Category Archives: computer

Godt hjulpet af Hollywood bliver der i disse år blæst dommedagsscenarier om cyberkrig op, med både militæret, politikere og sikkerhedsfolk som afsendere.

Men det er tosset at fokusere på scenarier, som ikke har rod i virkeligheden, og at tale om cyberkrig i dag. For indtil videre eksisterer det ikke.

Sådan lød budskabet fra Jens Ringmose, lektor på Syddansk Universitets Center for War Studies, på et seminar hos Dansk Institut for Internationale Studier tirsdag.

»Hvis man lytter til den offentlige debat om cyber, kan den lyde meget skinger. Men vi skal være meget varsomme med at fokusere for meget på dommedagsscenarierne, for ellers får vi en meget militariseret debat. Meget kan lade sig gøre i dag – men meget er også usandsynligt,« sagde han i sit oplæg, der tog udgangspunkt i en artikel, han har forfattet sammen med Anders Henriksen, lektor i international ret på Københavns Universitet.

Problemet med ord som cyberkrig og cyberangreb er, at der slet ikke er bred enighed om, hvad de dækker over.

»Vi har ikke begreberne klar endnu, så et cyberangreb kan i dag være alt fra en teenager, som udfører et DDoS-angreb, til Stuxnet rettet mod Irans atomprogram. Hele begrebsapparatet er meget umodent, så vi har ikke klarhed om, hvad vi taler om«, sagde Jens Ringmose.

Krig kræver døde og sårede

Først filtrerede han cyberkriminalitet og cyberspionage væk fra definitionen og stod tilbage med cyberangreb.

Disse digitale angreb delte han så op i tre kategorier: Skade på data eller andet ikkefysisk, skade på bygninger og andre fysiske ting, skade på mennesker.

I den ‘milde’ kategori hører alt fra DDoS-angreb til at slette for eksempel bankdata eller børsdata og dermed skabe kaos i økonomien. Langt de fleste eksempler på cyberangreb er i dag placeret her.

Fysisk skade gennem cyberangreb er for eksempel Stuxnet, hvor USA og Israel gennem meget avanceret malware fik smadret en del af Irans urancentrifuger og dermed forsinkede en eventuel iransk atombombe. Det kunne også være at sætte et radaranlæg ud af spillet med digitale angreb. Men det var stadig ikke krig, mente forskeren.

»De fleste vil sige, at man først taler om krig, når der er døde og sårede. Det kan være, at man får afsporet et tog, eller at man hacker våbensystemer og bruger dem til angreb. Men vi har intet set af det endnu. Stuxnet kommer tæt på, men vi har ikke set cyberkrig endnu, og mange siger, at det er meget usandsynligt, at det vil ske,« sagde Jens Ringmose.

Der er dog den gråzone, at nogle angreb måske er så vigtige, at de ville blive udført med konventionelle våben, hvis ikke det var muligt at ramme dem digitalt.

For eksempel ville Stuxnet-angrebet måske være blevet udført med kampfly, så Stuxnet blev brugt i stedet for egentlig krig. På den måde kan cyberangreb føre til mindre brug af konventionel krig, sagde han.

Kan godt finde afsenderen af cyberangreb

Den normale opfattelse af cyberkrig er, at det bliver meget asymmetrisk og svært at forsvare sig imod, også for stormagter. Men den synsvinkel mente Jens Ringmose, at tiden var løbet fra.

»Der er sket rigtig meget på forsvarssiden. Og det er heller ikke særlig nemt og billigt at angribe, hvis man skal gøre skade. For eksempel gik der enormt mange timer til at skabe Stuxnet,« forklarede han.

Et andet klassisk problem, der bliver påhæftet cyberkrig, er den manglende mulighed for at gøre gengæld, fordi afsenderen modsat i konventionel krig kan være anonym.

»Når man ikke kan identificere en angriber, kan du ikke afskrække en angriber og true med at komme efter dem. Men måske er det ikke så svært at identificere angriberne, som man forestiller sig. Det kræver bare store ressourcer, og hvis angrebet er alvorligt nok, vil man allokere ressourcer nok til at finde dem, der står bag angrebet,« sagde Jens Ringmose.

Han var heller ikke meget for idéen om, at cybervåben var de små og svage staters vidundermiddel mod supermagterne eller lige frem det oplagte våben for terrorister, som ikke har et statsbudget i ryggen.

»Det er en af de mest problematiske påstande. Hvis du skal gennemføre et cyberangreb, som for alvor kan lægge et lands kritiske infrastruktur ned, kræver det store ressourcer, en særlig ekspertise og en stærk efterretningstjeneste. Det har de ikkestatslige aktører ikke. Er angrebet fra en svag stat, kan den stærke stat svare igen med konventionelle våben. Det kan også afholde en svag stat fra at bruge cyberangreb,« sagde han.

Lenovo gør nu sit indtog på markedet for de såkaldte chromebooks med offentliggørelsen af to forskellige laptops, der begge kommer til at være baseret på Googles Chrome-styresystem, skriver The Verge.

De to computere går under navnene N20 og N20p og gør sig bemærket på grund af deres lave pris. De bliver lanceret på det amerikanske marked i juli og august for hhv. 279$ og 329$, hvilket gør maskinerne langt billigere end Lenovos Windows-baserede maskiner.

De to modeller er ens med undtagelse af en touchskærm, der kan roteres på N20p-modellen. Begge modeller er udstyret med 11,6 tommer skærme med en opløsning på 1366 x 768 pixels, Bay Trail-baserede Intel Celeron Processorer, 2 GB RAM og 16 GB lagringsplads.

Dermed vokser markedet for billige Chrome-baserede laptops. Computerfabrikanter som HP, Dell, Samsung, Acer og Toshiba producerer allerede laptops til Googles styresystem.

Tirsdag sigtede Københavns Vestegns Politi den såkaldte tys-tys-kilde i sagen om lækkede kreditkortoplysninger til SE og Hør, skriver Berlingske Nyhedsbureau.

»Han er blevet afhørt og har givet sin version af historien, og den indgår nu i politiets videre efterforskning. Vi følger med i, hvad der sker. Nu har han ret til at se det materiale, der kommer frem, og det samme har jeg. Og så vurderer vi løbende, hvad vores strategi skal være,« siger kildens advokat, Michael Juul Eriksen, til Berlingske Nyhedsbureau.

Kilden, en 45-årig mand, er sigtet for at skaffe sig adgang til andres oplysninger og for at videregive forretningshemmeligheder, men han har endnu ikke forholdt sig til sigtelsen.

Sigtelsen rejses på baggrund af en række anmeldelser fra enkeltpersoner, efter at det er kommet frem, at Se og Hør angiveligt har modtaget kreditkortoplysninger om en række personer fra en ansat i Nets (tidligere PBS). Politiet forventer at sigte flere i sagen, oplyser de til Berlingske Nyhedsbureau.

En gruppe hackere har fået adgang til skyldneroplysninger og tilhørende CPR-numre fra RKI’s skyldnerregister, skriver Politiken, der har set eksempler på de fortrolige data.

»Anonymous Denmark kræver, at den danske regering beskytter dets borgeres private data bedre. Det her er bare en lille prøve på, hvor meget sikkerheden halter,« skriver hackergruppen til Politiken.

Ifølge hackerne er motivet at udstille sårbarheder i adgangen til personfølsomme oplysninger. Ifølge Politikens oplysninger ønsker hackerne derfor ikke at udnytte eller videresælge data.

Selskabet Experian, der driver RKI, var ikke opmærksom på angrebet før avisens henvendelse. Her understreger man dog, at det ikke er selve RKI, der er hacket, men en af registrets mange partnere. I RKI opbevares CPR-numre separat fra skyldneroplysninger, hvilket ikke er tilfældet i de stjålne data.

Den endelige dom over Arbejdsskadestyrelsens nye it-system Proask lader vente på sig. Systemet har sammenlagt kostet i omegnen af en kvart milliard kroner, men er i sin nuværende form uegnet til at blive sat i fuld drift.

Version2 har fået aktindsigt i det udkast til en rapport fra konsulentfirmaet Deloitte, som i januar fik Arbejdsskadestyrelsen og siden beskæftigelsesministeren til at gribe fat om ledningen og gøre klar til at trække stikket ud på Proask.

Deloitte-rapporten er en vurdering af Proask-systemets nuværende tilstand, og hvilke muligheder Arbejdsskadestyrelsen har for at komme videre mod at få et system, som virker.

Store dele af den rapport, Version2 har modtaget, er imidlertid slettet med henvisning til, at styrelsen formentligt skal ud i et nyt udbud. 46 ud af rapportens 68 sider er således slettet helt eller delvist.

Derfor giver rapporten intet indblik i, hvorfor Deloitte når frem til, at de op mod 250 millioner, der er brugt på Proask, er en spildt investering, som staten i sidste ende blot skal acceptere som ‘sunk cost’ – altså at det ikke kan betale sig at kaste gode penge efter dårlige.

Deloitte-rapporten opstiller dog fire scenarier, som også er behandlet i en tidligere rapport fra konsulentfirmaet Gartner.

1) Fortsæt med det gamle system, der blev taget i brug i 1991.

2) Investér yderligere i Proask med henblik på at gøre det brugbart.

3) Genbrug dele af Proask til et nyt system.

4) Køb et helt nyt system.

Deloitte anbefaler det sidste scenarie. Gartner-rapporten, som blev udfærdiget i april 2013, anbefaler derimod scenarie nummer to, hvor Proask gøres færdigt i samarbejde med leverandøren Steria.

Argumentet for den begrænsede aktindsigt i Deloitte-rapporten er, at den angiveligt indeholder oplysninger, som kan spænde ben for Arbejdsskadestyrelsen, hvis der skal være et nyt udbud.

Deloitte var ét af de konsulentfirmaer, som var med til at rådgive Arbejdsskadestyrelsen i forbindelse med udfærdigelsen af udbudsmateriale og kravspecifikation til Proask i 2008. En del af rapporten om Proask handler om de mulige standardsystemer, styrelsen kan basere en eventuel afløser på, og det afsnit er formentligt slettet for ikke give bestemte løsninger en fordel eller ulempe i et udbud.

Det samme gælder dele af den tekniske analyse af Proask såsom applikationskomponenter og datamodel. Andre afsnit omhandler et review af kildekoden i dele af systemet, som Deloitte har udført. Den del er også udeladt. Vi kender altså ikke Deloittes vurdering af Sterias arbejde.

Så hvordan står Arbejdsskadestyrelsen i dag?

Kør videre med systemet fra 1991

Når Arbejdsskadestyrelsen og Beskæftigelsesministeriet har orienteret Folketingets finansudvalg om status for Proask-projektet, så har det eksisterende system, SJP, fremstået som en brændende platform med en kort tidshorisont, før det ville blive vanskeligt og dyrt at vedligeholde.

Gartner vurderede således, at det vil være muligt at holde SJP kørende i yderligere 2 til 3 år. Gartner anser det ikke for realistisk at fortsætte på længere sigt med SJP, fordi det bygger på en række forældede teknologier. Eksempelvis foregår dokumentvisning i Wordperfect 5.1.

Ifølge Deloitte består SJP af seks komponenter, hvoraf blot to supporteres af leverandørerne i dag, og for de fire, som ikke længere supporteres, er der ingen migreringsvej til nye versioner. Det er således ikke muligt at opgradere komponenterne og ad den vej vedligeholde SJP.

Deloitte skriver direkte, at de seks komponenter er så tæt integreret, at hvis man begynder at udskifte komponenterne vil det betyde omfattende ændringer og risiko for ustabilitet.

»En migrering vil derfor i praksis betyde, at en meget stor kodebase, der er udviklet på i mere end 20 år, skal omskrives i stort omfang, hvilket vil være en massiv opgave med meget stor risiko,« lyder det i rapporten.

Arbejdsskadestyrelsen anvender lige nu SJP til sagsbehandlingen, fordi Proask ikke fungerer. Men ifølge både Gartner og Deloitte er det altså ikke realistisk at fortsætte på denne måde meget længere, end det er nødvendigt for at få en fungerende afløser på plads.

Få Proask til at virke

Ifølge Gartner-rapporten er der flere lavthængende frugter i Proask-arkitekturen, som kan forbedres på baggrund af de erfaringer, man har gjort sig med det nuværende system. Gartner mente i april 2013, at selve arkitekturen så ud til at være sund i forhold til opgaven. Vel at mærke vurderet ud fra beskrivelsen.

Det umiddelbart største arkitektoniske problem, Gartner pegede på, er den specialudviklede Windows-klient, som er den primære brugerflade for brugerne af Proask. Den vil formentligt være dyrere at vedligeholde end en nyere løsning, som ofte vil være baseret på en browser.

Gartner peger imidlertid også på flere ting i arkitekturen, som er mindre hensigtsmæssige. Eksempelvis er der implementeret Novell Access Manager til adgangskontrol, mens alle andre systemer i styrelsen benytter Active Directory. Men faktisk er der bygget en adgangskontrol ind i selve Proask, så Novell-komponenten er helt overflødig ifølge Gartner.

Tilsvarende har Proask sin egen dedikerede Microsoft Exchange-server, der blot videresender mails fra Proask til Statens IT’s mailserver.

Et af de nuværende problemer med Proask er svartider i systemet, som muligvis skyldes den ESB, der er en central komponent i den serviceorienterede arkitektur, som Proask bygger på. ESB’en er udviklet specifikt til Proask og bygger på Microsoft Biztalk. Men en specialudviklet ESB gør det vanskeligt at søge efter problemer med ydelsen, påpeger Gartner. En ESB baseret på en standardløsning ville give medfølgende værktøjer til at afhjælpe problemer.

Deloittes vurdering af dette scenarie er slettet i den rapport, Version2 har modtaget.

Brug fundamentet fra Proask til et nyt system

Hvis Gartner har ret i sin vurdering af, at der ligger et sundt fundament under Proask, så er det nærliggende at tro, at det er muligt at genbruge dele af Proask-infrastrukturen og -arkitekturen i en ny løsning i stedet for at begynde forfra.

Problemet er imidlertid, at styrelsen alligevel skal ud i et nyt udbud, og det vil kunne tage lige så lang tid at fjerne de usunde dele af Proask og erstatte dem, som at implementeret noget helt nyt baseret på standardkomponenter.

Hverken Gartner eller Deloitte anbefaler dette scenarie. Det vil ifølge Gartner være dyrere end at reparere Proask, men billigere end et helt nyt system. Projektet vil kunne gennemføres for mellem 30 og 40 millioner kroner.

Skrot hele Proask og køb nyt

Deloitte anbefaler et helt nyt system. Denne model er ifølge Gartner den dyreste. Det indebærer, at stort set alt det udførte arbejde og indkøbte systemer bliver skrottet. I stedet skal styrelsen sende en ny løsning i udbud.

Her anbefaler både Gartner og Deloitte et system baseret på standardsystemer. Mens Arbejdsskadestyrelsen var meget tidligt ude i forhold til et automatiseret sagsbehandlingssystem i 2008, så er der siden kommet flere standardløsninger på markedet, som vil kunne tilpasses.

Det vil dog ikke være helt billigt. Ifølge Gartner vil et helt nyt system koste Arbejdsskadestyrelsen mellem 60 og 100 millioner kroner og tage tre år at få implementeret. Deloittes vurdering af omkostningerne til et nyt system er slettet fra Version2′s kopi af rapporten.

I det billede skal dog også medtages, at regnestykket for Proask ikke blot handler om anskaffelsesprisen, men også om driftsomkostninger, vedligeholdelse og gevinster ved effektivisering af arbejdsgange. Det kan på længere sigt give et standardsystem en fordel.

Hvad gik galt?

Hverken Gartner eller Deloitte placerer i det materiale, Version2 har fået indsigt i, et ansvar for, hvorfor Proask ikke fungerer. Version2 har også søgt om aktindsigt i de rapporter, der var grundlaget for, at Arbejdsskadestyrelsen overtog Proask fra Steria, men har fået afslag med begrundelse om, at rapporterne indeholdt oplysninger om leverandørens forretningsforhold.

Med de oplysninger, der er slettet i Deloitte-rapporten har vi altså endnu ikke et klart overblik over, hvad de aktuelle problemer med Proask konkret går ud på. Vi ved fra andre dokumenter, at der var problemer allerede ved overdragelsen, blandt andet fordi det driftsmiljø Statens IT leverede, ikke svarede til Sterias eget testmiljø.

Sterias rolle i problemerne er også uvis. Leverandøren har været underlagt en kontrakt med fast pris. En stor del af de høje meromkostninger til udviklingen af Proask i forhold til budgettet er således kommet fra brugen af eksterne konsulenter undervejs. Steria har på sin side måttet betale bod og lægge yderligere udviklingstimer i projektet.

Gartner-rapporten afslører dog også en usædvanligt kompleks arkitektur med 119 servere, hvilket synes temmelig højt. Brugen af visse komponenter som Novell Access Manager i et miljø, der ellers styres af Active Directory, tyder også på, at der har været problemer eller manglende kommunikation mellem dem, der har udfærdiget kravspecifikationerne til Proask, og dem der står for styrelsens it-drift.

Kravspecifikationen og udbudsmaterialet blev udfærdiget med hjælp fra Deloitte og PA Consulting. Sidstnævnte var også inde over Proask-projektet som ekstern rådgiver undervejs og Deloitte altså nu igen.

PA Consulting påpegede i et review i januar 2011, at arkitekterne på projektet var overbelastede. Det betød, at eksempelvis en afgørende test blev udført på baggrund af kravspecifikationen frem for dokumentationen for det implementerede system.

Ifølge nuværende beskæftigelsesminister Mette Frederiksen var der imidlertid ingen, som før den sidste rapport fra Deloitte, havde sagt, at Proask måske skulle stoppes.

Et nærliggende spørgsmål er derfor, om Arbejdsskadestyrelsen har fået fuld valuta for det tocifrede millionbeløb, styrelsen har betalt eksterne konsulenter til rådgivning undervejs. Hvis ingen af de eksterne konsulenter, som fulgte forløbet og fik indblik i arkitekturen, påpegede problemer, så står vi med to mulige konklusioner:

Enten var det umuligt at se, at Proask var på katastrofekurs, før det var for sent. Eller også har de eksterne konsulenter ikke fungeret som den sikkerhedsventil, de måtte forventes at være, når de indkaldes til at vurdere et projekt undervejs.