Monthly Archives: April 2014

Jeg lovede igår at skrive et blogindlæg om Nets og IBM’s sikkerhedsproblem.

Lad mig starte med at slå fast at uanset hvor afskyeligt jeg på alle måder finder blade som Se og Hør, med deres middelalderlige kvindesyn, skadefro bedreviden og kyniske destruktion af mennesker i jagten på profit, så handler den her sag ikke om Se og Hør, den handler om Nets og IBM.

Og om vores politikere.

Der er rigtig mange ting der bør graves i, så jeg tager dem bare på uprioriteret listeform, så kan I selv sortere.

10.000 kr/måned ?

Det første der slog mig var beløbets størrelse. Jeg er sikker på at Se og Hør kunne have betalt mere og at “vor mand hos IBM” gerne ville have modtaget mere. Det lugter lidt af at der var en begrænsning på hvilke personer eller hvilke kreditkort (eller evt. hvor mange?) der kunne laves “trace” på, som har begrænset denne business opportunity. Mere om det om lidt.

Den anden side af sagen er at hvis man kigger i Prosas eller IDAs lønstatistikker, så er 10.000 egentlig ikke så stor en lønforhøjelse for folk i den tunge ende af branchen.

Havde han også andre “kunder” end Se og Hør ?

God, Root, what is difference ?

Hint: Userfriendly

Folk hvis titel starter med “system-etellerandet” har som regel ret god adgang til at gøre hvad fanden det passer dem med både hardware og software.

Det kan godt være at der er logfiler der registrerer hvad de foretager sig, men dem har de også adgang til, ofte er det ligefrem dem selv der har ansvaret for at læse logfilerne og bemærke om der sker noget usædvanligt.

Jeg kender selv jobbet indefra. Jeg har brugt nætter og weekender på at få ting til at virke efter “mindre uvæsentlige software opdateringer”, balanceret filsystemer og databaser, debugget kerner og devicedrivere osv. osv. Jeg har faktisk fået et timeregistreringsystem til at advare om at uret muligvis gik forkert, fordi jeg i en periode arbejdede mere om natten end om dagen.

Jeg har også modtaget skideballer for at møde til frokost, fra folk der ikke ville fatte at jeg havde været der indtil klokken seks om morgenen og bare havde været hjemme og få et brusebad, en portion havregryn og to timers søvn. Jeg har også taget på vandreferier i Finland, alene fordi jeg vidste at der var over tyve km til nærmeste telefon og selv hvis de fandt telefonnummeret til den, talte den kun finsk og anede ikke hvem eller hvor jeg var.

Og nej, det er egentlig ikke ret behageligt at sidde og rode med noget der overhovedet ikke virker, mens IT-chefen, Finansdirektøren og den Administrerende står og kigger dig over skulderen, mens de snakker om hvad de skal gøre hvis ikke regnskabet kan offentliggøres imorgen klokken 10 som lovet.

I virksomheder hvor ting virker, er systemfolkene blandt de mest betroede og værdsatte medarbejdere: Der er aldrig noget pis med dem og ting virker, eller kommer til det meget kort tid efter at man beder om deres hjælp. Omvendt ved chefen at når de siger “vi skal bruge en XXXX” så skal der skrives under på en indkøbsordre og hvis de siger “det er en dum ide” skal der tænkes om. Lønnen er sat fornuftigt.

I virksomheder hvor ting ikke virker er der åben skyttegravskrig, næsten helt ud i BOFH-agtige tilstande, med rigide krav om udfyldning af timesedler fra den ene side, lige så rigide krav om service-vinduer og afspadsering fra den anden side og “uafhængige konsulenter” til at vurdere om det nu også er en XXXX der er brug for. Lønnen er ofte sit helt eget Dybbøl.

Alle andre kan personaleafdelingen muligvis slippe afsted med at behandle som “udskiftelige resourcer”, men i dette lille hjørne af firmaet bliver de nødt til at smøge ærmerne op og gøre et ordentligt stykke arbejde og det falder dem åbenbart utroligt svært. Kun én personalehåndbog har jeg set, som åbent og ærligt skrev “For systemafdelingen gælder særlige regler på grund af deres særlige arbejdsvilkår.”

Systemfolk er et “fact of life”, selv ikke NSA med deres uendelige budget kunne undvære folk som Edward Snowden og ingen der aner hvad de taler om, tror på at deres projekt med at automatisere den slags jobs når nogen steder.

I min optik har PBS/Nets/IBM et meget stort forklaringsproblem:

Hvordan kan en medarbejder i en så betroet stilling være til falds for kun 10.000 kroner om måneden ?

Ja, det er nemt undskylde sig med “et enkelt bråddent kar” med rod i privatøkonomien, men er det ikke netop hvad man har “moderne personaleledelse” til at forhindre ?

Var der slet ikke nogen advarselstegn ?

Hvad med MUS-samtalerne, var det bare skuespil ?

Og præcist hvad er en “sikkerhedsgodkendelse” egentlig værd, når det kommer til stykket ?

Den tekniske facilitet

Der er ingen tvivl om at der findes en facilitet i betalingskortssystemerne der gør at man kan sætte et “trace” på et bestemt kort, jeg ved faciliteten existerer i andre lande når Visa/Mastercard skal håndteres og jeg kan ikke forestille mig at Danmark er nogen undtagelse.

Det er uden tvivl også den facilitet politiet anvender og de vil formodentlig gerne have at det er real-tid, så de kan anholde folk de er efter, f.eks skatteål på weekendbesøg osv.

Sender faciliteten ligefrem en SMS i real-tid ? Det ville være en indlysende måde for Nets og senere IBM at undgå en masse papirtransaktioner: Kriminalassistent (1. grad) Thormod Jensen skriver simpelthen sit mobilnummer på dommerkendelsen og så kommer data bare væltende ind.

Hvis Datatilsynet ikke var en parodi på sit navn, ville de have sparket døren op så snart de havde læst gårsdagens avis, for at se nærmere på den facilitet, inden nogen byggede den om.

Er der nogen logfil med hvem der tilføjer/sletter den slags overvågning ?

Er der en logfil der viser hvilke beskeder der faktisk er sendt og til hvem ?

Er der nogen der faktisk læser disse logfiler ?

Er der en positiv liste med hvilke telefonnumre der kan sættes på listen ?

Og huskede PBS/Nets/IBM at kigge listen igennem da de fyrede medarbejderen ?

Har IBM et problem ?

Det er ikke indlysende for mig at IBM har et juridisk problem.

IBM har lavet en eller anden driftaftale og har i den forbindelse overtaget de medarbejdere der skulle udføre den, men selve systemerne og procedurene har de overtaget “as is” og det er helt sikkert at enhver forandring skulle godkendes af Nets, hvis ikke ligefrem initieres af Nets.

Selvfølgelig pynter det ikke på IBMs omdømme, men jeg har set nok IBM kontrakter til at vide at aben helt sikkert er parteret så hele liget ligger på Nets side af bordet.

Men IBM var for nogle måneder ude med en nyhed om at de ville fyre en masse specialister og hyre dem ind på “nul-time kontrakter” når der var brug for dem.

Hvorledes rimer dette med jobs som dette, hvor det eneste der står imellem data og misbrug er medarbejderens integritet ?

Ville en medarbejder der ikke aner hvor mange timer han kan få lov til at arbejde næste måned være langt mere fristet til at finde kunder som Se og Hør ?

Jeg håber rigtig meget at IBM får et kommercielt problem ud af den her sag:

I min optik bør sagen få alle der har outsourcet IT drift til udenlandskejede virksomheder til at genoverveje om de faktisk får mere værdi og frem for alt mere sikkerhed for pengene på den måde.

Det vil kræve utrolig solid dokumentation før jeg tror på at svaret faktisk er “ja”.

Har PBS/Nets et problem ?

Om de har!

Der er sket brud på et antal love og kontrakter og alle fingrene peger direkte på at det var PBS/Nets der skulle sørge for at det ikke skete.

Men kan de faktisk holdes til ansvar for deres svigt ?

Nej, det kan de formodentlig ikke.

Jokke og Danielsen kunne muligvis anlægge sag i byretten om brud på privatlivets fred mv. men det er ikke klart om de kan gøre det imod andre end Se og Hør.

Visa/Mastercard kan muligvis brokker sig forhold til deres franchise kontrakt, men de har ingen grund til at vise tænder, tværtimod, de vil sikkert gøre alt for at distancere sig fra sagen.

Og datatilsynet ?

De har formodentligt stadig råd til at printe et par ark hvor de udtrykker bekymring og til frimærke til konvelutten, men så er deres budget, resort og kompetencer nok også udtømt.

Og Kriminalassistent (1. grad) Thormod Jensen, vil utvivsomt forklare unge Holm at sagen er politisk og at politiet derfor Absolut INTET foretager sig. (Med mindre ministeren ringer, naturligvis.)

Og ministeren ringer ikke, for der er igen minister der har ansvaret for borgernes privatliv og sikkerheden i offentlig IT.

Har Danmark et problem ?

Ja og det er ikke noget nyt problem.

For blot få uger siden forsikrede politikere og direktører det ikke anede en skid om hvordan computere faktisk virker og hvilke udfordringer drift og vedligehold af computere med personfølsomme oplysninger udgør, at der overhovedet ikke var nogen problemer I at sælge Nets til udlandet.

Det er utroligt sjældent at vi som IT-sikkerhedsfolk allerede så kort tid efter kan synge “Hvad sagde vi?” sangen, men denne gang er der en smule håb for et pædagogisk fremskridt.

Ovenikøbet kommer sagen to dage efter at en dommer i USA fastslog at firmaer med forretning i USA er tvunget til at udlevere data fra deres udenlandske besiddelser hvis USAs myndigheder beder om det, en dom der omfatter alle “the usual suspects” CSC, IBM, KMD, Google, Microsoft osv.

Og nogle måneder efter at kørekorts- og Schengen-registrene blev hentet på en piv-åben FTP server hos CSC.

Så jo: Det var og er allerhelvedes store IT-sikkerhedsproblemer i at Nets blev solgt til udlandet, uanset hvad der blev skrevet med småt i denne eller hine kontrakt eller aftale og beviset derfor er nu plastret ud over alle avisforsider.

Kritisk dansk IT infrastruktur, hvad enten det er CPR, EPJ, eBoks, NemID eller Dankortet, bør drives af staten selv, i et statsejet datacenter, bemandet med statstjenestemænd i vellønnede sikre jobs, så deres loyalitet aldrig kommer i tvivl — og da slet ikke for 10.000 sorte kroner fra et smudsblad.

Endnu idag sidder en svensker på guderne vide hvilken måned og helt uden god grund varetægtsfænglset her i Danmark, for at have demonstreret hvor elendig sikkerheden er i de offentlige IT-systemer der er blevet ansvarsparteret af outsourcingkontrakter med store udenlandske virksomheder som ikke kan drages til ansvar for noget som helst.

En fornuftig politisk reaktion på denne sag, ville være at frafalde alle anklager imod denne svensker, give ham en uforbeholden undskyldning og tilbyde ham jobbet som øverste chef og ansvarlig for IT-sikkerhed og privatlivsbeskyttelse i alle IT systemer der omfatter mange danske borgere.

Han er bevisligt langt mere kompetent til det job, end alle dem der idag har travlt med at bevise at det ihvertfald ikke var deres ansvar.

phk

»Der er ikke grundlag for at tro, at amerikanske efterretningstjenester har ulovlige efterretningsaktiviteter rettet mod Danmark og danske interesser.«

Sådan har det officielle svar fra regeringen lydt, hver gang der dukkede spørgsmål om NSA’s massive og verdensomspændende overvågning op, og på et samråd tirsdag eftermiddag i Folketingets retsudvalg, blev den sætning gentaget – med små sproglige variationer – igen og igen.

Justitsminister Karen Hækkerup og forsvarsminister Nicolai Wammen svarede på spørgsmål fra især Pernille Skipper fra Enhedslisten – som havde indkaldt til samrådet – og fra Venstre og Liberal Alliance.

Anledningen var artikler i Information, som beskrev hvordan NSA-dokumenter, lækket af Edward Snowden, beskrev brugen af ’signal intelligence’ ved klimatopmødet COP15 i 2009 i København. Det harmonerer ikke med regeringens standardsvar, mente Pernille Skipper, som efter flere forsøg fik en lille slags forklaring fra Karen Hækkerup.

»Der er jo dokumentation for, med NSA’s egne ord, at NSA har udført Signal Intelligence over for et klimatopmøde afholdt i Danmark. Er det fordi, det ikke er sket, eller at alle andre tager fejl – eller fordi det er blåstemplet af danske efterretningstjenster?« spurgte Pernille Skipper.

»Der kan også være en helt tredje løsning – at der ikke er grundlag for at antage, at der er indhentet ulovlige oplysninger mod Danmark eller danske interesser – og så kan man selv tolke sig frem til det sidste,« lød det kryptiske svar fra Karen Hækkerup.

Det mente Pernille Skipper ikke var godt nok i et demokratisk land.

»Regeringen har den ene sætning – og så må man selv tolke sig frem til resten. Så er spørgsmålet, om det er acceptabelt, at borgerne i et demokratisk samfund skal tolke sig frem. Enten så er alle de her afsløringer, som er kommet fra Snowden, det pure opspind. Eller også sker det med dansk tilladelse. Og så har danske borgere efter min mening krav på at vide det,« sagde hun.

Kafkask med afvisningerne

Også Venstre greb fat i ministrenes standard-afvisning og fandt den i sig selv mistænkelig.

»Det bliver jo lidt kafkask i forhold til afvisningerne. Det kan i sig selv give anledning til at tro, at der foregår alt muligt. Jeg tror, at der foregår en masse overvågning, men lovligt, med danske myndigheders tilladelse, og så er det jo en relevant politisk diskussion, hvad omfanget skal være,« sagde Karsten Lauritzen fra Venstre.

Justitsministeren forklarede på samrådet, at der var meget, som efterretningstjenesterne ikke kunne lægge åbent frem, blandt andet på grund af forholdet til de efterretningstjenester fra andre lande, som man samarbejder med.

»Vi bliver nødt til at erkende, at man ikke kan lægge alt frem og tage en plenardiskussion. Det betyder ikke, at der ikke skal være demokratisk kontrol, og det er derfor, vi har kontroludvalget og andre kontrolinstanser,« sagde Karen Hækkerup, med henvisning til to udvalg, det ene med fem folketingspolitikere fra de fem største partier, som med tavshedspligt kan få mere indblik i efterretningstjenesternes arbejde.

»Vi taler under ministeransvar. Det er ikke sådan, at vi lyver, men der er ting, vi ikke kan lægge åbent frem. Det handler ikke om, at vi ikke vil gøre noget ved overvågning – der gøres mange ting – men det er noget, vi ikke kan lægge åbent frem,« sagde justitsministeren også.

Undervejs i samrådet understregede hun, at hvis andre landes efterretningsfolk skulle arbejde lovligt i Danmark, er det på samme vilkår som PET og Forsvarets Efterretningstjeneste er underlagt, altså at følge retsplejeloven, herunder for eksempel krav om en dommerkendelse, hvis personer skal aflyttes.

Ambassadør kunne ikke afvise overvågning af statsministeren

Et af de spørgsmål, Enhedslisten havde bedt om svar på, var den amerikanske ambassadørs udtalelse i et interview på DR2, hvor ambassadøren ikke kunne afvise, at den danske statsminister blev aflyttet.

»Han kunne ikke sige ’naturligvis overvåger vi ikke den danske statsminister’. Er det ikke bekymrende, at man kan afvise det i forhold til den tyske kansler, men ikke i forhold til den danske statsminister?« spurgte Pernille Skipper.

Justitsministeren gentog den faste sætning om, at der ikke var grundlag for at antage, at amerikanerne ulovligt har efterretningsaktiviteter rettet mod danske interesser – heller ikke mod danske ministre eller danske folketingsmedlemmer.

»Jeg hæfter mig ved, at ambassadøren klart understreger, at alt hvad amerikanerne gør, er koordineret med Danmark,« sagde Karen Hækkerup.

Den generelle diskussion – eller mangel på samme – om overvågning og borgernes rettigheder blev også taget op af oppositionen.

»Der mangler en erkendelse af, at der er et overvågningsproblem i Danmark. Før vi har den erkendelse, kan vi ikke diskutere det. Det er da mærkeligt, hvis Tyskland og de andre lande har et overvågningsproblem – men ikke her. Skal vi virkelig vente på et folketingsvalg, før socialdemokraterne erkender det?« sagde Simon Emil Ammitzbøl fra Liberal Alliance.

Også Enhedslisten bemærkede, at den danske regering – modsat de fleste andre lande – ikke forholder sig til NSA-afsløringerne, men blot gentager, at der ikke er grundlag for at antage, at der sker ulovlig overvågning fra amerikanernes side.

I sin indledende melding forklarede justitsministeren i øvrigt, at der er masser af spionagetrusler mod Danmark og danske interesser – for eksempel mod forsvaret og mod forskning på universiteter og i private firmaer.

»PET vurderer, at en række lande i dag aktivt bedriver spionage mod Danmark. Når der kun har været meget få offentlige sager om spionage i Danmark, skal det ikke tages som et udtryk for, at det ikke sker herhjemme,« sagde Karen Hækkerup.

Se hele samrådet på folketingets webside.

De danske og europæiske patentregler giver allerede i dag masser af plads til softwarepatenter. For undtagelsen, der forbyder softwarepatenter, bliver fortolket meget snævert og gælder i praksis kun selve kildekoden.

Sådan lyder det fra Peter Borg Gaarde, patentadvokat og partner hos patentbureauet Høiberg.

»Det er en vildfarelse at tro, at man ikke kan tage patent på software i Europa, eller at der er stor forskel på reglerne i USA og Europa. Forskellen er undtagelsesbestemmelsen, men den skal fortolkes snævert og dækker computerprogrammet i sig selv, altså kildekoden bag et program,« forklarer han til Version2.

Man kan få patent på tekniske løsninger på tekniske problemer – herunder også fremgangsmåder, som bliver udført på en computer. Og kildekoden, som man altså ikke kan patentere, er i forvejen beskyttet af ophavsret. Men at reglerne giver mulighed for softwarepatenter, betyder ikke at det er nemt at tage et patent på software.

»Det er en udfordring at skrive softwarepatenter, for man er oppe imod alt, som er offentliggjort tidligere. Og nogle gange er det afgørende spørgsmål, om det er teknisk nok, eller om det er en mental proces, for eksempel om det er ren matematik,« siger Peter Borg Gaarde.

Læs mere om muligheden for softwarepatenter i Peter Borg Gaardes indlæg på DenFri.dk.

Et forsøg på at tage patent på flekslån-konceptet faldt således til jorden, fordi det var for meget matematik og for lidt teknisk, mens cookies nok godt kunne blive patenterede, hvis princippet om at websider placerer små tekstfiler lokalt på de besøgendes computere blev opfundet i dag, lyder vurderingen.

Men det berømte eksempel med Amazons patent på ’1 Click’-nethandel – at man kunne købe noget i Amazons webbutik med bare ét klik – blev forkastet i Europa.

»Amazons forsøg på at patentere det i Europa faldt på manglende opfindelseshøjde. Det handlede ikke om softwarepatenter eller ej,« siger Peter Borg Gaarde.

Enhedspatent har ikke noget med softwarepatent at gøre

På samme måde handler den nuværende diskussion om ja eller nej til det europæiske enhedspatent slet ikke om softwarepatenter, selvom nogle forsøger at dreje debatten i den retning, mener han.

»Det er en pseudo-diskussion at koble softwarepatenter på afstemningen om enhedspatent, for et ja eller nej vil ikke betyde noget for, om vi har softwarepatenter eller ej. Diskussionen er bare blusset op igen, fordi man tror, at Danmark har en speciel fortolkning, men det er en misforståelse. Hvis danske domstole skal behandle et softwarepatent, vil det ske efter samme praksis som i resten af Europa,« siger Peter Borg Gaarde.

Til gengæld vil antallet af patenter, som gælder i Danmark, stige med et ja til enhedspatent, og dermed også antallet af softwarepatenter.

»Der vil være mange flere patenter, som får effekt i Danmark, fordi mange i dag vælger Danmark fra, når de søger patent i Europa, fordi vi er et lille land. Med enhedspatent vil flere patenter gælde i alle landene. Det kan nej-fløjen godt bruge som argument. Men hvis man vil tiltrække virksomheder, er det jo godt at være et patentvenligt land, højt oppe i værdikæden, hvor man har rettigheder, man kan beskytte,« siger Peter Borg Gaarde.

Den modsatte nationale strategi er at have dårlig patentbeskyttelse og tiltrække virksomheder, som vil lukrere på andres ideer, men det er en kortsigtet strategi, mener han.

Forstår ikke ‘fråden om munden’

At der blandt softwareudviklere er modstand mod softwarepatenter, undrer patentadvokaten. ’Trusselsbilledet’ mod små softwarefirmaer er også blevet overdrevet kraftigt, mener han.

»Jeg forstår ikke den fråde om munden, det giver hos softwareudviklere, når man taler om patenter. Man behøver ikke som softwareudvikler at være hverken mere eller mindre skræmt over patenter end alle mulige andre brancher. Det er jo ikke anderledes for en lille snedker, som udvikler en dims, som også kan være omfattet af patent. Men softwarebranchen vil gerne have, at der gælder andre regler for dem,« siger Peter Borg Gaarde.

Den sædvanlige fortælling om store, onde globale firmaer, som kan køre de selvstændige udviklere og små firmaer over med alverdens urimelige patentsager mangler modspil – for i virkeligheden er et patent også i høj grad de små firmaers mulighed for beskyttelse.

»It-branchen burde være moden til, at man beskytter sin investering. Vi har hjulpet flere it-virksomheder med at sikre sig rettigheder til den teknologi, man har opfundet. Har man ikke beskyttet de immaterielle rettigheder, vil investorerne ikke røre et firma med en ildtang. Det handler ikke kun om at beskytte en opfinder, men også virksomhedsejeren, der betaler opfinderens løn, og aktionærerne i firmaet,« siger Peter Borg Gaarde.

Selvom der efterhånden er kommet de samme muligheder for at tegne softwarepatenter i Europa som i USA, er det næsten kun i USA, man hører om store patentsager på it-området. Det handler om erstatningsreglerne i USA, der er skruet sammen helt anderledes, og som giver mulighed for langt større ’gevinst’ end i Europa.

»Lovgivningsmæssigt kunne man sagtens forestille sig samme slags sager i Europa, men der er bare mange flere penge i det i USA. Af samme grund skal man ikke som lille udvikler frygte patentsager, for de bliver ført for at tjene penge, og det har en lille udvikler jo ikke. Vi kender ikke ret mange eksempler på folk, som er blevet stoppet af et stort firma med et softwarepatent,« siger patentadvokaten.

For patentsystemet generelt, altså uanset om det handler om software eller ej, vil et ja til europæisk enhedspatent også være en fordel for de små virksomheder, mener Peter Borg Gaarde.

»Det koster i dag en formue at få et patent i hele Europa, fordi det skal valideres i mange lande. Det er virkeligt mange penge man skal bruge på oversættelser og en masse administrativt arbejde, som ikke kommer nogen til gode. Og skal man håndhæve sit patent er det også dyrt. For eksempel forsvarer Lundbeck hårdnakket lykkepillen i hvert enkelt land, men det er meget dyrt at gøre. Og det er kun en fordel for de store virksomheder,« siger han til Version2.

Version2 og Ingeniøren afholder i dag 30/4-2014 debatmøde om det fælles EU-patent og EUs patentdomstol. Følg liveblog derfra på Version2 fra klokken 13.

Er du kunde hos Telia, og har du ikke såkaldt VIP-status, så kan teleoperatørens interne medarbejdere godt snage i almindelige privatkunders telefonregning og opkald, uden det fremgår af Telias systemer. Det fortæller DR Nyheder.

VIP-status gives for eksempel til folk, der er udsat for ‘stalkere – altså folk med en sygelig interesse for deres færden. I princippet kunne alle kunder hos Telia få denne beskyttelse.

»Der er ingen faste regler for, hvornår en kunde kan få “VIP-status”, og der er ingen på forhånd fastsatte grupper af kunder, som kan eller ikke kan få aktiveret funktionen, så principielt kan alle få det, oplyser kommunikationsmedarbejder David Engstrøm til DR Nyheder og fortsætter:

»Funktionen i vores interne systemer bruges dog kun i tilfælde, hvor vi vurderer, at særlige omstændigheder gør det nødvendigt at kunne følge med i, hvem der tilgår kundens oplysninger.«

Både TDC og 3 logger i udgangspunktet alt, hvad medarbejderne foretager sig i forhold til kundernes oplysninger. Når Telia ikke har digital logning på, hver gang en medarbejder tilgår en kundes oplysninger – uanset, om det er en VIP eller ej – så skyldes det, at det er dyrt og besværligt at gemme så mange data, oplyser selskabet.

I disse tider – og også på Version2 – går diskussionen ofte om det offentliges rolle i iværksætteri og innovation.

Forleden stødte jeg på en bog, der graver dybt i det offentliges rolle i forbindelse med innovation og iværksætteri.

Professor Mariana Mazzucato har skrevet en bog med titlen The Entrepreneurial State. Hvis man interesserer sig for innovation og iværksætteri er denne bog meget svær at komme uden om.

Mariana Mazzucato er professor ved University of Essex i England og har specialiseret sig i innovation og vækst. Bogen “The Entrepreneurial State” er vel den foreløbige opsamling af hendes forskning i et format, der henvender sig til et bredere publikum end blot hendes sædvanlige akademiske proselytter.

Bogen konkluderer, at stort set al banebrydende innovation sker for offentlige midler og indenfor offentlige institutioner. Herefter annekterer private virksomheder forskningsresultaterne og udvikler kommercielle successer.

Ikke overraskende står det amerikanske forsvar for en ikke helt ubetydelig del af vor tids teknologiske landevindinger. Internettet er således et velkendt militærprojekt, men også indenfor andre sektorer er det offentlige budgetter og organisationer, der løber de store risici forbundet med forskning og udvikling.

Hun har reserveret et helt kapitel, der redegør for hvorledes stort set alle elementer af Apple’s produkter og platforme er baseret på offentligt finansieret innovation. Det er således ikke den danske, men den amerikanske regering, som vi skal takke for Apples iPhone, iPad osv.

Hendes grundige studier og argumentation er svært overbevisende. Der er næppe tvivl om at USA’s teknologiske førerposition skyldes den føderale regerings meget dybe lommer og vilje til at kaste sig ud i endog meget store projekter, der efterfølgende danner basis for globalt konkurrencedygtige produkter og tjenesteydelser. Private virksomheder er simpelthen ikke risikovillige og langsigtede nok til at stå for denne type innovation. Selvom mange topchefer bryster sig af store R&D budgetter, så er det peanuts ved siden af de forskningsprojekter som verdens regeringer sætter i søen.

Efter at have kridtet banen op og forklaret nødvendigheden af denne vekselvirkning mellem det offentlige og det private, fyrer hun en voldsom bredside af mod det private erhvervsliv. Hvor private virksomheder er positivt opsøgende i forbindelse med anvendelsen af offentligt finansierede forskningsresultater, kniber det gevaldigt med at forstå, at nogle af pengene altså også skal tilbage i statskassen igen for at holde den positive spiral kørende. Når de private virksomheder har fået kommercialiseret den offentligt finansierede innovation, bruger de overskuddet til at ansætte advokater og revisorer, der skal nedbringe skattebetalingerne mest muligt. De ansætter lobbyister og finansierer interesseorganisationer, der skal sikre virksomheder skattefritagelse og andre skattefinansierede fordele. I stedet for at investerer i yderligere innovation benytter de private selskaber endnu større summer på at opkøbe egne aktier (Apple og IBM).

Jeg tror Mariana Mazzucato har fat i noget meget vigtigt. Hendes forskning blotlægger i hvert fald flere store udfordringer.

1. Hvordan sikrer vi fortsættelsen af den virkeligt banebrydene innovation, når private virksomheder bliver mere og mere kortsigtede, ikke tør tage de store risici og værger sig ved at betale en del af overskuddet tilbage til det offentlige?
2. Hvordan matcher Europa de Nordamerikanske forskningsbudgetter, sikrer sig rigtig innovation og ikke blot klatter midlerne væk til højre og venstre, som det sker lige nu.

Hvis du ikke har tid til at læse bogen, kan du her se en kort video, hvor Mariana Mazzucato præsenterer sine synspunkter:

Systemspecialisten i centrum for skandalen om læk af betalingsoplysninger til Se og Hør er i kølvandet på afsløringerne blevet sendt hjem fra sit nuværende arbejde hos Nordea. Det skriver BT.

Den 45-årige it-medarbejder er fra flere sider blevet udpeget som ham, der gennem fire år solgte fortrolige kundedata om kendte og kongelige via sit arbejde hos Nets-leverandøren IBM fra 2008-2012. I 2012 stoppede strømmen af tips, da han blev fyret fra IBM, og nu er han heller ikke velkommen hos Nordea, hvor han som konsulent via Fujitsu har haft arbejde.

Nordea forklarer, at man ikke kan leve med, at mistanken mod it-konsulenten bliver knyttet til Nordea, og at banken derfor bad om at få en anden konsulent fra Fujitsu. Hos Fujitsu er man nu gået i gang med at undersøge sagen.

Der har ikke været risiko for, at den mistænkte medarbejder har kunnet lave samme trick hos Nordea og sælge kundernes private bankoplysninger, fortæller Nordeas pressechef, Stephan Ghisler-Solvang. Hos Nordea arbejdede mainframe-operatøren nemlig med interne overvågningssystemer og havde dermed ikke adgang til følsomme oplysninger om kunderne.

Nordea vil dog stadig kigge logfiler igennem og se, om der er foregået noget mistænkeligt.

Skandalen om salg af personlige kundeoplysninger fra Nets har en norsk pendant, da det i 2007 blev afsløret, at den norske udgave af Se og Hør købte fortrolige oplysninger om kendte og kongelige fra politifolk og ansatte hos Nordea i Norge.

Google Chrome er kun i stand til at blokere for to procent af de certifikater, der er tilbagekaldt på grund af den såkaldte Heartbleed Bug. Det konkluderer en nyligt publiceret rapport, skriver Ars Technica.

Problemet findes i browserens CRLSet, der er en liste over tilbagekaldte certifikater for websites. Ifølge rapporten indeholder listen kun to procent af de tilbagekaldte certifikater og overser tusindevis af TLS- og Secure Sockets Layer-certifikater, som er blevet tilbagekaldt efter Heartbleed-sårbarheden blev opdaget.

Rapporten er lavet af Gibson Research Corporation, som har gjort den tilgængelig online.

»Vi ved, at Chromes CRLSet indeholder højest 2% af de certifikater, der pt. Er tilbagetrukket af internettets certifikatudstedere. Chrome vil blindt stole på de resterende 98% af internettets tilbagetrukne og endnu ikke udløbne certifikater. Selvfølgelig bliver der tilbagetrukket nye certifikater hver dag, hvoraf Chrome aldrig vil være klar over 98%,« skriver GRC i et blogindlæg.

Efter historien er kommet frem, har Google-ingeniør Adam Langley svaret på kritikken i et blogindlæg. Her påpeger han, at CRLSet aldrig har været perfekt, men at det er bedre end de tilsvarende løsninger i andre browsere.

En række online-fora for kriminelle hackere er normalt lukket effektivt af for omverdenen, men Heartbleed-sårbarheden gør nu forskere i stand til at trænge ind i de lukkede fora, skriver BBC.

»Potentialet i, at denne sårbarhed har indflydelse på ”black-hat”-tjenester er helt enorm,« siger den franske malwareforsker Steven K til BBC.

Steven K. brugte særligt tilpassede værktøjer i sit angreb på de lukkede chatrum kaldet Darkcode og Damagelab.

»Darkcode var sårbart (overfor Heartbleed-angreb, red.) og dette forum er et virkelig svært mål. Det er ikke mange, der har evnen til at overvåge det forum, men Heartbleed afslørede alting,« siger Steven K til BBC.

Heartbleed er kort fortalt en fejl i sikkerhedssoftwaren Open SSL, der gør det muligt at stjæle data, som en server har kommunikeret til andre brugere, hvilket blandt andet kan give adgang til andre brugeres passwords m.m.

Dette er det seneste eksempel på, hvor mange steder Heartbleed har åbnet servere for angreb. En sikkerhedsanalytiker påpeger overfor BBC, at alvorligheden af Heartbleed understreges af, at selv hackeres fora nu er sårbare overfor hackere.

Software kan godt virke og alligevel bidrage til en helt elendig brugeroplevelse. Det er den hele og samlede brugeroplevelse, som man skal have øje for, hvis man vil lave software, som brugerne er glade for og vil betale penge for. Den indlysende selvfølgelighed kom jeg til at tænke på efter en kundeoplevelse med rejsekortet.

Her er – direkte citeret fra hjemmesiden – brugervejledningen til den standardsituation, at man får nyt betalingskort, og vil fortsætte sin tank-op-aftale på rejsekortet. Og hold nu fast. Jeg citerer:
”Forny din tank-op-aftale
Vil du fortsat have en tank-op-aftale på dit rejsekort, skal du knytte tank-op-aftalen til dit nye Visa/dankort, sådan gør du:
1)Log ind på din selvbetjening med brugernavn og adgangskode.

2)Vælg tank-op-aftale og stop denne.

3)Vent minimum 24 timer og maksimum syv dage. Tag forbi en station, hvor du checker ind og derefter checker ud igen med det samme. Dette er for at registrere at tank-op aftalen skal stoppes.

4)Vent minimum 24 timer.

5)Opret en ny tank-op-aftale på selvbetjeningen med dit nye betalingskort.

6)Vent minimum 24 timer og maksimum syv dage, og tag igen forbi en station, hvor du checker ind og ud. Dette er for at registrere at du har oprettet en ny tank-op-aftale med det nye betalingskort.”

Det er ikke løgn. Se selv: www.rejsekort.dk/brug-rejsekort/saadan-bruger-du-rejsekort/tank-op-aftal…

Er det absurd teater?

Softwaremæssigt er min pointe, at man ikke kan nøjes med at styre efter abstrakte User Cases eller kravsdokumenter, når man udvikler produkter. Man må ud i virkeligheden og lære af, hvordan kunderne bruger produktet. Og man må frem for alt være villig til at tage konsekvensen, når man opdager, at totaloplevelsen kører helt i grøften. Rejsekortets proces skal naturligvis ændres og ikke bare dokumenteres i en 6-trins-proces på en hjemmeside.

Desværre må rejsekortet holde for. Jeg har ellers ikke deltaget i håne-koret før nu. Måske troede jeg, at det der skulle siges, var blevet sagt. Grundlæggende synes jeg, at rejsekortet er en god idé. En idé som dog i praksis blev to-tre gange for dyr at implementere.

Forhistorien er denne: Fornylig fik jeg mit første rejsekort. Tilmeldingen gik let og smertefrit, og jeg valgte, at mit kort skal tankes op automatisk. En dejlig praktisk feature. Kortet ankom med posten kort tid efter. En tid var jeg ret tæt på at være en tilfreds rejsekortkunde. Bevares – jeg glemte at checke ud et par gange til stor irritation for mig selv. Men jeg tog selv ansvaret. Efterhånden husker jeg det da også hver gang jeg kører.

Men så opstod problemet. Mit betalingskort blev udskiftet. Det sker for alle, der har et betalingskort. Normalt modtager man så en mail fra de virksomheder, man har aftaler med, og får at vide, at de ikke længere kan hæve på kortet og man skal opdatere sine kortoplysninger. Ikke her. Jeg modtog et godt gammeldags brev, hvor der stod at jeg var i restance og snarest skulle betale de 300 kr, som min betalingsaftale indeholder. Fint nok. De låner mig pengene, tænkte jeg. Så kan jeg vel bare opdatere mine kortoplysninger – så kører det igen.

Men så nemt skulle det ikke være. Jeg gik ind på hjemmesiden og brugte en rum tid på at lede efter en mulighed for at angive mine nye kortoplysninger. Jeg er vant til at gøre det samme med f.eks. min brobizz. Men det kunne jeg simpelthen ikke finde ud af og mailede i stedet til kundeservice. Her fik jeg at vide, at det var ganske rigtigt, at jeg ikke kunne opdatere kortoplysninger på hjemmesiden. Men at jeg derimod skulle følge den helt latterlige procedure, som jeg citerede ovenfor.

Gad vide, hvad den person der beskrev den proces har tænkt? Hvor I udviklingsprocessen har man først identificeret dette scenarie, som er et alle kunder med en tank-op-aftale vil møde? Og hvem besluttede, at det ikke var noget der skulle gøres lettere?

Hvis rejsekortet havde opereret på kommercielle vilkår med et reelt alternativ, så var jeg ikke kunde længere. Mon ikke de fleste var skredet over til konkurrenten? Det er nemlig ikke nok, at softwaren virker, hvis helheden stinker!