Category Archives: computer

Så hvad kunne og burde Nets, IBM og Datatilsynet have gjort ?

Hvordan implementerer man i det hele taget fornuftig IT-sikkerhed ?

Som det allerførste skal man forstå at IT-sikkerhed, som alle andre former for sikkerhed, i bund og grund er en sociale ceremonier og ikke noget man køber nogle kasser af i et supermarked.

Hvad nytter det at bruge en masse penge på en avanceret lås som denne:

hvis medarbejderne der skal igennem døren lader nøglen side i, eller døren stå på klem ?

Men hvorfor skulle de dog finde på det ?

Det kunne f.eks være fordi at deres løn afhænger af hvor mange gange de kommer igennem døren på en arbejdsdag, frem for om de låser døren efter sig hver gang.

Medarbejdere er ret gode til at fornemme hvad ledelsen sætter pris på.

Stort set alle organisationer jeg nogensinde har haft fingrene i, fejler på dette punkt i større eller mindre grad.

(Jeg tror egentlig ikke at det er fysisk muligt for nogen organisation at gøre det perfekt: Hvem af os har aldrig sprunget en tandbørstning over, fordi vi var lidt sendt på den ? Hvem af os har aldrig glemt at låse en dør eller hvor nøglerne lå ?)

Specielt i spare- og nedskæringstider er sikkerheden det første der ryger og specielt er der mange fyringsrunder der foretages helt uden hensyntagen til om de fyrede medarbejdere bliver erstattet i de sikkerhedsceremonier de har roller i.

Selv IBM, der i “gamle dage” gjorde en stor meget ud af at ligge helt i top, har iflg. stort set alle jeg kender på indersiden nu store problemer på dette område.

Tillid er godt, men kontrol er naturligvis bedre og tekniske foranstaltninger har en stor rolle, fra dørlåse og pigtråd til dobbeltbogholderi og logfiler.

Men alle disse tekniske foranstaltninger har en eller anden hvis job de er.

Nogen skal forklare låsesmeden hvad der skal laves, nogen skal checke at der lige mange posteringer på begge sider og nogen skal holde øje med om der dukker noget uventet op i logfilerne.

Disse jobs handler alle om opmærksomhed, præcision og indgående erfaring med hvad der er normalt og hvad der ikke er det, for ofte er der relativt store dele af den sikkerhedsmæssige overflade som kun patruljeres af disse få kernemedarbejdere.

En smule OCD og lidt asbergers er ikke atypisk i disse job og absolut heller ikke nogen ulempe, men den vigtigste egenskab er loyalitet, for der er ingen bagstopper før det er alt for sent.

Der er simpelthen nogle mennesker man bare er nødt til at kunne stole på og længere er den ikke.

Selvfølgelig skal lønnen være i orden, men frihed under ansvar og gensidig tillid og forståelse er som regel de væsentligtste faktorer og de er rigtig dårligt understøttet i SAP/3′s personalemodul.

Blandt “ordninger” jeg har hørt om i tidens løb er: Flexibel arbejdstid, hjemmearbejde, deltagelse i konferencer, sponsorat af semi-professionel sportsudøvelse, lavere løn men 3 ugers ekstra vinterferie til skisport osv.

En vicevært jeg har kendt havde ofte sin kone med på arbejde så hun ikke skulle sidde alene derhjemme i kørestolen og kantinen sørgede vist nok for aftensmaden. Til gengæld kunne en dør dårligt nå at knirke to gange før han kom farende med smørekanden eller grafitblyanten.

Indenfor IT-hjørnet er et “legebudget” kommet på mode: En konto som medarbejderen kan bruge til “personlig efteruddannelse og videreudvikling” uden at skulle have chefens godkendelse hver gang. Nogle gange er der et aftalt beløb, nogen gange stoler man bare på hinanden.

Alt i alt forbavsende billigt når det kommer til stykket.

Men når der sker store forandringer i organisationen er den slags “ordninger” lette ofre og den loyalitet der var fundamentet i sikkerheden forsvinder ved tillidsbrud.

Den strejke/lock-out som Prosa og CSC udkæmpede for nogen tid siden har skadet IT-sikkerheden hos CSC langt mere end ledelsen nogensinde kan fatte, for rigtig mange loyale medarbejdere opdagede pludselig at loyaliteten kun gik den ene vej når det kom til stykket.

Men hvad gør vi hvis det vi arbejder med er for vigtigt til at vi kan forlade os på en enkelt kernemedarbejders evner, vilje og loyalitet ?

Alle mennesker kan blive ramt af busser, virkelighed eller sindsyge og det er en reel risiko den sikkerhedsansvarlige skal forholde sig til.

Der er ikke andet at gøre end at sætte flere mand på opgaven og den eneste måde det kan virke på, er hvis de er ligeværdige. (Hvor mange svende og lærlinge har ikke i tidens løb undskyldt sig med “jeg undrede mig over det, men Mester vidste jo altid hvad han gjorde” ?)

Sådanne parløb opstår ofte naturligt i den teknisk tunge ende af IT-driften:

“Gider du lige kigge engang inden jeg trykker RETURN og dummer mig ?”

“Kan du ikke lige læse et sanity-check inden jeg sender det her ?”

“Vi er enige om at der ikke bør være nogen records som … ?”

De ved udemærket godt at de ikke er perfekte og de har været i branchen lang tid nok til at de ikke gider blive vækket klokken nul-sort-om-natten for at blive mindet om det.

Derfor er “peer-review” en naturlig del af deres personlige kvalitetssikring, selvom de ikke ville drømme om at kalde det noget så akademisk og fancy.

Peer-review kan og bør også bruges som en sikkerhedsceremoni: Ingen parameterændring, ingen kode-patch, ingen forandring bør nogensinde gå i produktion, uden at mindst en anden person har kigget det ordentligt efter i sømmene.

Gjort rigtigt ville det have gjort det langt sværere og sandsynligvis helt umuligt at implementere den datalækage der fylder medierne.

Det ville også lidt mere end fordoble personaleudgiften i de fleste tilfælde.

Men det ville også mere end fordoble antallet af fejl der bliver fundet inden de ryger i drift, så de penge er hurtigt tjent ind.

Tænk bare på de nedbrud vi har set det seneste års tid på grund af konfigurationsfejl og anden fummelfingrethed: Man kan betale for ret mange IT-folk med hvad et otte timers nedbrud på Dankortet eller en halv dag på Rejsekortet koster.

Der er løsninger, de er omkostningseffektive på den lange bane og de virker, det ved vi af erfaring.

Så hvorfor gør vi det ikke bare ?

Det er ikke fordi vi ikke ved at der er sikkerhedsproblemer.

Når jeg har lavet security-audits indgår der altid et par interviews med nogle “almindelige” medarbejdere, for at få et indtryk af om alt det ledelsen tror og håber om sikkerhed har noget at gøre med hvad der foregår ude i organisationen.

De fleste “professionelle” sikkerhedsaudits gør dette ved at examinere medarbejderne i sikkerhedshåndbogen: “Hvis du ser nogen uden adgangskort, hvad gør du så ?” osv. osv. og som med ISO-9000 audits er det fuldstændig spild af tid og ingen bliver hverken bedre eller klogere af tidsspildet.

Jeg gør derimod det at jeg stikker hovedet ind, præsenterer mig, forklarer at jeg er ved at skrive en rapport om hvordan sikkerheden kan forbedres og at “en af dine kollegaer sagde du engang havde luftet nogle gode ideer som jeg burde høre ?”

Det er selvfølgelig en anelse manipulerende, men manner det er effektivt!

De fleste medarbejdere tænker tilsyneladende en del på sikkerheden og hvordan den burde være bedre.

Tankevækkende mange af dem har også en drejebog for et kup.

Bekymrende mange af kuppene ville kunne gennemføres, ofte uden at efterlade brugbare tekniske spor.

Insidere er altid den største trussel, for de ved hvad der foregår helt ned i den mindste detalje.

Og dermed er vi tilbage ved starten: Sikkerhed handler om mennesker.

Den nemmeste måde at forringe sikkerheden, er at give folk, særligt ledelsen, andre og vigtigere prioriteter.

Det ved vi godt i mange andre sammenhænge: Ingen normalt fungerende mennesker ville drømme om at udlicitere byretten, politiet eller forsvaret til et firma fra udlandet.

Men NemID ? Pyt!

Det er indlysende klart for enhver at der er sket et antal sikkerhedssvigt i den aktuelle sag og det bør vi blive klogere af.

Det bliver vi formodentlig ikke, for der er ingen forhåbninger om at vi nogen siden får en faktuel teknisk rappport der fortæller præcist hvad der skete og hvorfor det ikke blev opdaget.

(Jeg behøver ikke at minde om at hvis jeg havde fået min IT-havarikommission, havde denne sag automatisk ligget indenfor deres resort ?)

Da Edward Snowden var smuttet indførte NSA, i bedste lukke-ledet-efter-hesten-er-smuttet-stil “two-man-rules” for alt systemadministrationsarbejde.

Det bør gøres til mindstemålet for alle systemer der indeholder ikke-trivielle mængder personfølsomme oplysninger.

At få det lovfæstet bliver svært, alt taget i betragtning er det hurtigst at vælge nogle bedre politikere, startende med EU-parlamentet om nogle dage.

Men Datatilsynet behøver faktisk ikke at vente: De kan og bør udstede et straks-påbud til Nets om “two-man-rule”, med henvisning til den aktuelle sag og bevisbeskyttelse.

Det ville også være helt på sin plads hvis Datatilsynet tilbagekalder alle godkendelser Nets eller IBM nogensinde måtte have modtaget og beordrer en total-revision af alle deres programmer og alle deres systemer.

Når den slags kan stå på i 4 år, så er sikkerhed enten nedprioriteret eller implementeret helt forkert.

Nyheden om at Nets da de fik en henvendelse fra en fotograf om hvad der havde foregået “ikke kunne finde noget” burde i sig selv udløse en sådan total-revision.

Og guderne må vide hvor mange andre “mulvarpe” der har haft snablen nede i en af Danmarks mest interessante dataophobninger.

Kun en total-revision fra ende til anden kan genskabe en brugbar tillid til sikkerheden i disse systemer.

Sådan to påbud vil også sende et meget klart og umisforståeligt signal til alle andre datacentre i landet: Utilstrækkelig sikkerhed betaler sig ikke (mere).

Bakket op om en melding om fremtidige uanmeldte stikprøvekontroller, vil det gøre underværker for privatlivsbeskyttelsen i Danmark.

Og det vil vi blive meget gladere for i det lange løb, end NSAs overvågning.

phk

Vi har altid i HerbertNathan & Co. hævdet at ERP-projekter er forretningsprojekter og ikke IT-projekter, som blot kan overlades til en IT-funktion. Krydsfeltet mellem forretning og IT er i dag gigantisk i rigtigt mange virksomheder. Ofte er det IT-systemerne, der sætter både takt og rammer for, hvilke muligheder forretningen har for at udvikle sig.

Jeg vil påstå at IT er den største forretningstransformator i langt de fleste brancher gennem de seneste 10 år, og jeg tror på, at det samme vil blive tilfældet fremover. IT er ikke kun blevet en vigtigere del af virksomhedernes processer, men er i mange brancher også blevet en integreret del af virksomhedernes produkter og afsætningskanaler. Tænk eksempelvis på hvad nethandlen har betydet for detailhandlen, tænk på hvorledes hele medie verdenen (musik, tv, bøger, dagblade, etc.) er under transformation, tænk på hvordan vi ændrer vores måde at betale for varer og ydelser, osv. osv.

Hvis IT ikke fylder i din branche er det nu, at du bør spørge dig selv: “Hvad har jeg overset?”

Jeg oplever dette til trods stadigt, at virksomhedernes udvikling på IT-området mange steder primært drives ud fra en IT-afdeling, og ikke af forretningen. Prøv lige at tænke over hvor ofte du har hørt en person i “forretningen” brokke sig over en uduelig IT-afdeling, som ikke formår at lave tilfredsstillende IT-systemer, i din egen virksomhed! Det ville forretningen nok ikke gøre, hvis den mente selv at havde lod og del i ansvaret for at IT-systemerne fungerer.

Dette er efter min bedste overbevisning en udfordring! På samme måde som det ikke er økonomiafdelingens ansvar at sikre at virksomheden tjener penge, og det ikke er HR-afdelingens ansvar at medarbejderne er motiverede og arbejder mod virksomhedens mål, er det naturligvis heller ikke IT-afdelingen, som alene skal bære ansvaret for at forretningssystemerne understøtter virksomhedens forretning og strategiske udvikling. Det er og må nødvendigvis være ledelsen af forretningen, der bærer ansvaret for, at medarbejderne er kompetente og engagerede, at processer og systemer er optimale, og at forretningen tjener penge!

Det står derfor meget klart for mig, at det at udvikle IT generelt og ERP-/forretningssystemer i særdeleshed , i dag er en ledelsesdisciplin og en kompetence som ledelsen i virksomhederne skal besidde: Forretningsudvikling er næsten altid ensbetydende med IT -udvikling!

Virksomhedens ledelse skal på et strategisk niveau forstå de muligheder som IT byder for at udvikle og optimere virksomheden, den skal forstå hvad det kræver at realisere IT-projekter og formå at skabe de nødvendige rammebetingelser for at projekterne kan gennemføres succesfuldt.

Udviklingen går så stærkt på IT-området, at større udviklingsprojekter ikke blot er noget man laver med års mellemrum. Det er i dag en kontinuerligt løbende proces, hvor der til stadighed skal udvikles og fornyes. Det er derfor en basis ledelsesdisciplin, der skal beherskes, og ikke længere en specialistdisciplin.

Jeg tror at vi vil se virksomheder og headhuntere i højere grad efterspørge ledere med stærke IT-kompetencer og med dokumenterede evner til at kunne eksekvere store og komplekse forretningsdrevne IT-projekter.

At være leder indebærer er ikke kun en forretningsmæssig-, faglig- og personaleledelses opgave, men også en IT-ledelses opgave! Fremtidens succesfulde topledere vil se udviklingen af IT/ERP/forretningssystemer lige så centralt som udviklingen af virksomhedens medarbejdere.

Jeg havde engang en chef der sagde at: “jeg bruger en tredjedel af min tid på kunder, en tredjedel på medarbejdere, og en tredjedel på drift og udvikling af forretningen”. Mit bud er at fremtidens succesfulde leder bruger en fjerdedel af sin tid på hver af førnævnte, og den sidste fjerdedel på IT.

Har Google lukket konti i Adsense-programmet uden grund, kun for at kunne undlade at udbetale honorar til dem, som har vist Google-reklamerne på deres webside?

Det spørgsmål bliver lige nu debatteret heftigt, efter en alvorlig anklage om systematisk svindel blev rettet mod Google i en anonym skrivelse. Det skriver The Next Web. Skribenten bag anklagerne skulle være en tidligere medarbejder hos Google i Adsense-afdelingen, men det er heller ikke bekræftet og anklagerne skal derfor tages med et stort gran salt.

I det anonyme brev på Pastebin beskriver kilden i detaljer, hvordan cheferne for Adsense-programmet fra 2009 indførte en ny politik, hvor medarbejderne skulle fokusere på at tjene flere penge til Google ved at suspendere konti uden grund.

Adsense er et meget udbredt reklamekoncept, hvor en webside-ejer kan få betaling fra Google for at vise en boks med reklamer, som Google opdaterer. Afhængigt af trafikken på websiden får udgiveren, som de kaldes i Adsense-sammenhæng, betaling fra Google for ulejligheden. Men hvis en udgiver overtræder reglerne for Adsense, bliver pengene tilbageholdt.

Tricket var – ifølge de anonyme anklager – at medarbejderne skulle opfinde grunde til at lukke de konti, der stod til at få udbetalt store beløb, og gøre det lige før udbetalingsdagen. Dermed var reklamerne blevet vist, og Google kunne kræve betaling fra annoncørerne – men altså undgå at sende en del af kagen videre til udgiveren, som blev snydt for sin løn.

Den påståede svindel blev løbende udviklet, så Google ifølge anklagerne også pillede ved besøgsstatistikken i Google Analytics, så besøgstallene så lavere ud end de reelt var. Nogle af udgiverne blev dog placeret i en ’grøn gruppe’, som medarbejderne ikke skulle pille ved. Det var både firmaer og personer, som Google frygtede kunne give ballade og skabe opmærksomhed om svindlen, men også både nuværende og tidligere ansatte hos Google, lyder det i beskrivelsen af arbejdet hos Google Adsense.

Et andet problem, som bliver nævnt i anklagerne, er politikken om at lukke en konto, hvor der bliver klikket løs på reklamerne fra én IP-adresse. Det skal beskytte imod misbrug, så en udgiver ikke selv kan hæve sin løn med en masse kliks, men gør det også nemt for andre at få lukket en Adsense-konto ved at klikke mange gange på en reklame.

Google har sendt en skriftlig reaktion ud, hvor firmaet afviser anklagerne som ’ren fiktion’.

Ordningen med forskellige grupper af udgivere, herunder den urørlige grønne gruppe, og politikken om ’ekstrem kvalitetskontrol’, eksisterer ikke, skriver Google, uden at skrive mere specifikt, om de har eksisteret.

Siden Googles spæde start i 1998, har man kunne sætte et stort Intel Inside-klistermærke på firmaet, som altid har brugt x86-processorer fra Intel i de mange enorme datacentre, fyldt med simple, hjemmebyggede servere.

Men nu er der opbrud, for Google har offentliggjort et hjemmedesignet bundkort, der er bygget op omkring en Power8-serverprocessor fra IBM. Det skriver Wired.

Udviklingen er sket hånd i hånd med IBM og den nye OpenPower-sammenslutning, hvor en stribe firmaer og kunder vil samarbejde om at udvikle ny hardware til serverrummet.

At Google har gjort sig den ulejlighed at portere software-stakken til en anden server-platform viser, at det er en seriøs satsning, der bliver lagt kræfter bag. Og selvom Google – der angiveligt er verdens femtestørste server-processor-kunde hos Intel – stadig vil have enorme mængder servere med Intel-chips, er Googles ønske om at have to heste at satse på dårligt nyt for Intel.

Chipgiganten er nemlig de senere år blevet udfordret kraftigt af udbredelsen af smartphones og tablets – som næsten uden undtagelse kører på de strømbesparende ARM-processorer. Til gengæld har Intel fået endnu bedre fat om server-markedet, men bliver nu også her ramt af konkurrence fra både ARM og IBM’s Power-platform.

Modsat Intels lukkede produkter er ARM og Power-processorerne et mere åbent miljø, som alle kan købe licens til og udvikle på. Dermed bliver muligheden for innovation spredt på mange hænder. Omvendt er Intels hidtil succesrige innovationsopskrift ved at løbe ind i problemer, lyder analysen.

Intel har skrumpet komponenterne i processorerne år for år, men rammer snart en fysisk grænse for, hvor få nanometer det er muligt at arbejde med. Og når salget af processorer til desktop-computere skranter, går det også ud over udviklingsbudgettet til server-processorer, som har brugt samme teknologi.

En fysisk manifestation af Intels problemer befinder sig i Arizona, USA, nemlig en nybygget fabrik til chipproduktion, som trods prisen på svimlende 27 milliarder kroner nu står tom og ubrugt hen.

Det udløste forargelse i Finland, da det blev offentligt kendt, at Stephen Elop stod til en klækkelig bonus efter salget af Nokias telefondivisioner til Microsoft, hvor han også forlod direktørstolen. Den tidligere topchef stod til at få 141 millioner kroner.

Men nu, hvor Nokias telefonforretning er overtaget af Microsoft, og det fulde regnskab gjort op, er beløbet blevet endnu højere og lander på 181 millioner kroner. Det skriver BBC.

En del af beløbet afhang nemlig af Nokias aktiekurs, og den steg efter salget til Microsoft blev offentliggjort. Omvendt blev Nokias aktiekurs mere end halveret i de tre år, Stephen Elop var direktør for Nokia.

Stephen Elop kom fra Microsoft og var den første ikke-finske direktør for Nokia. Han overtog et Nokia, hvor udgifterne var høje, fremgangen med styresystemerne Symbian og Meego var langsom, men salget stadig solidt.

Hans kur – at skære kraftigt ned overalt og satse alt på Microsofts Windows Phone-system – var både generelt upopulær i Finland og endte også rigtig skidt for Nokia, som under Elop gik fra en markedsandel inden for smartphones fra over 30 procent globalt, til omkring 3 procent.

Derfor var der kraftige reaktioner på den rekordstore bonus, som blev udløst af salget af Nokia-divisionerne til Microsoft. I Stephen Elops kontrakt var der nemlig en klausul, som udløste alle hans aktieoptioner, hvis Nokia blev solgt og hans job blev nedlagt.

Balladen om hans bonus blev ikke mindre af, at bestyrelsen i Nokia tilsyneladende ikke var helt skarp på den del af hans kontrakt og først gav forkerte oplysninger til offentligheden. Klausulen blev også ændret få dage før salget til Microsoft gik igennem, så Stephen Elop ikke var forhindret i at fortsætte hos Microsoft efter salget, i stedet for at vente 12 måneder, før han måtte arbejde for en konkurrent, som aftalen oprindeligt lød.

Som svar på kritikken af den store bonus forklarede Stephen Elop blandt andet, at han var i gang med en skilsmisse, som gjorde det nødvendigt at tage imod pengene.