Dette indlæg er alene udtryk for skribentens egen holdning.

Danmark er ikke noget IT foregangsland

24. oktober 2014 kl. 11:5626
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Når Rigspolitiet ikke har styr på IT sikkerheden tager man sig uvilkårligt til hovedet.

Men er det egentlig så svært at forstå hvorfor ?

Her er Rigspolitichefens officielle hjemmeside

Nu ved jeg godt han er nogenlunde ny i jobbet, men kig på hans mini-CV og spørg så dig selv om du med den baggrund ville være i stand til at omsætte de meget generelle, men bestemt ikke helt ubrugelige, krav i lovgivningen til organisatoriske tiltag ?

Artiklen fortsætter efter annoncen

Selvfølgelig ikke.

Men vi kommer ikke uden om at det er hans job at gøre det, med eller uden Rigsrevisionen kritiske kommentarer, er det hans job at sikre at politiet overholder landets lov.

Omvendt, hvis han havde en solid IT sikkerhedsmæssig baggrund, ville han sikkert kigge på MF'ernes iPads og sukke "Nå, mere vigtigt end som så er det altså heller ikke ?"

I netop tilfældet Rigspolitiet er sagen utroligt speget, for vi kommer ikke udenom POLSAG, der skulle løse alle politiets IT problemer.

Men i min optik understreger det blot min pointe: At indføre regler om (person)datasikkerhed, uden at sikre at der var de nødvendige resourcer og penge til rådighed var bare luftkartofler og vindfrikadeller.

Det tror jeg godt Folketinget vidste, for ingen af de relevante love indeholder sanktioner der kommer i nærheden af hvad man kan risikere ved at køre for hurtigt på landets landeveje.

Frustrationen hos de myndigheder der skal holde øje med datasikkerheden, primært Datatilsynet, men kun i svagt mindre grad Rigsrevisionen, Digitaliseringsstyrelsen og Center for Cybersikkerhed var til at tage og føle på til høringen i forgårs.

I mange år har skiftende politikere peget på antallet af overbetalte ADSL linier og PC-kørekort og kaldt Danmark et IT foregangsland mens IT folket vantro har rystet på hovedet af flosklerne.

Hvor er uddannelsen der producerer systemadministratorer til driften af kritiske IT systemer ?

Hvor er uddannelsen der proucerer IT arkitekter ?

Hvor kom IT-principper, IT sikkerhed og persondatasikkerhed ind i Cand Polit. studiet ?

Hvor er den ansvarsgivende autorisationsordning for persondataansvarlige ?

Inden længe kommer EUs persondatadirektiv. Det var der ikke megen entusiame for fra statsadministrationen i forgårs og ifølge mine kontakter i kommissionen har Danmark modarbejdet enhver form for bid eller konsekvens i direktivet fra start til slut.

Jeg ved ikke om det er frygt for at alle skelletterne skal vælte ud af skabene, hvilket de utvivlsomt vil gøre hvis direktivets krav om indberetning bliver til noget, eller om det er bekymring for hvad det kommer til at koste faktisk at implementere datasikkerhed, frem for bare at pege på de love ingen, selv ikke statens egne organisationer, overholder og lade som om vi har løst problemet for længst.

Men tiden er langt over inde til at tage emnet seriøst og det vil primært sige at give lovene og tilsynsmyndighederne det nødvendige bid.

Men sekundært betyder det også at Folketinget skal holde op med at behandle IT som et mirakelmiddel der kan skære 12% af ethvert budget, bare man skriver "IT-rationaliseringer" i finanslovens noter.

IT er en samfundstransformativ teknologi på niveau med ild, elektricitet og automobiler og den skal behandles med samme seriøse tilgang.

Vi har funktionelle brandkrav, brandindspektører, brandslukningsudstyr, brandvæsner og brandforsikringer.

Vi har elektricitetslov, autorisationskrav, kortslutningssikringer, fejlstrømsafbrydere, netansvarlige, CE mærker og sikkerhedsstyrelsen.

Vi har færdselsloven, færdselspolitiet, skolepatruljer, cykelstier, gangbroer, motorveje, kørekort, typegodkendelser, forureningskrav og obligatoriske syn.

Men på IT området har vi reelt intet, bortset fra Datatilsynet der er bemyndiget til bestemt at henstille at solstolene skal stilles tilbage i stativet på Titanics dæk.

De love vi har kan omkostningsfrit ignoreres, problemerne uanset størrelsen kan frit begraves i baghaven, ingen er nogensinde ansvarlige og der er intet produktansvar overhovedet.

Men vi nærmer os en kant, den kant hvor computerne er årsag til så meget ragnarok at politikerne bliver tvunget til at reagere.

Forskellige overlæger jeg har talt med, anslår at de forskellige EPJ systemer allerede har slået ca. 400 danskere ihjel før de ellers ville være døde. (Præcis hvor mange dage, måneder eller år det i det enkelte tilfælde drejer sig om er de ikke meget for at skyde på.)

Inden længe vil vi se de første folkepensionister der dør fordi de ikke kan finde ud af kommunens IT selvbetjening, eller fordi der sker "en computerfejl" -- det er udelukkende et spørgsmål om tid, alle dominobrikkerne er linet op og står klar til at vælte.

Det ville klæde vores MF'er at de for en gangs skyld handlede uden at gøre det i panik over at Ekstrabladet har pisket en stemning når "det er også alt for galt".

Her er nogle forslag:

  1. Produktansvar for software. (Mere konkret forslag her)

  2. Strafansvar og erstatningsansvar ved læk af persondata. (Som et absolut minimum på linie med miljølovgivningen.)

  3. IT Havarikommission, så vi alle kan lære af vores fejltagelser.

  4. Autorisationsordning for IT sikkerhedsansvarlige. (lige som for elinstallatører, VVS osv.)

  5. Tilsyns og kontrolmyndigheder med magt og bid.

  6. IT uddannelser der kan klæde folk på til at leve op til lovens bogstav.

Hvis vi gjorde noget i den stil ville Danmark faktisk blive et IT foregangsland og ikke bare det land der først havnede i IT-grøften.

phk

26 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
26
29. oktober 2014 kl. 07:02

System administration er aldrig noget som jeg har set præsenteret som et separat fag i Danmark, og det er trist. Det drejer sig ofte om at der bliver set lidt ned på dem som "bare drifter" systemerne, selvom det er et vigtigt område og kræver ansvar, modenhed og mange andre gode kvaliteter.

Det at sikre systemerne altid er overvåget, altid har fri plads på disken, får opgraderet hardwaren løbende til opgaverne der vokser, sikrer at alle relevante rettelser kommer på indenfor passende tid er IKKE noget der sker automagisk. Det er langt mere end blot at installere en Nagios og så måske reagere på nogle SMS'er.

Jeg stødte engang på LOPSA, og de har selv lidt information om deres virke. Blandt andet promovere og fremme system administration. Det er vigtigt at faget bliver løftet, og før det sker kan vi slet ikke begynde at tale om kritiske systemers drift.

The League of Professional System Administrators (LOPSA) is a nonprofit corporation with members throughout the world. Our mission is to advance the practice of system administration; to support, recognize, educate, and encourage its practitioners; and to serve the public through education and outreach on system administration issues.

Kilde:https://lopsa.org/AboutLOPSA

20
27. oktober 2014 kl. 10:18

Jeg er som sådan yderst enig i PHKs kommentar (men her læner jeg mig i virkeligheden op af personer, jeg anser for væsentlig mere kompetente end mig på det pågældende område).

Men i bund og grund er jeg fløjtende ligeglad. Jo, det ville da være rart hvis politikere / embedsmænd ikke så IT som en spareøvelse (jeg kender iøvrigt ikke til nogle reelle besparelser som følge af IT. Alle jeg kender i det offentlige (stat som kommune) har rapporteret det modsatte). Og jo, det ville da også være fint med en mere rimelig (retfærdighedsgivende) lovgivning i forhold til brud på samme.

Men når alt kommer til alt, så er det jo pivligegyldigt, når vi til stadighed har et embedsapperat, der ignorerer at sundhedsudgifter og dødstal som følge af livsstilssygdomme er en større trussel som samfundet end nogen terrorist (medmindre denne har en A-bombe i megaton størrelsen); når vi har et sundshedssystem, der er ret gode til at holde folk i live, men elendige til at holde folk arbejdsduelige.

IT-området kan for min skyld sejle ad helvede til. Og jeg ville ønske en så begavet person som PHK havde fokus på et område, der for alvor har konsekvenser for hele landet; for løses de problemer ikke, bliver der alligevel ALDRIG råd eller behov for den sags skyld til ovenævnte forslag.

Mht. tilsynet til FE (CFCS) så har tilsynet krav på at kunne møde op uanmeldt og få adgang til enhver oplysning, person og sted de måtte ønske. Dette kan ikke fraviges pga "nationens sikkerhed" el. lign. Så at tilsynet ikke har mulighed for at udøve deres opgave, passer ikke. Og nej, de er ikke tandløs. (kilde: FE)

21
27. oktober 2014 kl. 11:18

Men når alt kommer til alt, så er det jo pivligegyldigt, når vi til stadighed har et embedsapperat,

Jah. Apparatet tränger muligvis til et service-eftersyn og en holdnings-justering.

Muligvis - fordi man desvärre ikke kan udelukke (ligesom med EU-politikken) at politikerne behöver syndebukke for "den nödvendige politik" og artiklerne om embedsmandsvärkets egenrådighed synes at "peake" lige for tiden; uden at man dog hörer om konkrete konsekvenser af deres påståede ageren.

http://jyllands-posten.dk/indland/ECE7145879/Milj%C3%B8minister-skal-st%C3%A5-skoleret-om-pesticid-snyd/http://jyllands-posten.dk/politik/ECE7143592/Folketingspolitikere-har-mistet-tilliden-til-Justitsministeriet/http://politiken.dk/oekonomi/virksomheder/ECE2436490/skat-erkender-beklagelig-fejl-men-naegter-at-foelge-naevnsafgoerelse/

23
27. oktober 2014 kl. 14:01

Ad Frithiof A. Jensen: Jeg vil egentlig godt rette mig selv der. Der skulle have stået "embedsapparat og en samling folkevalgte". (nb. læg mærke til stavekontrollen på apparat der :D)

Ad Michael: se det sjove er vel egentlig, at Digitaliseringsstyrelsen ikke aner hvad de har at gøre med. Jeg vil vove den påstand at gode udviklere, systemdesignere og arkitekter er lige præcis "analytisk skarpe generalister". Og nok også i en liga over den gængse cand. pol. :D

19
27. oktober 2014 kl. 09:45

Jeg var også til nævnte høring og er helt enig i dine betragtninger. Cybersikkerheden i Danmark er for ringe. Bjarne Corydon og Margrethe Vestager holder "skåltaler" og roser sig selv over Digitaliseringsstrategien, men gør intet for at sikre befolkningens personfølsomme oplysninger og metadata. Det er kun provenuet der tæller. Befolkningens sikkerhed er man ligeglade med. Det er ren hykleri fra de to politikeres side og de instanser der burde gøre noget ved problemet - Datatilsynet, kontroludvalget, tilsynet med efterretningstjenesterne, Digitaliseringsstyrelsen, Center for Cyber(u)sikkerhed- er alle "tandløse" og ineffektive.

17
27. oktober 2014 kl. 00:00

Jeg har stor respekt for PHK's talløse klummer om rigets sande tilstand indenfor IT-sikkerhed, -infrastruktur, -integration/digitalisering og ikke mindst projektledelse. Og jeg er stort set enig i hans fleste samfundskritiske indlæg, men må desværre endnu engang konstatere: Der er nok af udfordringer at gå i gang med som politiker, eks. Havarikommision, hvor en liste over de sidste 10 års offentlige IT-projekter, ved blot en sammenligning på budgeterede pris og leveringstid vs. faktiske pris og leveringstid skulle være nok til at kunne se noget var kørt helt af sporet, men ...

  1. Generelt har politiske ordførere og ikke mindst ministre sjældent fagligt indsigt i deres respektive områder
  2. Der skal ikke særlig meget faglig debat eller analyse til, før den respektive politiker (jf. ovenstående punkt) må overlade det til en kommission eller et råd, hvor DJØF'er ofte er rigt repræsenteret , og derfor har svært ved at se om den ene løsning er bedre end den anden; og måske i sidste ende vælger at lytte til person med pænt jakkesæt og hvid skjorte, end en person med løs T-shirt påtrykt en pingvin. 3 Jeg har personligt skrevet til Debatten på DR2 om at tage dette emne op (og tilladt mig at henvise til Version2), og fik som svar at man altid var glade for at modtage input og ideer. At man så mener at Danmarks deltagelse i Syrien eller finansering af flygtningelejre er mere relevante end Danmarks IT-tilstand, tyder måske bare på at IT stadigt betragtes som en fjernt og nørdet område for ordstyrer og redaktion samt at man for pro-IT-debat folket ikke formår at sælge problemstillingen godt nok - uanset hvor mange klummer man skriver. Jeg frygter at hvis man ville ofre en hel times Debatten på DR2 til dette område (for at starte et sted), ville "eksperterne" blive de herrer fra det famøse program "Harddisken" på P1, måske nogle advokater samt nogle politikere der har IT-politik som bi-område (uden nogen praktisk erfaring eller holdning).

Derfor synes jeg det var sundt at der blev rusket lidt op i nogle politikere, da man illustrerede hvor skrøbeligt CPR-systemet er, ved en sag der florerede tidligere i år.

Så en egentlig IT-debat lobby ville få min fulde opbakning. Den ville så både skulle have personer med faglig baggrund og/eller gode kommunikationsevner, der om nødvendigt skulle konfrontere politkere personligt med udnyttede sårbarheder i de respektive personers private brug af computere.

Så desværre er der stadig lang vej, for at få afmystificeret IT-området, selvom mange betragter det som en selvfølge i deres hverdag, for at kunne få en IT-minister.

18
27. oktober 2014 kl. 08:22

Derfor synes jeg det var sundt at der blev rusket lidt op i nogle politikere, da man illustrerede hvor skrøbeligt CPR-systemet er, ved en sag der florerede tidligere i år.

Som jo så desværre pt er parkeret der hvor man i vanlig dansk stil har varetægtsfængslet to "terrorister" - for så har systemet jo fundet nogle syndebukke, og så er alt jo godt (efter centralmagtens mening).

Og så slipper man jo også behændigt at forholde sig til selve problemet.

Der er desværre rigtig, rigtig lang vej igen, og det er op ad bakke hele vejen.

15
26. oktober 2014 kl. 14:08

Helt helt enig.

Jeg kender en del meget dygtige sysadm'er. Alle gået gennem en mesterlære hos gl sysadmer, idet deres ingeniøruddannelse ikke var meget bevendt.

Kunne være sjovt at se en opgørelse over uddannelsen for sysadm's feks på vores universiteter - det er nok nemmere at få adgang til disse end i firmaer. Og det er sysadmer som PHK definerer dem ikke edb teknikkere. Jeg vil gætte på at det er en skøn blanding af folk med uddannelse som ingeniør, folkeskolelærer, matematiker osv osv der alle har tilegnet deres færdigheder "con amore" :-)

11
25. oktober 2014 kl. 12:53

Stramt, præcist, målrettet og umådeligt praktisk. Til alle politikere og ansvarshavende: Ikke at handle på listen er utvetydigt at erklære: "Jeg VIL ikke se". Tak PH!

8
25. oktober 2014 kl. 10:32

Det er gode pointer der er i artiklen.

Men hvor er fx virksomhederne der siger fra?

Det undrer en smule at fx ITEK er så tyste i debatten.

Hvor er virksomheden der åbent siger nej til en it-opgave, fordi den ikke er juridisk holdbar?

10
25. oktober 2014 kl. 11:56

Den er her:

Nej, desværre ikke engang tæt på.

Du overså at jeg skrev kritiske IT systemer.

Til almindeligt kontorbehov gør datateknikerne sikkert god fyldest, men hvis vi taler om vigtig infrastruktur, persondata og angrebsinviterende IT installationer, så er datateknikerne overhovedet ikke klædt på.

De lærer for eksempel overhovedet ikke noget om persondataloven de steder jeg har spurgt.

Datateknikeren er en håndværkersvend, jeg spørger hvor vi uddanner maskinmestre og driftsingeniører.

Svaret er "ingen steder" for IT branchen har aldrig taget driftsopgaven alvorligt, der er stort set ingen forskning, praktisk taget ikke nogen lærebøger og overhovedet ingen akademisk interesse.

12
26. oktober 2014 kl. 01:57

De lærer for eksempel overhovedet ikke noget om persondataloven de steder jeg har spurgt.

Jeg husker at jeg på fjerde hovedforløb havde et 3 ugers fag som hed datasikkerhed, hvor vi skulle udfærdige en IT-sikkerhedspolitik baseret på ISO/DS/IEC-27001. Bemærk at uddannelsen varierer fra sted til sted, og dette var i Ballerup.

On-topic: Måske uddannelsen ikke er helt optimal til kritiske systemer, men eftersom det er den eneste IT uddannelse i Danmark som overhovedet beskæftiger sig med drift, så må det være et godt udgangspunkt. Hvad er alternativet?

16
26. oktober 2014 kl. 19:45

@ Anders

It teknolog uddannelsen har da fokus på drift..?

Det kræver godt nok noget mere end en 9. klasse men det er vel ikke nødvendigvis dårligt.

13
26. oktober 2014 kl. 10:35

Det er værd at bemærke at de organisationer som har været i mediemaskinen med sikkerhedsproblemer, læk af persondata m.v. formentlig alle har en velskrevet og gennemarbejdet sikkerhedspolitik baseret på ISO-27001 eller tilsvarende.

En del af problemet består af disse to møntsider:

1 - Softwareudvikling kan sammenlignes med at konstruere bygninger - med den underliggende arkitektur inkl. metoder m.v. Man kan glemme eller udelade adskillige ting og stadig ende op med noget der i en eller anden udstrækning er funktionsdygtigt. (Eventuelle rettelser og uønskede mellemrum mellem konstruktionselementer kan dækkes med puds, trælister, tæpper etc.)

2 - Hvis der skal sikkerhed med ind i billedet så svarer det mere til at bygge dæmninger end at konstruere bygninger. Det hjælper ikke meget at ingeniøren siger: Vi har et hul ovre i den ende, men alt i alt er det en god konstruktion.

14
26. oktober 2014 kl. 12:48

Det er værd at bemærke at de organisationer som har været i mediemaskinen med sikkerhedsproblemer, læk af persondata m.v. formentlig alle har en velskrevet og gennemarbejdet sikkerhedspolitik baseret på ISO-27001 eller tilsvarende.

Det har du nok ret i, men et er at have en beskrevet standard et andet er at effektuerer standarden og intentionerne bag. Man skal også tænke på at flere af projekterne er gået galt fordi man har forsøgt at gøre ting som teknisk set ikke er muligt (polsag f.eks.). Det indikerer at de tekniske projektledere enten ikke har det fornødne overblik eller at de ikke har haft magt til at skære igennem til de rette tekniske løsninger.

6
24. oktober 2014 kl. 16:04

Åbenbart.

PHK nævner det selv; der skal først folk til at dø pga. en edb-fejl før politikerne gør noget. For en bilanalogi bør man huske på at I mange år (fra 1880erne til omkring 1910) anså man automobiler som et stykke legetøj og færdselslove var kun dem man havde tilbage fra hestevogne (som der stadig var flertal af), hvilket primært involverede at man skulle holde til højre.

Det tog da også et par biluheld at få staten til at kræve identifikation af bilerne. Men der var ikke tale om nummerplader, man tegnede bare nummeret på karosseriet og så var den i vinkel. Og man måtte selv finde på nummeret, så det skete ofte at nogle numre var de samme.

Og kørekort? Det kom først meget senere. Stelnumre kom først i 1950erne. Tyskerne var her mere fremme i skoene, da de allerede i 1910 havde rigtige nummerplader og kørekort.

Der vil desværre gå tid endnu før politikere (verden over) får øjnene op for hvad edb egentlig er for en størrelse.

Forskellen på edb og så ild, elektricitet og automobiler er vel primært at det tog mange årtier før statsapparatet overhovedet begyndte at bruge de andre teknologier, mens gerne med det samme ville ud og skaffe datamater til papirarbejdet. De glemte blot at der nok skal komme et tidspunkt hvor det fylder mere end blot nogle få hobbyister. Lige som automobilerne i gamle dage, men edb er jo slet ikke det samme, så det kan man vel heller ikke lære noget af.

25
29. oktober 2014 kl. 04:34

... når man ikke kan den. Indrømmet det er off topic, men når David Rechnagel Udsen kommer med en række forkerte oplysninger må de korrigeres - også selv om de ikke er så relevante for hovedemnet. Tildeling af registreringsnumre blev indført i København i 1902 og numrene tildeltes af politiet. Samtidig indførtes kørekort.http://nrpl.dk/doc/LTA1902.pdfI 1903 indførtes det for hele landet.http://nrpl.dk/doc/LTA1903.pdfDet er korrekt at man i de første år kunne male numrene på bilen, men der var nøje regler for stregbredde og højde på bogstaver og tal. Og som sagt var det politiet der udleverede og registrerede numrene.

2
24. oktober 2014 kl. 12:32

Version2 mangler muligheden for at man kan give en artikel, ikke kun kommentarerne til den, en thumb up.

Så hermed en verbal thumb up.

5
24. oktober 2014 kl. 15:12

Men på IT området har vi reelt intet, bortset fra Datatilsynet der er bemyndiget til bestemt at henstille at solstolene skal stilles tilbage i stativet på Titanics dæk.

Danmark er ikke Titanic, vi er ikke ved at synke! Vi er flyvende! Hvis noget så er Datatilsynet bemyndiget til bestemt at henstille at solstolene skal stilles tilbage i stativet på Hindenburgs dæk.

/joke

Men mere seriøst så er det ufattelig at der ikke er nogle af chaufførerne der kan se at vi er på vej ud over afgrunden, selv om hele bussen råber "pas på"

1
24. oktober 2014 kl. 12:17

"IT er en samfundstransformativ teknologi på niveau med ild..."

Hmm..OK, men man kan løse problemer langt hurtigere med ild ;-)

Jeg er iøvrigt fuldstændig enig i PHK's betragtninger. Specielt mht. IT-havarikommission.

Jeg vil blot indskyde at mange af de problemer som "digitaliseringen" forsøger at løse er af social art og man kan ikke løse sociale problemer ved bare at smide teknologi efter dem.

7
24. oktober 2014 kl. 16:22

Jeg vil blot indskyde at mange af de problemer som "digitaliseringen" forsøger at løse er af social art..

Socialt nej... som PHK jo lister er det jo ligegyldighed overfor borgernes data i fuld offentlighed. Kongen er dum og rådgiverne er snu så alle opfører "Kejserens nye klæder" endnu engang.

Hvis man kunne koble 'grøn', 'pædagog', 'natur' eller lignende på digitalisering, så vil der konstant ses tusinder af kittelklædte og deres utallige foreninger tæske løs i medierne.

Men det er it (mystiske æsker med ledninger), så borgens 179 valgte, ministre + spinfolket + embedsværket ser kun it på samme måde som vores kloakering..

  • foretrækkes lugtfrit, usynligt samt 'nogen' tager sig jo nok af det.
  • 'rotter' betyder intet, så længe de ikke ses og de forbliver i 'kloakken'.