Henrik Mohr

Formand for Djøfs Tech-kommission: Genbrug af it-udstyr skal være lovpligtigt

Jeg kan nærmest ikke huske hvornår jeg sidst IKKE har solgt brugt udstyr til genanvendelse hos brokere som sælger refubished hardware. Mindst 20 år har det været rutine i de virksomheder jeg har arbejdet for.

Netværks-, server-, storageudstyr og laptops genanvendes næsten 100% Det eneste som er svært at genanvende ordentligt, er ifølge min erfaring, mobiltelefoner.

11. januar kl. 10:55
No More One-Man-Rule

Så godt du luftede samme hypotese på Twitter. Men hvordan ved du at det var én mand alene som lavede en fejl uden at andre havde kontrolleret den change han skulle lave?

Kan ikke se det i Cloudflares (som altid) meget transparente post incident blog: https://blog.cloudflare.com/cloudflare-outage-on-july-17-2020/

Har i mange år arbejdet organisationer som lavede rigtigt mange changes om dagen, og som alle havde solide principper for peer-review af disse (standard ITIL). Endda med risikovurdering, så de "farligste" fik et ekstra kik af flere øjne end 4.

Selv to mand kan lave en fejl sammen. Rækkefølgen af ændringer (som dette eksempel viser) kan nemt overses. Begge ændringer giver måske fin mening, men det glemmes at tjekke den del. Det kan også være en ip-adresse som er forkert, men drukner i der er mange subnets i den change man laver. 1000 muligheder for fejl som kan overses.

Den vigtigste lære som Cloudflares direktør gør, er den som tjener ham til ære. Han påtager sig ansvaret istedet for at skælde ud på sine teknikere. For det er nemlig ganske rigtigt ham som er ansvarlig for sikre omstændigheder, og tilstrækkelige kontroller af væsentlige ændringer.

https://twitter.com/eastdakota/status/1284310766011600896

21. juli 2020 kl. 14:44
Bane.dk's UX fail

Jeg ved ikke om der er mest brug for ankomstinformation eller hvordan-kommer-jeg-til-en-lille-station. Ideelt set ville der være begge typer information, men hvis der ikke er skærme nok så vil jeg vælge at der er hvordan-kommer-jeg-til-en-lille-station fremfor ankomstinformation. Jeg tror at der er flere der vil finde den information nyttig.

Jeg tror det ved anvendelse af simpel logik vil være indlysende at det primært er folk som skal med toget som kigger på tavler. Oplever ikke så ofte lange køer af folk som skal hente. ;)

P.S. "Min" lille station er Roskilde. Der er vel omkring 15.000 daglige pendlere til, og det samme fra hver eneste dag. I hvert fald indtil de kører alle IC-tog via den nye bane istedet. Så kan det være vi ender med et trinbrædt med 2 daglige afgange.

26. november 2019 kl. 22:33
Bane.dk's UX fail

Den håbløse bane.dk-UX kommer du godt omkring.

Min kæphest er det komplet pointeløse i ankomstskilte som til forveksling ligner afgangsditto. Lav dem dog markant forskellige. Det forvirrer folk som ikke tager toget ofte.

Det samme med "næste tog" som fremstår mere tydeligt end information om det som kommer nu. Hvem skal bruge den information? Spørg en gennemsnitlig passager hvad de vil vide:

Hvor, hvornår, og hvilke stationer stopper toget på.

De nuværende/gamle skilte har den uvane at kun hveranden på Kbh H viser de stationer toget stopper på. Så man skal finde den rigtige skærm for at finde ud af det. Godt man ikke er turist...

Ved heller ikke om andre end måske DSBs personale er så interesseret i tognummeret af det skal stå i rød flammeskrift?

26. november 2019 kl. 21:27
Machine Learning kan fange milliard-svindel - men det offentlige tøver

Nu bringer du selv sundhedsdata ind i debatten.

Der er begejstringen for de nye muligheder ML/AI tilbyder om end endnu større end til anti-svindel/kriminalitet eller "JAMEN, HVAD MED BØRNENE!?"-argumentet som det altid ender med når der ikke er bedre argumenter.

Men vi mangler stadig at se evidens for den store værdi alle påstår, og #dkpol er blevet overbevist om er der. Sundhedsdata har de jo besluttet ikke tilhører individet, men Staten (lige som visse mener folks organer gør det, men det er en anden sag...). Det nye centrale dna-register bruger samme lunke argumentation om at vi kan tilpasse medicinen til individet. Vis os det i virkeligheden! Indtil videre er den primært tilpasset markedsføringen.

Det sted AI har vist sig faktisk at virke, er fx til billedgenkendelse af tumorer, hvor den trænede AI er lidt bedre end selv erfarne læger. Det var det. Det skal vi da bruge alt det vi kan! Men interessant nok kan vi netop det, helt uden at gøre det personhenførbart.

Inden vi lader os begejstre for langt, SKAL vi tale om hvad prisen er for de (eventuelle) langvindinger som kan opnås. Og hvem det egentlig er som betaler for dem. Hvis vi alle betaler med vores privatliv, er jeg ikke sikker på det er det værd.

20. marts 2019 kl. 16:43
Machine Learning kan fange milliard-svindel - men det offentlige tøver

Der er stadig meget langt fra 500 mio til 12 mia. Det er inkl. agressive indsatser i kommunerne og hos Udbetaling Danmark (UDK).

UDK laver jo netop ikke kun manuelle undersøgelser. En del af lovgrundlaget for UDK var at fjerne de barrierer som kommunerne var underlagt som hindrede samkøring af data fra flere systemer. Det gør de i stor stil. Det var en vigtig del af business case, loven og målsætningen med hele øvelsen i at centralisere.

Man må formode at de her mange år inde i den proces har relativt fornuftigt it-understøttede løsninger på at finde snyd og bedrag. Og stadig kommer de ikke op på milliarder. Meget langt fra.

Det du helt overser, er at selv dine overoptimistiske forventninger ikke mødes uden ordentlig behandling med mennesker. Der er noget som hedder retsikkerhed. Det kommer du (heller) ikke udenom med ML.

20. marts 2019 kl. 15:33
Machine Learning kan fange milliard-svindel - men det offentlige tøver

Oh lala! Alle de børn vi aldrig opdager bliver misrøgtede. Og alt det svindel med sociale ydelser vi ville opdage hvis bare vi samlede MERE data og brugte magisk ML-støv og AI-krymmel.

Vi skal bare et halvt år tilbage på dette site for at se præcis hvor meget svindel Udbetaling Danmark opdager. Lad os være flinke og sige 150 mio om året. Der er langt til de påståede 12 mia. Husk at Udbetaling Danmarks business case bla. var baseret på denne anti-svindelmulighed. Vist med forventet 300 mio/år, men lad det nu ligge...

https://www.version2.dk/artikel/12000-borgere-udtages-aarligt-udbetaling-danmark-datatjek-fejl-snyd-1086211

Og det med børnene: VIVE's forskning siger at vi skam har rigeligt med indberetninger allerede. Det er ikke dem vi mangler. Det er at handle på dem vi kan blive bedre til.

Tillad mig også at gøre opmærksom på hvor skidt korrelation nogle af verdens bedste til ML og AI - Google og Facebook - laver hver eneste dag i dit (reklame) feed. Hvor stor er sandsynligheden for at danske myndigheder bliver så dygtige at vi bare kan lade en computer afgøre sagerne?

20. marts 2019 kl. 12:19
Din rådne CPE!

Jeg synes din vrede blog grænser til victim blaming. Det er urimeligt at alm. mennesker skal forholde sig næsten professionelt til noget udstyr de får sammen med en internetydelse.

Du giver jo heller ikke folk skylden for elmålerens mangler. mht. sikkerhed.

Der er vist kun en måde at gøre dette bedre på. Den (gode!) gamle traver om produktansvar. At de firmaer som laver billige skrammel-routere tvinges til at lave dem til et vist tåleligt sikkerhedsniveau, inkl. en pligt til at sørge for at hardwaren er understøttet et passende langt stykke tid med firmwareupdates til mitigering af nye sårbarheder.

12. juni 2018 kl. 17:05
Giv mig dit barns data

Jeg er i en længere dialog med først skolen, og nu forvaltningen. Det er naturligvis ærgerligt for skolen at de ikke kan få nyttig information om børnenes trivsel. Men når STIL og UVM ikke kan finde ud af at gøre det rigtige, må der skrappere midler til. Det medfører desværre lidt collateral damage. Men hvad pokker skal vi ellers stille op? De lytter jo ikke.

Hvis skolen fortsat insisterer på en fortolkning af 'obligatorisk' inkluderer at man SKAL svare på undersøgelsen, må mit barn have fravær den time (eller dag) hvor trivselsundersøgelsen foretages.

Det kan logisk set ikke være anonymt hvis der kun er ét barn som svarer på papir i klassen, og læreren i øvrigt overvåger om der svares.

Jeg håber mange forældre nægter at deres børn deltager. Helst så mange at UVM og STIL gør det eneste rigtige: sletter de uretmæssigt ophobede data, og sørger for at næste års undersøgelse er rigtig anonym (også i Persondatalovens forstand). Det er den eneste måde de vil kunne vinde vores tillid tilbage.

-Henrik

21. marts 2018 kl. 14:39
Juleopgave del 2: Bedre WiFi

Nu skal det ikke være reklame, men efter det som føles som hundrede års udfordringer med forfærdelig wifi, har jeg jeg overgivet mig 100% til Ubiquity.

Deres Unifi-serie er virkelig nem at have med at gøre. Mit wifi virker bare nu! Kan ikke rose det nok. Der er modeller til enhver udfordring. Og deres AP'er kan sagtens køre uden managementsoftware, om end man bliver hooked på alt det man kan med controllersoftwaren når man først har prøvet det.

Som andre har nævnt er der mange fine dimser man kan supplere sit setup med. Management, PoE switche, firewalls med en slags DPI etc.

-Henrik

21. december 2017 kl. 19:46
Infosec for begyndere

De første spørgsmål man skal stille er: Hvem er kommunalvalgets resultat interessant for? Hvad kan man opnå ved at manipulere resultatet?

Det næste er: Hvor godt beskyttet mod manipulation er den samlede valgproces i DK?

Og til sidst kan man så kigge på det tekniske. Er it-understøttelsen af valget passende sikret.

Hvis man ser på den valgpåvirkning vi kender til i offentligheden, betjener den sig primært at misinformationskampagner. I US og Frankrig inkluderer denne muligvis indbrud i it-systemer hos partier og kandidater (fx DNC hacket). Men formålet har vist primært været at miskreditere nogle af kandidaterne.

Der synes stadig at mangle verificerede hacks hvor fremmed magt direkte har manipuleret med selve valghandlingen eller resultatopgørelsen.

21. oktober 2017 kl. 14:48
NemID bliver til MitID - alternative navne

Hvis du kan lave det til en halv miliard, er jeg helt sikker Digst gerne køber løsningen af dig :)

Min pointe var i al stilfærdighed, at der er ret langt fra at kritisere, og komme med løse forslag i en debattråd, til at stå på mål for udvikling, drift og vedligehold af en identitetsløsning til 5 mio. brugere. Detvil altid trække imod velkendte og kendte leverandører (som typisk også har en stor pengekasse man kan sagsøge btw).

Jeg forstår godt det ender med at være en dyr affære. Specielt hvis der skal udvikles Helt Specielle Danske Dimser. Gætter på at de gerne ville købe en velgennemprøvet standardløsning hvis det kunne lade sig gøre. Hvis man kigger på feltet af mulige bydere, ser man også at de er med.

Personligt er jeg ikke modstander af ikke-centraliserede løsninger, eller open source - som en anden debattør forsøger at gøre mig til ved kreativt citat af en halv sætning. ;)

Open source anvendes skam meget også hos alle de store onde leverandører, og vil formentlig også være en del MitID uanset hvem som vinder udbudet i 2018-19.

-Henrik

23. marts 2017 kl. 10:01
NemID bliver til MitID - alternative navne

Du kunne med fordel læse nærmere på det angivne link.

"Følgende leverandører deltog i markedsdialogen: Signaturgruppen, Signicat, IBM Danmark, Safran Identity and Security, KMD, Gemalto, Vasco Data Security, Cryptomatic, Certsign S.A., Nets, Indra og Worldline. Derudover har partnerskabet også modtaget indspil fra Estonian ICT Cluster, TDC og ForgeRock. "

Men inden det, skete dette: http://www.digst.dk/It-loesninger/NemID/NemID-naeste-generation/Dialog-med-interessenter

Så ingen har været forhindret i at hjælpe Digst på vej til gode løsninger, hvis de ellers er kommet ind i kampen et af de mange steder som er blevet inddraget.

I mit verdensbillede har Digst faktisk forsøgt at gøre det bedre denne gang. Lyttet til den massive kritik af tidligere generationers NemID. Det er klogt. For der er mange ting man med fordel kunne gøre bedre i 3. forsøg.

Blandt alle kritikpunkterne vil jeg dog tillade mig at aflive den som du formentlig antyder i dit svar. Det er IKKE realistisk at lave en open source-løsning baseret på løse ideer fra version2. MitID er hardcore kritisk infrastruktur (som vi vist har fået demonstreret utallige gange!), som altid vil ende hos en stor it-leverandør der har bevist de kan håndtere hele kæden af krav. Fra redundant datacentre og HSM'er til compliance og papirsikkerhed.

-Henrik

23. marts 2017 kl. 01:09
NemID bliver til MitID - alternative navne

Det ville dog klæde mandagstrænerne på version2.dk i det mindste at læse hvordan processen med at lave næste generation NemID foregår, inden alt for mange konklusioner om andres inkompetence drages.

http://www.digst.dk/It-loesninger/NemID/NemID-naeste-generation

Fx tror jeg ikke nogen her kom med input da der var inviteret til markedsdialog?

Det er jo netop et udtryk for at Digst forsøger at spørge åbent hvad de burde gøre - INDEN de skriver et udbudsmateriale med en kontraktsum på formentlig en lille milliard.

-Henrik

22. marts 2017 kl. 23:27
Råd: Virksomheder skal kunne anmelde it-sikkerhedsbrud ét sted

Jeg kunne tænke mig at få nogle bud på helt praktiske ting mht. ideen om at samle data for "sikkerhedsbrud".

Hvor trivielle incidents skal rapporteres? Spam? Simpel opportunistisk portscan, malware, probing?

Hvad skal data bruges til? Threat intelligence input? Får vi noget tilbage?

Er alle data offentlige? Hvis de er, hvad betyder det for lysten til at indberette? Hvad nu hvis man er blevet kompromitteret i en grad hvor det truer virksomhedens eksistens, men man ved ikke hvor slemt det er indenfor de 72 timer GDPR kræver?

Hvordan sikres kvaliteten/validiteten af det indberettede? Der er stor forskel på hvad TDC, KMD, CSIS etc. kan vs. en virksomhed uden sikkerhedsfolk eller tunge teknikere.

Der er mange detaljer som er væsentligere end hvordan formularen skal se ud på virk.dk...

-Henrik

22. marts 2017 kl. 23:04
ITHK: Sker der noget ?

Hold nu op. Det er naturligvis kun alle mandagstrænerne på Version2 som er kvalificerede til at sidde i PHKs kommission. ;)

Er der nogen som overvejer om projekter af tilsvarende kompleksitet, omfang, og uklare ejerskaber etc. fejler omtrent lige så meget i det private erhvervsliv?

Ideen om at lave 'retrospektiv' på et fejlslagent - eller ethvert i virkeligheden - projekt er naturligvis god. Men kan vi ikke lige aftale at formålet er at lære af det der er sket? Hele den implicitte dagsorden om at nu skal den håbløse it-branche bare have med PHKs krabask er lidt ensidig.

Bonnerup-rapporten var en start. Digitaliseringsstyrelsen gør en hel del arbejde for at opkvalificere projektstyringen i det offentlige. Bruger business cases og og den slags moderne ting.

Det er så nemt at sidde på tilskuerpladserne og spille klog.

13. februar 2014 kl. 16:13