Daily Archives: May 7, 2014

Tirsdag sigtede Københavns Vestegns Politi den såkaldte tys-tys-kilde i sagen om lækkede kreditkortoplysninger til SE og Hør, skriver Berlingske Nyhedsbureau.

»Han er blevet afhørt og har givet sin version af historien, og den indgår nu i politiets videre efterforskning. Vi følger med i, hvad der sker. Nu har han ret til at se det materiale, der kommer frem, og det samme har jeg. Og så vurderer vi løbende, hvad vores strategi skal være,« siger kildens advokat, Michael Juul Eriksen, til Berlingske Nyhedsbureau.

Kilden, en 45-årig mand, er sigtet for at skaffe sig adgang til andres oplysninger og for at videregive forretningshemmeligheder, men han har endnu ikke forholdt sig til sigtelsen.

Sigtelsen rejses på baggrund af en række anmeldelser fra enkeltpersoner, efter at det er kommet frem, at Se og Hør angiveligt har modtaget kreditkortoplysninger om en række personer fra en ansat i Nets (tidligere PBS). Politiet forventer at sigte flere i sagen, oplyser de til Berlingske Nyhedsbureau.

En gruppe hackere har fået adgang til skyldneroplysninger og tilhørende CPR-numre fra RKI’s skyldnerregister, skriver Politiken, der har set eksempler på de fortrolige data.

»Anonymous Denmark kræver, at den danske regering beskytter dets borgeres private data bedre. Det her er bare en lille prøve på, hvor meget sikkerheden halter,« skriver hackergruppen til Politiken.

Ifølge hackerne er motivet at udstille sårbarheder i adgangen til personfølsomme oplysninger. Ifølge Politikens oplysninger ønsker hackerne derfor ikke at udnytte eller videresælge data.

Selskabet Experian, der driver RKI, var ikke opmærksom på angrebet før avisens henvendelse. Her understreger man dog, at det ikke er selve RKI, der er hacket, men en af registrets mange partnere. I RKI opbevares CPR-numre separat fra skyldneroplysninger, hvilket ikke er tilfældet i de stjålne data.

Den endelige dom over Arbejdsskadestyrelsens nye it-system Proask lader vente på sig. Systemet har sammenlagt kostet i omegnen af en kvart milliard kroner, men er i sin nuværende form uegnet til at blive sat i fuld drift.

Version2 har fået aktindsigt i det udkast til en rapport fra konsulentfirmaet Deloitte, som i januar fik Arbejdsskadestyrelsen og siden beskæftigelsesministeren til at gribe fat om ledningen og gøre klar til at trække stikket ud på Proask.

Deloitte-rapporten er en vurdering af Proask-systemets nuværende tilstand, og hvilke muligheder Arbejdsskadestyrelsen har for at komme videre mod at få et system, som virker.

Store dele af den rapport, Version2 har modtaget, er imidlertid slettet med henvisning til, at styrelsen formentligt skal ud i et nyt udbud. 46 ud af rapportens 68 sider er således slettet helt eller delvist.

Derfor giver rapporten intet indblik i, hvorfor Deloitte når frem til, at de op mod 250 millioner, der er brugt på Proask, er en spildt investering, som staten i sidste ende blot skal acceptere som ‘sunk cost’ – altså at det ikke kan betale sig at kaste gode penge efter dårlige.

Deloitte-rapporten opstiller dog fire scenarier, som også er behandlet i en tidligere rapport fra konsulentfirmaet Gartner.

1) Fortsæt med det gamle system, der blev taget i brug i 1991.

2) Investér yderligere i Proask med henblik på at gøre det brugbart.

3) Genbrug dele af Proask til et nyt system.

4) Køb et helt nyt system.

Deloitte anbefaler det sidste scenarie. Gartner-rapporten, som blev udfærdiget i april 2013, anbefaler derimod scenarie nummer to, hvor Proask gøres færdigt i samarbejde med leverandøren Steria.

Argumentet for den begrænsede aktindsigt i Deloitte-rapporten er, at den angiveligt indeholder oplysninger, som kan spænde ben for Arbejdsskadestyrelsen, hvis der skal være et nyt udbud.

Deloitte var ét af de konsulentfirmaer, som var med til at rådgive Arbejdsskadestyrelsen i forbindelse med udfærdigelsen af udbudsmateriale og kravspecifikation til Proask i 2008. En del af rapporten om Proask handler om de mulige standardsystemer, styrelsen kan basere en eventuel afløser på, og det afsnit er formentligt slettet for ikke give bestemte løsninger en fordel eller ulempe i et udbud.

Det samme gælder dele af den tekniske analyse af Proask såsom applikationskomponenter og datamodel. Andre afsnit omhandler et review af kildekoden i dele af systemet, som Deloitte har udført. Den del er også udeladt. Vi kender altså ikke Deloittes vurdering af Sterias arbejde.

Så hvordan står Arbejdsskadestyrelsen i dag?

Kør videre med systemet fra 1991

Når Arbejdsskadestyrelsen og Beskæftigelsesministeriet har orienteret Folketingets finansudvalg om status for Proask-projektet, så har det eksisterende system, SJP, fremstået som en brændende platform med en kort tidshorisont, før det ville blive vanskeligt og dyrt at vedligeholde.

Gartner vurderede således, at det vil være muligt at holde SJP kørende i yderligere 2 til 3 år. Gartner anser det ikke for realistisk at fortsætte på længere sigt med SJP, fordi det bygger på en række forældede teknologier. Eksempelvis foregår dokumentvisning i Wordperfect 5.1.

Ifølge Deloitte består SJP af seks komponenter, hvoraf blot to supporteres af leverandørerne i dag, og for de fire, som ikke længere supporteres, er der ingen migreringsvej til nye versioner. Det er således ikke muligt at opgradere komponenterne og ad den vej vedligeholde SJP.

Deloitte skriver direkte, at de seks komponenter er så tæt integreret, at hvis man begynder at udskifte komponenterne vil det betyde omfattende ændringer og risiko for ustabilitet.

»En migrering vil derfor i praksis betyde, at en meget stor kodebase, der er udviklet på i mere end 20 år, skal omskrives i stort omfang, hvilket vil være en massiv opgave med meget stor risiko,« lyder det i rapporten.

Arbejdsskadestyrelsen anvender lige nu SJP til sagsbehandlingen, fordi Proask ikke fungerer. Men ifølge både Gartner og Deloitte er det altså ikke realistisk at fortsætte på denne måde meget længere, end det er nødvendigt for at få en fungerende afløser på plads.

Få Proask til at virke

Ifølge Gartner-rapporten er der flere lavthængende frugter i Proask-arkitekturen, som kan forbedres på baggrund af de erfaringer, man har gjort sig med det nuværende system. Gartner mente i april 2013, at selve arkitekturen så ud til at være sund i forhold til opgaven. Vel at mærke vurderet ud fra beskrivelsen.

Det umiddelbart største arkitektoniske problem, Gartner pegede på, er den specialudviklede Windows-klient, som er den primære brugerflade for brugerne af Proask. Den vil formentligt være dyrere at vedligeholde end en nyere løsning, som ofte vil være baseret på en browser.

Gartner peger imidlertid også på flere ting i arkitekturen, som er mindre hensigtsmæssige. Eksempelvis er der implementeret Novell Access Manager til adgangskontrol, mens alle andre systemer i styrelsen benytter Active Directory. Men faktisk er der bygget en adgangskontrol ind i selve Proask, så Novell-komponenten er helt overflødig ifølge Gartner.

Tilsvarende har Proask sin egen dedikerede Microsoft Exchange-server, der blot videresender mails fra Proask til Statens IT’s mailserver.

Et af de nuværende problemer med Proask er svartider i systemet, som muligvis skyldes den ESB, der er en central komponent i den serviceorienterede arkitektur, som Proask bygger på. ESB’en er udviklet specifikt til Proask og bygger på Microsoft Biztalk. Men en specialudviklet ESB gør det vanskeligt at søge efter problemer med ydelsen, påpeger Gartner. En ESB baseret på en standardløsning ville give medfølgende værktøjer til at afhjælpe problemer.

Deloittes vurdering af dette scenarie er slettet i den rapport, Version2 har modtaget.

Brug fundamentet fra Proask til et nyt system

Hvis Gartner har ret i sin vurdering af, at der ligger et sundt fundament under Proask, så er det nærliggende at tro, at det er muligt at genbruge dele af Proask-infrastrukturen og -arkitekturen i en ny løsning i stedet for at begynde forfra.

Problemet er imidlertid, at styrelsen alligevel skal ud i et nyt udbud, og det vil kunne tage lige så lang tid at fjerne de usunde dele af Proask og erstatte dem, som at implementeret noget helt nyt baseret på standardkomponenter.

Hverken Gartner eller Deloitte anbefaler dette scenarie. Det vil ifølge Gartner være dyrere end at reparere Proask, men billigere end et helt nyt system. Projektet vil kunne gennemføres for mellem 30 og 40 millioner kroner.

Skrot hele Proask og køb nyt

Deloitte anbefaler et helt nyt system. Denne model er ifølge Gartner den dyreste. Det indebærer, at stort set alt det udførte arbejde og indkøbte systemer bliver skrottet. I stedet skal styrelsen sende en ny løsning i udbud.

Her anbefaler både Gartner og Deloitte et system baseret på standardsystemer. Mens Arbejdsskadestyrelsen var meget tidligt ude i forhold til et automatiseret sagsbehandlingssystem i 2008, så er der siden kommet flere standardløsninger på markedet, som vil kunne tilpasses.

Det vil dog ikke være helt billigt. Ifølge Gartner vil et helt nyt system koste Arbejdsskadestyrelsen mellem 60 og 100 millioner kroner og tage tre år at få implementeret. Deloittes vurdering af omkostningerne til et nyt system er slettet fra Version2′s kopi af rapporten.

I det billede skal dog også medtages, at regnestykket for Proask ikke blot handler om anskaffelsesprisen, men også om driftsomkostninger, vedligeholdelse og gevinster ved effektivisering af arbejdsgange. Det kan på længere sigt give et standardsystem en fordel.

Hvad gik galt?

Hverken Gartner eller Deloitte placerer i det materiale, Version2 har fået indsigt i, et ansvar for, hvorfor Proask ikke fungerer. Version2 har også søgt om aktindsigt i de rapporter, der var grundlaget for, at Arbejdsskadestyrelsen overtog Proask fra Steria, men har fået afslag med begrundelse om, at rapporterne indeholdt oplysninger om leverandørens forretningsforhold.

Med de oplysninger, der er slettet i Deloitte-rapporten har vi altså endnu ikke et klart overblik over, hvad de aktuelle problemer med Proask konkret går ud på. Vi ved fra andre dokumenter, at der var problemer allerede ved overdragelsen, blandt andet fordi det driftsmiljø Statens IT leverede, ikke svarede til Sterias eget testmiljø.

Sterias rolle i problemerne er også uvis. Leverandøren har været underlagt en kontrakt med fast pris. En stor del af de høje meromkostninger til udviklingen af Proask i forhold til budgettet er således kommet fra brugen af eksterne konsulenter undervejs. Steria har på sin side måttet betale bod og lægge yderligere udviklingstimer i projektet.

Gartner-rapporten afslører dog også en usædvanligt kompleks arkitektur med 119 servere, hvilket synes temmelig højt. Brugen af visse komponenter som Novell Access Manager i et miljø, der ellers styres af Active Directory, tyder også på, at der har været problemer eller manglende kommunikation mellem dem, der har udfærdiget kravspecifikationerne til Proask, og dem der står for styrelsens it-drift.

Kravspecifikationen og udbudsmaterialet blev udfærdiget med hjælp fra Deloitte og PA Consulting. Sidstnævnte var også inde over Proask-projektet som ekstern rådgiver undervejs og Deloitte altså nu igen.

PA Consulting påpegede i et review i januar 2011, at arkitekterne på projektet var overbelastede. Det betød, at eksempelvis en afgørende test blev udført på baggrund af kravspecifikationen frem for dokumentationen for det implementerede system.

Ifølge nuværende beskæftigelsesminister Mette Frederiksen var der imidlertid ingen, som før den sidste rapport fra Deloitte, havde sagt, at Proask måske skulle stoppes.

Et nærliggende spørgsmål er derfor, om Arbejdsskadestyrelsen har fået fuld valuta for det tocifrede millionbeløb, styrelsen har betalt eksterne konsulenter til rådgivning undervejs. Hvis ingen af de eksterne konsulenter, som fulgte forløbet og fik indblik i arkitekturen, påpegede problemer, så står vi med to mulige konklusioner:

Enten var det umuligt at se, at Proask var på katastrofekurs, før det var for sent. Eller også har de eksterne konsulenter ikke fungeret som den sikkerhedsventil, de måtte forventes at være, når de indkaldes til at vurdere et projekt undervejs.