Det her bliver meget kort: Jeg har et fuldt program idag.
En helt central faktor i Nets manglende privatlivsbeskyttelse er at de kører tingene på store IBM mainframes.
Der kan siges meget pænt om mainframes, og der er bestemt blevet det fordi de har 50 års jubilæum i år, men objektivt kan man ikke påstå at de har fulgt med tiden på nogen anden måde end halvlederteknologisk, hvor de til gengæld ligger helt i front.
Men hele den måde softwaren og organisationen omkring en mainframe virker på, for slet ikke at tale om sikkerhedsmodellen, er dybt, dybt forældet.
Og der er ikke noget håb for forbedring og det har der ikke været i de halvtres år det har taget at aflejre den køkkenmødding af “good idea at the time” som en moderne mainframes driftsmiljø faktisk er.
Det er nået dertil at det er umuligt at konfigurere og drifte en IBM mainframe uden at give IBMs folk vidtrækkende adgang og derfor vælger flere og flere firmaer der lider af mainframe baseret IT at outsource hele driften til IBM til at begynde med.
I realiteten er der heller ikke andre end IBM der kan lave en troværdig sikkerheds-audit af en mainframe installation, men hvor troværdigt er det lige hvis det er IBM selv der driver installationen ?
IBMs topledelse kan blive smidt i fængsel for foragt for retten, hvis de ikke udleverer en kopi af alle danskeres NemID nøgler til NSA, helt uanset hvad der måtte være skrevet i en kontrakt imellem IBM og Nets eller mellem Nets og den danske stat. Da IBM står for hele driften af hele Nets mainframe miljø er der aldrig nogen der vil være istand til at finde ud om det er sket.
Jeg har rigtig ondt af firmaer som Topsikring lige nu:
Det eneste de kan gøre, er at ringe til deres kontaktperson hos IBM og spørger om IBM gider undersøge (til timepris, naturligvis) om IBM har problemer med mainframesikkerheden.
Og nej, der er ingen offentlig instans der har noget overblik over hvor mange offentlige og private organizationer der har outsourcet deres mainframe til IBM og derfor står i præcis samme situation.
Jeg er klar over at dette blogindlæg vil blive læst på to helt forskellige måder:
Langt de fleste mainframefolk lider af Stockholmsyndrom. De har aldrig arbejdet med nogen anden form for IT og de kan derfor slet ikke forestille sig at ting kan være på nogen anden måde, langt mindre være bedre på nogen anden måde. De tror at mainframes er den eneste måde at lave “store” databaser og transaktioner på. De tror at mainframes per definition er bedre, hurtigere og mere sikre, for det står der tydeligt i mainframe dokumentationen.
Omvendt holder de fleste andre IT folk sig langt borte fra mainframeverdenen.
Med andre ord: Mainframen er blevet en religiøs kult, hvor de frelste er frelst og alle vi andre lukker øjnene “For det er jo deres eget valg”.
Men denne religøse kult har fingrene dybt inde i data om alle danskeres privatliv og derfor er det på tide at vi åbner øjnene.
Mainframen og IBM skal ud af danskernes privatliv.
phk