens IT-projektmodel, det ligger i Agil Udvikling, det ligger i ITIL.. etc. etc. Stort set alle fag rammeværk har denne indbyggede lessons learned mekanisme. Problemet er bare, at den ikke bruges, i Danmark. Organisationerne lærer ikke af deres fejl, og det deles ikke.
I en virkelighed, hvor alle faktisk praktiserede disse best practices ift. feedback, jo så måske kunne en IT-haverikommision måske virke. Fordi fejlede projekter og katastrofer ville være en .. abnormitet.. der ville kræver ekspert kompetence for at udforske og finde ud af, hvad der gik galt, fordi normalen ville være, at kontroller, faglighed og kompetence ville betyde, at generelt så ville ting gå godt ift. IT.
Der er vi bare ikke nu. Reglen er jo ikke at projekterne lykkedes... reglen er, at de fejler. Og en Havarikommission ville jo skulle bestå af tusindvis af mennesker for at kunne behandle alle haverierne, og alt IT ville gå i står. Og ja...
Så vi er ikke uenige om faglighed og fakta. Mere af det tak.
// Jesper
Det argument holder simpelthen ikke, for havarikommissioner virker fint i alle mulige andre brancher, der til gengæld ikke har et "X-projektråd" der er fyldt med lobbyister fra de leverandører der i stort omfang producerer problemerne.
Nu vil jeg ikke kalde medlemmerne af statens IT-projektråd for lobbyister. Det er de langt fra. Man kan kalde dem meget og undrer sig over at de sidder der, når man tænker på deres egne organisationers trackrecord. Men lobbyister ? Desuden er de også dybt afhængige af det sekretariat, der laver rugbrødsarbejdet.
Men du prøver at løse et kapabilitets problem ved at lave en organisatorisk enhed, som du 'cut-n-paster' fra andre brancher. Det bliver nok ikke mere klassisk 1B, centraladministrations måden at forsøge at løse noget på. Og det virker ikke.
Rigsrevisionen kigger udelukkende på IT-projekter fordi der forsvinder så mange penge ind i dem, uden at der kommer ret meget ud.
Det er faktuelt forkert. Hvis du havde ulejliget dig med bare, at følge linket ville du se, at du tager fejl. Man kunne også have besøgt deres hjemmeside og set at de også laver juridisk-kritisk revision og forvaltningsrevision.
Og det at lave en revision af at alle offentlige IT organisationer, havde implementeret og praktiseret de 'feedback' mekanismer, der gør at organisationerne lærer af deres fejltagelser ville virke.
Om man så lavede et kontor hos rigsrevisionen, der hed IT-haverikontoret og som kunne gennemgå 'IT katastrofer', jeg kunne ikke være mere lige glad. Fint for mig.
Men det rigtige ryk, kommer altså ved, at man gør alt det kedelige som involverer People and Processes og at man tager IT seriøst. Altså laver en rigtig business case, arkitektur governance etc. etc. etc.
Tja ja.
// Jesper
Først fremragende gennemgang, og tak for det. Der er jo rootcause og så rootcause, jeg husker engang,hvor jeg var sat til, at sikre at en rootcause analyse faktisk kom frem til rootcausen. Og da Problem mgt. så kom med deres analyse og sagde, at rootcause var kombinationen af en Server og en storage server der ikke var patchet, og mente at så var den ged rundbarberet, var jeg fræk nok til at spørge, men direktøren var til stede, jo at det da var meget godt men, men hvorfor var de ikke patchede ? Ja, man kunne godt sige, at den manglende patching var en teknisk rootcause, men nu var det jo en service vi ydede, og en service består af mere end bare teknik, det er en fuld 360 graders leverance, der indeholde andre ITIL processer (nu practices i ITIL V4), så hvorfor fejlede disse processer der skulle sikre at ting blev patchet ? Det førte til en del tomult, for sådan virkede det jo ikke, men for at gøre en lang historie, kort viste det sig, at det var manglende træning og fejl ift. intern sourcing.
Og jeg synes at PHK stopper lidt for tidligt, for han er jo på rette spor når han siger:
Endelig er der alt det dokumenterne slet ikke kigger på
Og det er jo helt rigtigt, hvis man siger at en Rootcause analyse bliver ved, til den når rootcause, altså ikke nødvendigvis stopper ved en teknisk rootcause.
Så hvorfor stoppede man med at lave DR test ? Hvis man google lidt kan man finde de oprindelige planer for udrulning af MitID, og disse siger jo at MitID skulle være, startet Medio 2021 og afsluttet Ultimo 2021.
Så det kunne måske være grunden til at sidste DR test er:
2020-05-28 Nets tester deres Disaster recovery
Om det så er NETS eller kunden, kontrakten eller ... ja det er jo det som er spørgsmålet. Men det er nok der hunden ligger begravet.
Mht. en IT-Havarikommission. Det at lave en stand alone organisatorisk institution, vil næsten helt sikkert virke lige så dårlig som IT-projektrådet, som jo er ment som en up front konstruktion til, at forhindre at IT projekter går dårligt. Men lets be honest, det virker jo ikke, tingene er jo ikke blevet bedre i den virkelige verden.
Det betyder jo ikke, at kapabilitet (evnen til at gøre noget) ikke skal opbygges i det offentlige. MEN det her drejer sig om en professionalisering af IT i det offentlige. Og her er root cause analyser og Lessons learned i projekter, CSI (ITIL) etc. etc jo netop nogle af de mekanismer, der driver/tvinger forbedringer. Og hvis vi nu fik et IT-ministerium, så ville det jo være det rammesættende focal point for at drive en sådan professionalisering igennem.
Og vi har jo allerede en IT-Havarikommission, den hedder Rigsrevisionen. Og i den kontekst har de jo set lidt på det her:
https://rigsrevisionen.dk/revisionssager-arkiv/2022/nov/beretning-om-statens-it-beredskab
// Jesper
1.7 Millioner ? Så skal det så vidt jeg husker i udbud, og hvis man ikke allerede har evnen til at køre udbud, så skal man enten betale sig fra det og/eller opbygge evnen selv.
Og så er de 1.3 millioner i besparelser vist pist væk.
// Jesper
Vi har et meget stort fokus på at håndtere persondata ordentligt. Derfor er vi også lige nu ved at blive ISO-certificeret både i forhold til it-sikkerhed og persondatabeskyttelse. Det er et andet og højere niveau end blot at være compliant og betyder blandt andet, at vi skal auditeres årligt,«
Ja det er tydeligt at den gode sekretariatschef har da ikke helt forstået, hvad det går ud på. Man må tage sig til hovedet....
// Jesper
IT-Havarikommission nu!
Jamen lad os da endelig give embedsværket endnu en centralt potent værktøj. Det er jo så også den perfekte anledning til at eliminere evaluerings trinnet fra statens IT-projektmodel, CSI trinnet fra driften, Architectural change mgt. og eliminere kapabiliteten til at lave rootcause analyser alle andre steder end en central entitet. Vi kan se frem til et uafhængigt upolitisk fagligt kompetent organ i stil med Projektrådet, datatilsynet og rigsrevisionen.
// Jesper
PS: Måske skulle man læse Mogens Nørgaards seneste klumme i CW, han har nemlig fat i noget.
Gad vide om man har regnet brugernes... altså os borgere... tid med i business casen. For lige nu er der jo kun for cirka 20 kr. økonomisk gevist per borger....
// Jesper
Anne-Marie Krogsbøll skrev: Jeg mener det i betydningen, at beslutningsgangen på det område er alt for inficeret med tech-lobbyister. Det er i mine øjne en korrumperede faktor, selv om der måske ikke i juridisk forstand er tale om egentlig korruption.
Jeg er så absolut ikke uenig i at det er dybt problematisk for Danmark, at vores IT strategiske mål, bliver påvirket/bestemt af, hvad der står på hylderne hos de leverandører der lige er 'IN'.
Man kan så vælge at tro det udelukkende er korruption, eller at inkompetence og magtfuldkommenhed er svaret.
// Jesper
Anne-Marie Krogsbøll skrev: Jeg betragter det som korrupt.
Det synes jeg er stærke ord, ord som nok ikke har hold i virkeligheden.
Problemet med IT i 'det offentlige' starter i toppen, og er bare et symptom på en underliggende manglende respekt for faglighed. Især når faglighed anses for at stå i vejen for den umiddelbare 'lige vej' til et politisk mål.
Vi så det under Corona krisen, hvor SSI skulle 'pakke sin faglighed sammen', vi har set det ift. folkeskolereformen, den politiske nødvendighed ift. at sætte børn i fængsel, klima krisen etc. etc. etc.
Siden Anders Fogh afskaffede smagsdommere er denne udvikling bare accelereret.
Jeg mener også at Jørn Guldberg, principielt er gal på den når han mener, at det er datatilsynet der både skal rådgive og føre tilsyn. Hvis man er et tilsyn så fører man tilsyn. Det der mangler er Arkitektur på et statslig niveau. Vi har ikke en rigtig National enterprise arkitektur funktion. Ja, vi har resterne af noget i Digst under centret for Teknologi og Data, som da laver et godt stykke arbejde, men... ja..
Manglen på forståelse for hvad IT egentlig er og kan gøre, gennemsyrer hele centraladministrationen også på region og kommunalt niveau.
Man tror at IT er sådan noget med at man kan købe en teknologi dims, som man så kan se på om den kan løse nogle af de problemer man har. Helst en IT dims, som er sådan et buzzword.
Et godt eksempel er hele Cloud bølgen, "So ein ding muss ich auch haben" er parolen på tværs af det offentlige.
Men man forstår ikke, ud over at man selvfølgelig skal have behovet, så kræver det at man fundamentalt ændrer måden man ser IT på i organisationen.
Offentlig IT er i Danmark blevet til super tung indkøbs øvelse, hvor fagligheden halter, og værdiskabelsen er minimal.
// Jesper
Jeg vil gerne henvise til Betænkningen om edb undervisning (betænkning 666), som blev udgivet i 1972. Vi er, i det mindste når det kommer til folkeskolen, bagefter de anbefalinger, der gives i rapport. Jeg må konstatere at den 'EDB' undervisning, som mine børn i første og femte klasse modtager i folkeskolen er dårligere end den jeg selv gjorde.
Jeg lærte at tegne flow diagrammer, skrive COMAL 80 i kladdehæfter, nok mest pga. nogle ambitiøse lærere på min folkeskole.
Mine børn lærer at bruge Microsoft word og powerpoint. Og skal ellers så have hjælp fra Far når Onedrive "ikke virker".
I den kontekst er det jo også sigende at man i dag har travlt med at uddanne forskellige, i sær universitetsuddannede samfundsfaglige til, pædagoger, programmører og andet godtfolk som samfundet har brug for.
Vi har tabt .. eller politikerne har modarbejdet fagligheden i alt for mange år nu.
// Jesper
Men en ny vejledning fra datilsynet, har jo ikke ændret loven. Der er ikke noget der er blevet ulovligt, som ikke også var det før vejledningen. Der er ikke noget, der burde overraske kombit. Ud over at vi i det offentlige har mangel på IT faglige kompetencer og et overskud af jurister og administratorer der stadig er opdraget i en ånd fra enevældens tid.
// Jesper
Det vigtigste i den her kontekst er at overlades med sikkerhed er databehandling.
// Jesper
ja, helst dem der er så billige, at det det er for godt til at være sandt. Alt imens vi fastholder manglen på seriøs undervisning i datalogi fra en tidlig alder, og skærer yderligere i hvor mange IT folk der uddannes.
// Jesper
Det er Bertels skyld. Helt basale evner inden for IT området starter i folkeskolen. Man kan jo prøve at læse den her betænkning, som er... ja 50 år gammel:
Det her er et endnu et arrogant politisk fejl af dimensioner, som har rødder tilbage fra i fortiden. En arrogance der bunder i manglen på respekt for al anden faglighed end .. ja ..
// Jesper
Det vigtigste her @AMK er, at biometriske data kan ikke rewokes. Du kan ikke ændre dit DNA, du kan ikke ændre dit fingeraftryk eller mønstret af blodårene i dit retina. Rigtig Rigtig meget af hvad NGC foretager sig vil high risk high impact.
// jesper
Vi var nogen, der foreslog det her for hvad... 3-4 år siden til KL.. tja ja..
// Jesper
Så man har ikke fulgt loven... og nu vil man så ikke stå ved sit ansvar, og så er det bedre bare at lukke øjnene og vente på at fatamoganaer bliver til virkelighed ? Måske er der nogle ilsjæle, der kunne synes det var interresandt at se nogle af de risikovurderinger og konsekvensanalyser, der ligger til grund for KL medlemmers brug af disse services.
// Jesper
Spot on. 100% enig. Måske det bedste indlæg jeg har set fra PHK.
// Jesper
Til gengæld er det idiotisk navngivede "Mit.DK", som alle tror har noget med MitID at gøre, en fiasko af rang, med nu snart halvandet døgns nedetid. Men det har jo ikke noget med Digitaliseringsstyrelsen at gøre! Det er Netcompanys helt eget amatøragtige gøgl og kaos - kan ikke engang stave til "forstyrrelse" i fejlmeddelelsen.
Problemet er bare at når man f.eks. får en mail fra digst, om at man har fået ny post (fik min lønseddel fra en anden offentlig myndighed) så står der:
Log på borger.dk, Virk, e-Boks.dk eller mit.dk for at læse den.
Noget helt andet er så at de fire nævnte hjemmesider er så links i mailen. (Ialt er der 9 links i mailen). Og længere nede i mailen står der så:
Hvorfor er der ikke et direkte link til min Digital Post? På grund af sikkerhed indeholder e-mails om ny post aldrig direkte links. Direkte links kan nemlig misbruges i falske e-mails. Falske e-mails indeholder typisk direkte links til sider, som fx ligner NemLog-in, hvor kriminelle vil prøve at få fat i oplysninger om dit personlige NemID. Klik derfor aldrig på direkte links i en e-mail om ny post.
Jeg er temmelig sikker på, at hvis man ville lave noget phishing, og kopierede mailen og puttede direkte link ind til noget der lignede en login side, så ville en signifikant del af danskerne falde pladask i. Man skal bare lade være med at opdrage folk til at klikke på links i mails.
// Jesper
Jesper Frimann