Monthly Archives: May 2014

Offentligt byggeri under Bygningsstyrelsen tager ikke hensyn til totaløkonomien, konkluderer Rigsrevisionen i en beretning. Her peger de blandt andet på, at styrelsen hverken har taget hensyn til driftsomkostningerne i egne byggeprojekter eller vejledt tilstrækkeligt på området.

Manglende fokus på totaløkonomien i et byggeprojekt kan blandt andet resultere i dårligere kvalitet, større udgifter til rengøring og højere energiforbrug. Derfor kritiserer de seks politisk udpegede statsrevisorer Bygningsstyrelsen i sagen.

‘Folketinget har således ikke haft et tilstrækkeligt grundlag for at beslutte, hvilke byggeprojekter der ud fra en total­økonomisk vurdering er mest fordelagtige for staten. Statsrevisorerne finder endvidere, at Bygningsstyrelsens vejledningsindsats i anvendelse af totaløkonomi har været helt utilstrækkelig,’ skriver statsrevisorerne blandt andet i deres bemærkning til beretningen fra Rigsrevisionen.

En af de seks Statsrevisorer, Venstres Kristian Jensen uddyber kritikken:

»Min vurdering er, at vi får byggerier som ikke er økonomisk optimale, hvor man i stedet for at vurdere hvilke materialer, man skal vælge for at driften bliver billigere, har sparet i anlæg. Det er den oplagte risiko,« siger han.

Konsekvenserne af de manglende vurderinger er dog svære at vurdere, påpeger Kristian Jensen.

»Når der ikke er lavet totaløkonomiske beregninger, kan vi ikke sige om det giver for eksempel højere energiforbrug eller dyrere rengøring.«

Rigsrevisionen har gennemgået fem af Bygningsstyrelsens nyere byggeprojekter og konkluderer, at styrelsen ikke har fulgt reglerne og taget hensyn til totaløkonomien i de fem tilfælde. Derudover konkluderer rapporten, at Bygningsstyrelsen og de andre styrelser, der har været ansvarlige for området har kendt til de manglende vurderinger i flere år.

Derudover har Rigsrevisionen undersøgt 14 andre byggerier, hvor totaløkonomien ikke er omtalt. Det er dog ikke alle det offentliges byggerier, der glemmer de totaløkonomiske vurderinger, konkluderer rapporten fra Rigsrevisionen. I de tilfælde, hvor byggerierne er blevet til i samarbejde eller partnerskab med private, er der taget hensyn til totaløkonomien. Netop denne pointe bider Kristian Jensen mærke i.

»Det undrer os, at Bygningsstyrelsen har blæst på totaløkonomien i egne projekter, men taget hensyn til det i for eksempel OPP-projekter,« siger Kristian Jensen og påpeger, at det gør det sværere at sammenligne OPP-projekter med offentlige projekter.

Bygningsstyrelsen oplyser til Rigsrevisionen, at totaløkonomiske vurderinger ikke har været en prioriteret hidtil, men at den nu vil anvende og dokumentere totaløkonomiske vurderinger.

Jeg sad og lyttede til et radioprogram om, at EU havde godkendt ( gennem afstemning ), at alle nye biler produceret efter oktober 2015 skulle have installeret en lille, sort boks, som i tilfælde af uheld ville ringe op til en alarmcentral og give bilens position. Faktisk, endte jeg med at blive ringet op af radiostationen og udtale mig. Men det er en anden historie.

Boksen vil “kun” lægge €100 oven i prisen og ikke genere føreren under kørslen.

Se, nu er der jo “kun” tale om et system, som i tilfælde af ulykke skal ringe op til alarmcentralen og give data ( via en GSM/GPRS forbindelse ). Og det er jo ok.. eller….

Nu er der jo så liiiige den lille krølle, at nogle fabrikanter allerede har det installeret og sender / modtager data, som kan hjælpe ejeren og fabrikanten omkring softwareopdateringer, fejlsøgning etc. Og det er vel ok..

Se, jeg har jo lært værdien af data. Da jeg udviklede instrumenter hos Brüel & Kjær Sound and Vibration Measurement A/S, lærte jeg, at man kan udlede ekstremt meget af fx. måling af vibrationer, så jeg begyndte at tænke lidt over hvad, man kan bruge sådan en lille boks til :

Stik mig en sort boks, som kan give mig målinger om position, hastighed, gerne acceleration og vibrationer. Så kan jeg logge, hvor køretøjet var på ethvert tidspunkt, og hvordan, det kørte.
Kombinér det så gerne med eye tracking ( installeres i nogle køretøjer for at sikre, at føreren ikke falder i søvn under kørslen – medfører hyletone ), og så bliver det sjovt :

Sammenholder man disse data ( og gør dem tilgængelige over fx. fabrikanten / forsikringsselskaber ) kan man fx. afvise at udbetale forsikring baseret på, at føreren kiggede væk lige før uheldet. Man kan hæve forsikringspræmien for “usikre bilister”, fordi “Brian” lånte “fars” / “mors” bil og kørte råddent ( selv uden uheld ). Fabrikanten kan afvise garantireparationer under henvisning til, at “køretøjet er blevet håndteret på en måde, som ikke er tilladt i bestemmelserne for garantien”.

Man kan lave automatisk bødeudskrivning – max. tilladte hastighed er xx, og bilen siger, at den kørte yy. Sur mås, hvis data for hastighedsgrænser ikke lige er opdateret korrekt. Roadpricing kan også blive en realitet. Det vil lette Politiets efterforskningsarbejde ved fx. ulykker.

Hvis datarepository bliver tilgængelige for andre, kan man fx. finde ud af hvornår, ejerne er ude, så man kan begå indbrud ( ok, de data er allerede tilgængelige fra mobiltelefoner ). Man kan begynde at lægge profiler af folk ud fra bevægelsesmønstre ( fx. kan hidsig kørsel indikere aggression, hvilket medfører risiko for hjerteanfald – forsikringsselskaber kunne også være interesserede i disse ud fra spørgsmålet omkring sundheds-/livsforsikringer.

Mit gæt er, at disse små bokse er internet enablede, hvilket betyder, at de kan angribes, og stilles de samtidig i en situation, hvor de kan interagere med bilens hovedcomputer – fx. låsesystemet / bremser, kan det blive sjovt..

Hvad er egentlig mit problem med det ? Jo, foruden hele overvågningsissuet – jeg vil gerne have muligheden for at kunne slukke for min telefon og ikke blive sporet, så er der lige det med, at man ikke kan vælge løsningen fra.
Jeg værdsætter, at jeg selv kan vælge, om min telefon skal være tændt, og at jeg derfor kan spores. Jeg ønsker ikke at have en lille tracker på mig, jeg ikke kan slukke.

Det er anslået, at man ville kunne redde 2500 liv på det. Hvis man kigger rent statistisk på det, så er det ikke ret mange, når man tænker på hvor mange, som bliver berørt af dette tiltag. Og hvis man ville redde endnu flere liv, kunne man gøre noget ved andre ting ( fedme, rygning, nytårstaler etc. ).
Jeg er for, at man vælger løsningen til og ikke får den påduttet.
Og før nogen begynder på, at hvis det var mine kære / jeg, som sad i en bil, om jeg så ikke ville være tilhænger af et sådant system : har selv mistet familie ( herunder en dreng på 11 mdr. ) i en trafikulykke, hvor Politiet ikke kunne finde bilen. Selv har jeg et livstestamente, som gør, at jeg nægter at modtage livreddende førstehjælp / behandling, hvis / når det bliver nødvendig. Og jeg mener stadig, at det burde være op til dem at vælge, om de ville have en sådan sort boks i bilen.

Kan man få den fjernet / disablet ?

Så hvorfor er det lige, vi skal spores konstant? Jeg mangler stadig vinderargumentet, som skal overbevise mig om, at jeg skal have sådan en dims i bilen..

I kølvandet på Edward Snowden-afsløringerne greb de amerikanske myndigheder ind mod e-mail-tjenesten Lavabit, som var blevet brugt af Snowden. Lavabit tilbød nemlig stærk kryptering, som i udgangspunktet gjorde det umuligt for myndighederne at læse med.

Men ejeren af Lavabit, Ladar Levison, ville ikke udlevere nøglerne til kundernes e-mail og forsøgte at tage kampen op juridisk, uden held. I stedet valgte han at lukke tjenesten helt ned.

Nu fortæller han i et indlæg i avisen The Guardian for første gang mere detaljeret om, hvad der skete. Og i hans udlægning var det en højst ulige juridisk kamp, han kom ud i.

I første omgang blev han tvunget til at installere aflytningsudstyr, som kunne opsamle trafikken til og fra Lavabit-serveren. Men da FBI-agenterne også krævede, at han udleverede hovednøglen til krypteringen af indholdet på serveren, nægtede han, og sagen endte derfor i en hemmelig domstol, som Ladar Levison ikke måtte fortælle om.

Han kunne kun fortælle om sagen til advokater, i forsøget på at finde en, der kunne forstå teknikken bag krypteringen af Lavabit, og han endte med at måtte repræsentere sig selv, uden advokat, da han skulle møde op i en domstol i Virginia, 1.600 kilometer fra hans hjem. Med så kort varsel kunne advokaten, han fandt, ikke nå at komme med.

Udover krav om aflytning og udlevering af krypteringsnøgler blev Ladar Levison nu også præsenteret for ransagningskendelser, og hans forsøg på at appellere strandede, fordi han i sagen aldrig havde haft mulighed for at protestere over retskendelserne – og så vil appeldomstolen eller højesteret ikke tage sagen op.

Eneste mulighed, ifølge Ladar Levison, blev at lukke hele firmaet ned, for ellers ville amerikansk politi og efterretningsvæsen få fuld adgang til alle 400.000 kunders e-mails. Netop denne alt eller intet-adgang forsøgte han at gøre til omdrejningspunkt i den juridiske strid. På grund af krypteringen ville myndighederne skulle dekryptere al trafikken for at kunne finde data fra de personer, de var ude efter at overvåge. Men myndighederne mente, at så længe det blev foretaget af en maskine, ikke et menneske, var det inden for rammerne af reglerne om at gribe ind i meddelelseshemmeligheden. Og brugerne af Lavabit havde ingen juridisk grund til at forvente fuld beskyttelse mod, at andre kunne læse deres e-mails, lød konklusionen.

Både her på bloggen og i ”virkeligheden” møder jeg ofte en antagelse om, at en sourcingpartner er et fordyrende mellemled, som udvander omkostningsfordelen ved at outsource sin softwareudvikling.

Det er ikke så underligt, at den tanke opstår, for hvordan er det lige, det økonomisk kan betale sig at tilføje et mellemled, som selvfølgelig også skal tjene på outsourcing? Og er der ikke tilfælde, hvor man som virksomhed bedst kan klare tingene selv?

I dette blogindlæg vil jeg komme med eksempler på, hvor mange opgaver der egentlig er knyttet til en sourcingpartner, hvornår sourcingpartneren med stor sandsynlighed kan løfte opgaven bedre end virksomheden selv, og til hvilke opgaver virksomheden i princippet selv er den bedste til at tage sig af opgaven.

Da min erfaring som sourcingpartner ligger i Ukraine, er det selvfølgelig også det land, jeg tager udgangspunkt i, i dette indlæg, når jeg kommer med priseksempler, men jeg vil mene, at regnestykket er nogenlunde det samme, uanset om du outsourcer til Polen, Pakistan eller et helt tredje outsourcing-land.

På illustrationen (klik for at forstørre) kan du se, hvilke opgaver en sourcingpartner tager sig af i forbindelse med outsourcing af softwareudvikling, og hvad der derfor er dækket af det honorar, som går til partneren.

Makroforhold

Hvordan er markedet reguleret i det land, du ønsker at outsource til? Hvordan er skatteforholdene? Og hvordan er de generelle arbejdsmarkedsforhold? Hvis du ikke allerede har et indgående kendskab til landet, kræver det, at du sætter dig grundigt ind i makroforholdene, så du ved, hvordan du som virksomhed skal agere i landet. Med en sourcingpartner kan du slippe den del, da du kan forvente, at din sourcingpartner har helt styr på det.

Rekruttering

Kender du lønniveauet i landet? Hvis ikke, har du heller ikke en jordisk chance for at vide, om du kommer til at betale alt for meget for dine udviklere. Selvom du allierer dig med et rekrutteringsbureau, kan du faktisk risikere at betale for meget for dine udviklere, da rekrutteringsbureauets honorar afhænger af udviklerens løn. Derfor er bureauet selvfølgelig interesseret i at forhandle en høj løn til udvikleren. Når du ikke kender lønniveauet, synes du måske, at en udvikler til fx 25.000 kr. om måneden lyder billigt, men hvis samme udvikler normalt er ganske tilfreds med 17.000 kr., så betaler du reelt 8.000 kr. for meget ift. markedet. Hvis rekrutteringsbureauet samtidig tager 2 måneders løn i honorar, har du betalt 16.000 kr. for meget, bare for at komme i gang. Sourcingpartneren kender lønniveauet i landet og har ikke samme interesse i at puste lønniveauet kunstigt op.

Med en sourcingpartner er du stadig involveret i selve rekrutteringen, da det i sidste ende er dig, der vælger de udviklere, som passer bedst til dine opgaver ud fra en række relevante kandidater, som sourcingpartneren præsenterer dig for. Derfor slipper du for at bruge en masse tid på kandidater i en CV-bank, som måske slet ikke passer til dine opgaver.

Integration

Selve integrationen (det vil sige opstart af nye teams, integration mellem de danske og de outsourcede udviklere samt integration af nye teammedlemmer på eksisterende teams) kan du fint selv stå for. Men det kræver selvfølgelig, at du har én ansat i sourcinglandet til at tage sig af det, og at du har en forståelse for de kulturelle forskelle, der er mellem Danmark og det land, du outsourcer til.

Administration

Opgaver som visumansøgninger og lønudbetalinger er også forholdsvis nemme selv at gå til, men du skal være opmærksom på, at du får betalt de rigtige sociale bidrag m.v. Hvis du har styr på det, er opgaven enkel – især hvis du samtidig er indstillet på, at kontakten med de lokale myndigheder godt kan være en tidskrævende affære.

Fysiske rammer

Når du skal finde de rigtige fysiske rammer til dine udviklere, skal du kende reglerne for at eje/leje i et andet land, og derudover skal du overveje, om du har forudsætningerne for at forhandle en lejekontrakt i udlandet.

Når du bruger en sourcingpartner, følger de fysiske rammer med. Det vil sige, at dine udviklere har et sted at sidde, og at I har adgang til mødelokaler, scrum-rum, kantine m.v. I deler selvfølgelig de fysiske rammer med andre virksomheder, der har udviklere siddende igennem sourcingpartneren, men det betyder samtidig, at I får glæde af stordriftsfordelene. Huslejen er nemlig ret høj i fx Ukraine, modsat hvad mange tror. Huslejen i Kiev er for eksempel højere end i København, og huslejen i Lviv er højere end i Århus og Aalborg. Hvis du har 15 udviklere, skal de i sig selv have 75 m2, og med den ekstra udenomsplads kommer I nemt op på 200 m2. Hvis vi tager et eksempel i den billige ende, kan du få en m2-pris på 80 kr., det vil sige en månedlig husleje på 16.000 kr.

Udover huslejen skal du selv sørge for at forhandle en internetaftale på plads. Internet koster mere i Ukraine end i Danmark, og derfor er det bestemt en fordel, hvis du kan dele båndbredde med andre virksomheder i stedet for at betale det hele selv.

Dygtiggørelse

En sourcingpartner sørger for, at udviklerne løbende kommer på tekniske kurser, og at de får forbedret det engelske sprog, så det bliver nemmere for dig at kommunikere med dem. Selvfølgelig kan du også stå for den del selv, men det kan være besværligt, når du både skal finde de rigtige tekniske kurser i landet og bruge tid på sprogundervisningen.

Monitorering

I det øjeblik, du selv har en afdeling i fx Ukraine, er monitorering en af de ting, der sker automatisk. Det er også en af de opgaver, som du sagtens selv kan varetage, og i mange tilfælde giver det faktisk god mening, at du selv gør det, når du har en afdelingen dernede. Selvom en sourcingpartner naturligvis sikrer tid og ressourcer til monitorering af alle teams, vil fokus alt andet lige være delt med de andre teams. Det vil sige, at du selvfølgelig kan risikere, at der er enkelte tilfælde, hvor der ikke bliver taget hånd om dine udviklere med det samme, men at de i stedet må vente, til et andet udviklingsteam har fået hjælp.

HR

En sourcingpartner har typisk et godt forhold til uddannelsesinstitutionerne i landet, og de kender markedet, hvilket er et rigtig godt grundlag for den rekrutteringsproces, jeg nævnte tidligere. Derudover er det vigtigt, at der bliver taget hånd om udviklerne, så de er motiverede til at tale positivt om stedet, for du har brug for at have et godt ry, når du skal tiltrække de dygtigste udviklere. Det er i sagens natur sværere for en virksomhed med en lille afdeling at tiltrække de rigtige udviklere, end det er for en sourcingpartner, som har kontakt til mange udviklere. Selv store danske virksomheder kan have svært ved at tiltrække udviklere, hvis de ikke er kendte i sourcinglandet.

Med eller uden sourcingpartner?

Efter en gennemgang af alle de opgavetyper, en sourcingpartner tager sig af i forbindelse med outsourcing, er det forhåbentlig tydeligt, at du får rigtig mange ting serveret i det honorar, som går til sourcingpartneren. Der er uden tvivl områder, som ikke får den samme dedikation, som hvis du selv løfter outsourcingopgaven, men hvis vi alene kigger på økonomien, vil jeg påstå, at det næsten altid kan betale sig at involvere en sourcingpartner på grund af stordriftsfordelene og markedskendskab.

En meget velnæret sparegris står klar hos Google, øremærket til opkøb af spændende firmaer uden for USA. Faktisk har Google tænkt sig at bruge mellem 109 og 163 milliarder kroner (20-30 milliarder dollars) på opkøb de kommende år.

Det afslører et dokument fra Google til USA’s Securities and Exchange Commission, der fører tilsyn med børsnoterede virksomheder. Dokumenterne er fra sidste år, men er netop blevet frigivet til offentliggørelse, skriver Infoworld.com.

Finten med at sætte penge til side for at købe udenlandske firmaer handler langt hen ad vejen om skatteregler, for ved ikke at sende indtjeningen fra udlandet til hovedkvarteret i USA, slipper Google for at betale skat af det. Omkring halvdelen af Googles omsætning var i 2012 uden for USA.

Hvor lang en periode, Google vil bruge de mange milliarder over, fremgår ikke. Men firmaet har ikke holdt sig tilbage de seneste år, hvor opkøbet af Motorolas mobildivision til 67 milliarder kroner i 2012 var det mest opsigtsvækkende. Siden er Motorola dog blevet solgt videre til Lenovo.

I januar 2014 købte Google firmaet Nest, som producerer intelligente røgalarmer og andre husholdningsapparater, for den nette sum 17,4 milliarder kroner. Et andet opkøb til op mod 27 milliarder kroner var også på vej, men blev droppet, oplyser Google i dokumenterne til myndighederne, uden at ville sætte navn på firmaet, der ikke blev købt.

I løbet af 2013 har Google gennemført 20 opkøb til i alt 7,6 milliarder kroner, hvor opkøbet af navigationstjenesten Waze fra Israel til 5,5 milliarder var det klart største.

Ikke alene siger PCI-compliance og lignende standarder ikke meget om det reelle it-sikkerhedsniveau i en virksomhed, som Version2 tidliger har kunnet fortælle, det kan ligefrem give en falsk sikkerhedsfølelse. Det mener Eddie Schwartz, vice-precident inden for cybersikkerhed ved netværksvirksomheden Verizon.

PCI DSS står for Payment Card Industry Data Security Standard er for nyelig blevet aktuel i forbindelse med sagen om Se & Hørs såkaldte tys-tys kilde, da Nets, hvor kilden havde adgang til følsomme data, årligt bliver certificeret efter de mange krav i PCI-reglerne – senest i september 2013. Blandt andet finansielle institutioner skal lave op til PCI-kravene, der ifølge Better Business Bureau kunne være

• Overvåg og test netværk og systemer, der indeholder data om betalingskort
• Implementer og håndhæv en virksomhedspolitik for informationssikkerhed
• Installer og opdater en firewall der beskytter kortholderdata i virksomhedens systemer
• Tildel hver eneste ansatte med computeradgang et unikt brugerid og brug robust kodeord (eksempelvis en blanding af bogstaver, tal og symboler), som bliver skiftet ofte (hver 45-60 dage).
• Begræns den fysiske adgang til virksomehdens systemer og filer med kortholderdata udelukkende til de ansatte med et forretningsmæssigt behov for at kunne tilgå dem.

Version2 mødte Eddie Schwartz til et pressearrangement i Amsterdam, som Verizon havde inviteret til.

»Hvis du siger: Jeg har bestået kravene til PCI-standarden, og nu er jeg sikker, så giver det en falsk følelse af sikkerhed,« siger han.

Og ifølge Eddie Schwartz har mange virksomheder haft en tendens til at tro, hvis de lever op til de såkaldte compliance krav, såsom PCI, så nyder de også godt af en medfølgende sikkerhed. Men det er den forkerte måde at anskue det på, påpeger Schwartz:

»Man skal vende det 180 grader og sige: Lad os starte med at få god sikkerhed på plads, og så fokusere på PCI efterfølgende eller andre compliance-standarder.«

Han påpeger, at hvis en virksomhed starter med at få sikkerheden på plads, så vil resultatet være, at virksomheden per definition vil leve op til de fleste af eksempelvis PCI-kravene. Men det er ikke nok bare af fokusere på disse krav i forhold til sikkerhed.

»Compliance er grundlæggende bare en checkliste over minimumskrav inden for en standard,« siger Eddie Schwartz og tilføjer:

»Sikkerhed er et større billede. Ja, det kan godt være, du lever op til disse minimumskrav, men under visse omstændigheder, eksempelvis i forbindelse med behandling af følsomme data, skal man op på et langt højere niveau, end det, der lægges op til i minimumskravene.«

Men hvis ikke PCI siger noget reelt om sikkerhedsniveauet, hvad skal man så fokusere på, hvis man er på udkig efter en it-leverandør?

»Når du er på udkig efter en 3. parts leverandør, så skal du spørge dig selv: Har denne leverandør de samme standarder indenfor sikkerhed, som jeg selv anvender?,« siger Eddie Schwarz og fortsætter:

»Lad os sige, der er tale om en offentlig myndighed. Denne gruppe har altid høje sikkerhedsstandarder, hvad angår privacy, i forhold til at beskytte deres egne data. Den samme standard skal bruges i forhold til enhver leverandør, de arbejder med. Uanset om det er en stor eller en lille leverandør, skal de leve op til disse standarder,« siger Eddie Schwartz.

Og hvis der er tale om en mindre leverandør, som kan have svært ved selv at leve op til den sikkerhedsstandard, myndigheden forventer, så må myndigheden assistere virksomheden med at komme op på det niveau – såfremt det produkt leverandøren kan levere, er uundværligt for myndigheden, mener Schwartz.

Mens danskerne på grund af NemID er tvunget til at have Java på computeren, har resten af verden kunne følge råd fra sikkerhedseksperter om at fjerne plugin’et, som i dag kun bliver brugt af ganske få websider af betydning.

Denne opmærksomhed om Java har tilsyneladende fået hackerne til at finde andre jagtmarker, for nu viser en analyse af et populært hackerværktøj, at Microsofts Silverlight-plugin har overhalet Java som den mest brugte trædesten, når hackerne skal inficere en computer med malware. Det skriver Ars Technica.

Det er Cisco, som står bag undersøgelsen, der er baseret på hackerværktøjet Angler, og siden 23. april har der været en solid stigning i brugen af Silverlight som angrebsvej, rapporterer det store netværksfirma, som har sin egen sikkerhedstjeneste.

Angrebene gennem Microsofts Silverlight kræver, at plugin’et ikke er opdateret, for hackerværktøjet udnytter to sårbarheder, som er blevet lukket af Microsoft for 14 og 7 måneder siden. Men der har ikke været samme fokus på at sikre Silverlight med patches som der har været omkring Java.

Samtidig er browserne blevet mere påpasselige med at køre Java, og de fleste kræver nu som standard, at brugeren klikker ja til at køre Java-kode. Og mens brugen af Java til at peppe en webside op er dykket, bliver Silverlight stadig brugt mange steder til for eksempel video-streaming.

Mens danskerne i løbet af sommeren kan skrotte Java, fordi NemID kommer i en ny Javascript-baseret udgave, lyder rådet altså at kaste lidt opmærksomhed efter Silverlight-plugin’et også, hvis man har det installeret, men ikke har nyeste version.