Monthly Archives: September 2014

Indtil for nyligt kunne det se ud som om, brugere af borgere.dk var logget ud, selvom de faktisk var logget på. Nu har Digitaliseringsstyrelsen, efter en læser gjorde Version2 opmærksom på problemet, lukket for det potentielle sikkerhedshul.

Fejlen, som V2-læseren opdagede og har testet i Chrome, kunne fremkaldes på følgende måde:

Først skal en bruger bevæge sig ind på på borger.dk, dernæst klikke på det grønne faneblad ‘MinPost’ og så logge på med NemID. Når der derefter bliver klikket på den grå forside knap øverst til højre, så vil der nu stå ‘log på’, hvor der i skærmbilledet før stod ‘log af’ – selvom brugeren stadig er logget på.

Dermed kan en bruger tro, at han eller hun er logget af, selvom det altså ikke er tilfældet.

Og bliver der ikke logget rigtigt af på eksempelvis en offentlig tilgængelig computer ville andre i princippet kunne fortsætte brugerens NemID-session på den digitale selvbetjeningsportal.

Kontorchef for Center for Systemforvaltning og sikkerhed i Digitaliseringsstyrelsen, Morten Mejer-Warnich, medgiver, at den slags fejl ikke må optræde på borger.dk.

»Vi har kunnet rekonstruere scenariet, hvor man fra digital post går tilbage til forsiden. Man vil stadig være logget ind, men tilstanden, som skal definere, hvorvidt man bliver præsenteret for en logud-knap, den kommer ikke til at fremstå korrekt,« siger han og tilføjer

»Og jeg er helt enig i, at det sagtens kan føre til en tvivl om, hvorvidt man er logget ud eller ej. Der må ikke kunne opstå den type misforståelser, når man navigerer rundt på sitet. Så derfor skal vi selvfølgeligt have rettet den slags til.«

Morten Mejer-Warnich fortæller, at fejlen blev rettet på baggrund af Version2′s henvendelse, i går, tirsdag, og at det var en mindre justering af hjemmesiden, der skulle til for at løse problemet.

Apple’s seneste firmwareopgradering iOS 8 byder på forbedret sikkerhed til iPhone-brugerne, skriver New York Times.

Opdateringen giver en bedre beskyttelse af private oplysninger på telefonen, så det ifølge Apple bliver teknisk umuligt for selskabet at efterleve krav fra eksempelvis den amerikanske regering om at udlevere brugeroplysninger.

Den nye sikkerhedsfeature sørger for at beskytte informationen bag brugerens firecifrede pinkode, hvilket blandt andet gælder fotos, emails, beskeder, kontakter, opkaldshistorik m.m.

»Apple kan ikke omgå pinkoden og kan derfor ikke få adgang til disse data. Derfor er det ikke teknisk muligt for os at svare på regeringens krav om udlevering af data fra enheder, der kører på iOS 8,« skriver Apple’s direktør, Timothy Cook, i et åbent brev, der følger med softwarens opdaterede fortrolighedspolitik.

Beskyttelsen gælder dog ikke for iCloud, så dem, der gemmer filer her, vil stadig kunne risikere at få deres oplysninger udleveret ifølge New York Times.

Nyheden om Apples tiltag for at sikre forbrugernes privatliv kommer kun knap tre uger efter, at en større mængde af private fotos fra berømtheder blev lækket på internettet, som mistænkes at skyldes et sikkerhedshul i Apples iCloud-tjeneste.

Apple udleverer engang imellem oplysninger om brugerne, når regeringer forlanger det. Det gælder for 0,00385 pct. af brugerne ifølge Apple. Hvis man tager udgangspunkt i, at der findes omkring 800 mio. iTunes-konti, så svarer det til, at omkring 30.000 personer, har fået udleveret deres personlige oplysninger.

Inden du opdaterer til den nye version af iOS, så er det værd at bemærke, at den indeholder en fejl, der gør, at brugerne ikke kan omstille opkald på TDC’s netværk.

Opdateret den 18.09.2014 kl. 14.47

Analytikerne hos Microsofts søgemaskine, Bing, har brugt den skotske folkeafstemning som test af søgemaskinens evner til at forudsige resultater af begivenheder inden for Storbritannien. Og resultatet pegede op til valgstedernes åbning på et snævert nej.

Helt præcist forudsiger den britiske udgave af Bing et resultat, der siger 48,7 procent ja og 51,3 procent nej.

Forudsigelsen er baseret på blandt andet de søgninger, som personer bosiddende i Skotland har foretaget, samt indsamling af data fra sociale medier, skriver Bing-folkene i et blogindlæg.

Microsofts analyseafdeling har tidligere brugt store begivenheder som test af, hvor gode deres systemer er til at lave forudsigelser. I forbindelse med VM i fodbold i Brasilien forudså Bings analyser 15 ud af de 15 kampe efter den indledende runde i slutrunden. Analyseafdelingen forudså også, at Danmark i 2013 ville vinde det europæiske melodigrandprix.

Opgaven med at forudsige en folkeafstemning er dog vanskeligere ifølge Microsoft. Eksempelvis kan der være brugere, som kommenterer valget på sociale medier, som ganske vist bor i Skotland, men ikke kan stemme, fordi de ikke er gamle nok.

Samtidig er det ikke en tilbagevendende begivenhed som sportskampe eller et præsidentvalg, så der er ikke noget datamateriale at korrigere dataene ud fra.

Bings målinger bygger desuden på analyser af tekst i opdateringer på sociale medier som Twitter og søgninger, hvor softwaren forsøger at afgøre, om afsenderen er positivt eller negativt stemt. Samtidig har analytikerne også forsøgt at afgøre, hvor mange der er i tvivl.

Ved at se på udviklingen over tid har analytikerne forsøgt at lave en model, som skulle forudsige, i hvilken retning tvivlerne ville gå, og det så altså ud til, at det ville komme nej-siden til gode, da Microsoft lavede den sidste opdatering onsdag, dagen før valget.

Rekrutteringsprocessen er blevet IT-branchens svøbe, den virkelige dræber af nytænkning og kreativitet, som ellers er bydende nødvendig for at blive førende på globalt plan. HR har sammen med rekrutteringsfirmaer overtaget rekrutteringen, men de forstår sig ikke på IT og er derfor er nødt til at støtte sig op ad certificeringer, som for det meste bliver udenadslære omkring et specifikt produkt. Den blinde leder den blinde …

Jeg er bestemt ikke anderledes end de fleste andre, som på et eller andet tidspunkt har ledt efter nyt arbejde, og har derfor været igennem en rekrutteringsproces.

Processen starter hos rekrutteringsbureauet. De fleste – og jeg mener de fleste rekrutteringsbureauer, for der er også nogle få professionelle og kompetente blandt dem – sidder bare og leder efter nøgleord i deres database eller på LinkedIn og prøver at matche det med den opgave, de nu har liggende foran sig. En opgave, som de meget vel også kan have fundet på et jobsite ligesom dig eller mig.

Med andre ord: Det er jo ikke den store værdi, de tilfører, og de bliver derfor nærmest et irriterende, fordyrende og fordummende mellemled. Med fordummende mellemled mener jeg, at hvis man kun kan finde ud af at matche nøgleord, så kunne man lige så godt sælge kuglepenne og kopipapir.

Nu matcher nøgleordene altså, men hvordan sikrer rekrutteringsbureauet sig, at kandidaten er nøgleordskvalificeret? Ta daaa… producenten af nøgleordsproduktet entrerer med certifikater, og det betyder, at kandidaten har udenadlært produktets funktionalitet og har svaret 70% korrekt i en multiple choice test.

Kandidaten er nu dømt kvalificeret til jobbet og bliver præsenteret for arbejdsgiverens HR-afdeling, som ligeledes ikke er teknikere og kun forstår sig på nøgleord. For at HR-afdelingen skal kunne retfærdiggøre sin deltagelse i rekrutteringsprocessen, skal kandidaten også lige gennemgå en Myers-Briggs, DiSC eller Oxford Capacity Analysis personlighedstest.

Mine damer og herrer, vi har nu det, som man kalder en fuldendt evig fødekæde i selvsving, og som bare vokser sig større og stærkere. Og så er den endda CMA (Cover My Ass) sikker, for hvad sker der, hvis medarbejderen, altså den tidligere kandidat, er en inkompetent klodsmajor og taber en svensknøgle ned i den forretningskritiske server? Tja, HR–afdelingen henholder sig til personlighedstesten og certificeringen, og ligeledes gør rekrutteringsbureauet, og medarbejderen bliver forfremmet til mellemleder, så han ikke kan forvolde mere skade.

Rekrutteringsprocessen er simpelthen en win-win-win-win situation, alle kommer ud som vindere. Men alle kandidater bliver reduceret til maskinoperatører i processen, og selv om man sagtens kan være en kreativ operatør, så opretholdes status quo.

Skal vi egentlig bruge nytænkning og kreativitet til noget, eller handler det hele bare om at få hevet den næste månedsløn hjem inden musikken stopper? Jeg personligt ønsker nytænkning og kreativitet tilbage, men jeg har bare ikke den fjerneste anelse om hvordan… for det ser ud som en tabt sag: hvem ønsker at lave noget om, hvor alle er vindere på den korte bane? Er der nogen der sidder inde med svaret? Eller har erfaring med hvad man gør i andre lande, eller andre brancher?

Og lige et par ord om ansøgningslæsende nøgleordsrobotter: programmer som leder efter nøgleord i din elektroniske ansøgning; se eventuelt disse råd i denne artikel. Det gode råd består i at tale virksomheden efter munden ved at bruge de samme nøgleord i ens ansøgning, som virksomheden selv bruger på sin hjemmeside og jobannonce. Den menneskelige kontakt bliver reduceret til, at ansøger skal føre oprustningskrig mod tåbelige programmer, samtidig med at de ansvarlige for rekruttering kan lave alt muligt andet. Lidt ligesom da bankerne flyttede alle kontant transaktioner ud på gaden, så bankassistenterne ikke blev forstyrret i tide og utide af irriterende kunder, som absolut insisterede på at hæve deres penge i åbningstiden.

Det minder mig i det hele taget utrolig meget om dagens SEO, jeg tror den næste ansøgning jeg kommer til at skrive, vil indeholde hele virksomhedens hjemmeside og jobannoncetekst i mikroskopisk fontstørrelse i samme farve som baggrunden – tag den! dumme robot!

I dag byder vi en ny blogger velkommen her i bloggeruniverset, Version2’s bankende hjerte.

Gordon Flemming har før skrevet gæstebloggen ’En privat sky fødes’, og nu springer han altså ud i sensommeren med en blog om de it-tanker, han går og gør sig.

Gordon er efter eget udsagn it- filosof, strategy, columnist og hands-on problemknuser uanset teknologi, og i sit første indlæg raser han over måden, man som it-person rekrutteres på:

‘Rekrutteringsprocessen er blevet it-branchens svøbe, den virkelige dræber af nytænkning og kreativitet, som ellers er bydende nødvendig for at blive førende på globalt plan. HR har sammen med rekrutteringsfirmaer overtaget rekrutteringen, men de forstår sig ikke på it og er derfor nødt til at støtte sig op ad certificeringer, som for det meste bliver udenadslære omkring et specifikt produkt. Den blinde leder den blinde … (…)

Processen starter hos rekrutteringsbureauet. De fleste – og jeg mener de fleste rekrutteringsbureauer, for der er også nogle få professionelle og kompetente blandt dem – sidder bare og leder efter nøgleord i deres database eller på LinkedIn og prøver at matche det med den opgave, de nu har liggende foran sig. En opgave, som de meget vel også kan have fundet på et jobsite ligesom dig eller mig.

Med andre ord: Det er jo ikke den store værdi, de tilfører, og de bliver derfor nærmest et irriterende, fordyrende og fordummende mellemled. Med fordummende mellemled mener jeg, at hvis man kun kan finde ud af at matche nøgleord, så kunne man lige så godt sælge kuglepenne og kopipapir.’

Læs resten af indlægget her.

VMware er lige kommet med en rapport, der konkluderer, at en disaster recovery-plan skal implementeres FØR uheldet sker. ”Selvfølgelig!”, tænker du måske. Men det er bare slet ikke en selvfølgelighed ude i danske virksomheder. Rigtig mange virksomheder har kun implementeret backup og har ikke skænket recovery-planer en tanke. Eller de har muligvis skænket det en tanke, men har skubbet det fra sig igen, fordi det virker uoverskueligt at opstille de katastrofescenarier, man kunne komme ud for, hvis ens systemer brød ned. For slet ikke at tale om at lave planer for, hvad man så skulle gøre hvornår, og hvor lang tid det ville tage at komme op at køre igen, hvis uheld af større eller mindre karakter skulle være ude.

Når jeg støder på virksomheder, der får kørt remote backup, er situationen tit endnu værre: Her adopterer man som regel helt ukritisk den backup-politik, som remote backup-leverandøren foreslår. Og man tager det uden at blinke for givet, at leverandørens recovery-plan virker.

Nu forholder det sig bare sådan, at man godt kan outsource dét at tage backup, men man kan ikke outsource ansvaret for, at det rent faktisk kan lade sig gøre at restore data og komme i luften med sine systemer, når uheldet indtræffer. Jeg er i hvert fald aldrig stødt på en remote backup-kontrakt, der dækker alle tab, hvis leverandøren ikke kan restore data i forlængelse af nedbrud.

Så der er mig bekendt ikke mange, der har prøvet at lave en komplet restore ud fra remote backup’ede data, og det er rent faktisk den eneste måde, man kan finde ud af, OM det overhovedet kan lade sig gøre, og ikke mindst hvor lang tid det tager.

Det, man som minimum skal lave, er planen for, hvad man vil gøre, hvis uheldet er ude. Hvis man ikke vil teste fra den ene ende til anden, bør man i hvert fald afprøve, om man kan reetablere de mest vitale systemer. Derudover bør man teste, hvilken restore-hastighed man egentlig kan forvente fra sin leverandør. For én ting er den teoretiske makshastighed på ens linje eller det netværk, der forbinder én til backup-serveren. En anden er, hvordan leverandørens isenkram er bestykket. Det er jo ikke sikkert, det er kraftigt nok til at kunne levere samtlige de nødvendige data.

Det andet, man skal huske at tage stilling til, er, hvilke scenarier man kunne forestille sig at restore fra. Det kan være dagligdags ting, som at en bruger har slettet en fil eller en mail. Eller det lidt værre scenarie, at man har lavet en fejl i en database og gerne vil have databasen reetableret. Og så er der worst case scenario, hvor alt brager ned, og hele systemet skal reetableres.

Rigtig mange steder, hvor man får kørt remote backup, ved man ikke, hvad leverandørens politikker går ud på. Og der, hvor man anvender leverandørernes standard-backup-politikker, indeholder de som oftest kun fem eller helt ned til to versioner af kundernes data.

Når vi er ude hos en virksomhed og opdager, at der kun er gemt fx to versioner af data, er det, når vi skal installere et andet backup- system. Pludselig fylder backup’ede data markant mere, for vi anbefaler generelt, at man gemmer mindst 14 versioner, fordi de fleste gerne vil kunne reetablere data 14 dage tilbage. For alle kan blive enige om, at hvis man mister data, så vil man bare gerne have det sidste, der virkede, tilbage! Men problemet er, at hvis man kun har to versioner, så har man kun to dage til overhovedet at opdage, man mangler data. Er der gået tre dage, er lige præcis de ønskede data måske væk!

Eller endnu værre: Man har en database, og en udvikler sletter ved en fejl en tabel, der indeholder data, man kun bruger en gang om måneden, fx i forbindelse med fakturering eller afskrivning på anlægsaktiver. Hvis der så er gået mere end to dage, siden tabellen blev slettet, og man kun har gemt to versioner, ja så er data endegyldigt tabt.

Man kunne også forestille sig, at man fredag morgen modtager en mail inficeret med mallware. Det bliver ikke opdaget med det samme, fordi ens antivirusprogram endnu ikke kender lige præcis denne type mallware. Så går man på weekend. Og mandag morgen møder man ind og opdager, at ens antivirus hen over weekenden endelig har detekteret mallwaren. Men nu er det jo tre dage siden, man havde en sund mailstore, så hvis ikke ens antivirusprogram er i stand til at fjerne virus, så har man en virusinficeret mailstore, uden mulighed for at kunne komme tilbage til den sunde via ens backup-data.

Så mine råd er:

• Stil krav – også til remote backup-leverandørerne.
• Få overblik over virksomhedens recovery-muligheder.
• Tænk over, om I kan leve med disse recovery-muligheder, hvis uheldet skulle være ude.

I 2011 vandt det store it-projekt Det Fælles Medicinkort, FMK, Digitaliseringsprisen. Dengang lignede det en succes og en afgørende brik for fælles it-systemer i sundhedssektoren. Siden da er projektet løbet ind i flere problemer, og det har fået Rigsrevisionen til at undersøge FMK.

Resultatet er en ny rapport, hvor Rigsrevisionen kritiserer FMK på en række punkter. Fra løsningen først var implementeret i 2011 til i dag, er systemet ikke blevet udbredt til alle de sektorer, som det var tiltænkt.

Mens FMK er i drift i flere regioner på sygehusene, er det også meningen, at kommunerne skulle tage det i brug til blandt andet hjemmeplejen. Men den tidsplan, som blev fremlagt i 2011, var baseret på urigtige oplysninger, idet flere kommuner allerede dengang forventede at være forsinket med at udrulle FMK.

Rigsrevisorerne kritiserer også FMK for dårlig sikkerhed. Når FMK er i fuld drift, vil cirka 200.000 medarbejdere i sundhedssektoren fra læger til hjemmehjælpere have adgang til systemet, men der er utilstrækkelig kontrol med, hvilke personer der har fået adgang, lyder det fra Rigsrevisionen.

Rigsrevisionen kritiserer også FMK for, at der ikke foregår tilstrækkelig oplæring af brugerne i at anvende systemet.

Endelig er prisen for FMK ukendt, idet der ikke findes noget overblik over, hvad implementeringen har kostet eller forventes at koste i de sektorer, som skal anvende FMK. Et tilskud til FMK på 200 millioner kroner fra ABT-Fonden siger dog noget om projektets størrelse.

Kritikken af FMK bakkes op af Dansk Industri ITEK, som efterlyser en opstramning af projektet.

»Både staten og regionerne bør tage rapportens kritik til efterretning og stramme op på ledelse og styring. Det ville helt klart have været en fordel, hvis projektet havde været igennem den fulde evalueringsmodel fra Statens It-projektråd,« udtaler branchedirektør Adam Lebech fra DI ITEK ifølge en pressemeddelelse.

Hos IT-Branchen finder man dog kritikken fra Rigsrevisionen for hård:

»Projektet er ekstraordinært vanskeligt, da medicinkortet bygger på en helt ny tankegang og samarbejde mellem sundhedsvæsenets forskellige sektorer. Organisatorisk har arbejdet været meget komplekst med mange statslige, regionale, kommunale og private aktører, der skulle arbejde sammen om en fælles integreret løsning,« udtaler Freddy Lykke, formand for IT-Branchens udvalg for sundheds-it, ifølge en pressemeddelelse.

Han peger eksempelvis på, at projektet har været forsinket på grund af problemer med Digital Signatur, som er ét af de mange systemer, FMK har været afhængigt af.

Fælles Medicinkort har, siden systemet først var parat til drift på hospitalerne, været ramt af problemer i blandt andet Region Hovedstaden, som måtte tage systemet ud af drift igen efter fejl med dosering af medicin.