Kryptert overføring av data via internett blir stadig vanligere, og ikke uten grunn. Mye av det vi mottar eller sender fra oss av data består av informasjon som er fortrolig, og i alle fall noe av dette kan utnyttes av ondsinnede dersom de får tak i det. Ikke minst gjelder dette innloggingsinformasjon, fødselsnummer, samt informasjon om betalingskort og banktransaksjoner.

Til tross for dette synder svært mange norske aktører når håndterer slik informasjon. Yngve N. Pettersen, en tidligere Opera-veteran som senere har sluttet seg til Jon Stephenson von Tetzchners Vivaldi, har analysert bruken av kryptering hos til sammen 243 norske nettbutikker.

Som seniorutvikler i Vivaldi er jobber Pettersen med blant annet med sikkerhet, men han understreker overfor digi.no at dette prosjektet er gjort i privat regi.

Pettersen har jobbet sikkerhet og sikkerhetsprotokoller i nettlesere helt siden 1997. Han står blant annet bak åpen kildekode-prosjektet TLS Prober, som kan brukes til å registrere hvilken SSL/TLS-funksjonalitet internett-tilknyttede servere støtter, samt sårbarheter de er berørt av. I mai i fjor omtalte digi.no en undersøkelse om utbredelsen av Heartbleed som Pettersen hadde utført med dette verktøyet.

Skuffende

I en omfattende rapport om undersøkelsen, konkluderer Pettersen at resultatet var mildt sagt skuffende. Det er mye å sette fingeren på, men for å nevne noe av verste:

Bare 16 prosent av nettbutikkene krypterer innlogging til konto, mens kun 30 prosent krypterer steget hvor man begynte prosessen med å registrere adresse og betaling.

– Det vil si at 70 prosent av nettbutikken ikke krypterte steget hvor man enten logger inn eller registrerer sitt navn og adresse, og starter prosessen for å betale, skriver Pettersen.

Derimot ser det ut til at trinnet hvor man gir fra seg kredittkortinformasjon i de fleste tilfeller skjer på en kryptert side. Men som Pettersen understreker – i det fleste tilfeller gjøres dette hos en tredjepart, for eksempel Nets eller Dibs. Det er likevel mange tilfeller hvor leverandøren av nettbutikkløsningen som står for dette. To av disse nettbutikkene registrerte kredittkortinformasjon på ikke-krypterte sider.

– Bryter trolig loven
Undersøkelsen viste at minst 26 prosent av nettbutikkene ber om fødselsnummer via en ukryptert side. Pettersen mener dette kan være et brudd på personvernloven, siden Datatilsynet opplyser at når fødselsnummer sendes via telekommunikasjon, skal det krypteres. Butikkene krever ofte at kunden oppgir fødselsnummer dersom de ønsker å betale med en kredittjeneste eller faktura.

Pettersen mener at hele nettbutikken bør krypteres, og særlig dersom man logger seg inn. Han nevner en rekke årsaker til dette, men sentrale stikkord er mulighetene for phishing og uønsket profilbygging som ukryptert overføring av data åpner for, ikke minst når brukeren benytter offentlige WLAN-soner. Disse kan enkelt erstattes av falske soner med likt navn.

Pettersen nevner at det problematiske ved at kassesteget ukryptert, er at man risikerer at kriminelle leder en over til en phishingtjeneste hvor man blir fralurt kredittinformasjonen eller betaler beløpet til feil mottaker.

– At nettbutikken er kryptert betyr ikke nødvendigvis at nettbutikken gjør alt på en sikker måte bak nettstedet, men det er den eneste måten en kunde kan få en indikasjon på hvor alvorlig nettbutikkens eiere tar kundenes sikkerhet, siden det ikke er praktisk mulig for de fleste å få kontrollert de indre systemene i nettbutikken, skriver Pettersen. Rapporten hans tar for seg flere andre momenter, inkludert en analyse av hvorfor disse nettbutikkene ikke benytter kryptering. Han mener dog at ulike myter er en del av årsaken.

Hvem har ansvaret?

Sikkerhetsrådgiver i God Praksis, Per Thorsheim, sier til digi.no at undersøkelsen til Pettersen er svært grundig. Men på ett punkt vil han går litt lenger enn Pettersen.

For der Pettersen skriver nettbutikkeieren ikke har hele ansvaret i de fleste tilfeller, fordi særlig de mindre butikkene ikke utvikler sin egen nettbutikkløsning, men i stedet kjøper den av en leverandør, mener Thorsheim at hele ansvaret ligger hos nettbutikkeieren.

– Jo, nettbutikken jeg handler i har ansvaret for hele løsningen, uavhengig av hvor og hos hvem løsningen faktisk kjører. Kommer mine data på avveie så holdes nettbutikken ansvarlig, og så må de gå sine underleverandører videre, skriver Thorsheim i en e-post til digi.no.

– Dessverre er det en kjent problemstilling at mange tror at outsourcing av drift også inkluderer outsourcing av ansvar, noe som er helt feil, skriver Thorsheim videre. Han ønsker nettbutikker generelt skal benytte HTTPS fra start til slutt, slik at alle hans kjøp – enten det er av syltetøy, undertøy, datamaskiner, pengegaver eller politiske medlemskap – beskyttes mot uautorisert innsyn.

Passord i klartekst
Pettersen nevner ikke passordsikkerheten til nettbutikkene i sin rapport, men det er grunn til å tro at det fortsatt finnes norske nettbutikker som lagrer brukernes passord i klartekst. Dette kan både leses av utro tjenere og ved eventuelle innbrudd. Den enkleste måten å teste dette på for en kunde, er å oppgi at man har glemt passordet. Dersom nettbutikken oppgir passordet kunden har valgt, så har det blitt lagret i leselig form. Da er det i alle fall viktig at man ikke bruker det samme passordet ved innlogging på andre tjenester.

Nettbanker
Mens det ikke sjelden er små aktører som står bak nettbutikker, så er saken en helt annen med nettbanker. Det er ingen norske enkeltpersonforetak som driver en nettbank i Norge. Likevel er er det mange nettbanker som ikke har like god sikkerhet som du kunne og burde ha hatt. Det viser en undersøkelse gjort av webhotellet Raskesider.no. I et blogginnlegg forklarer daglig leder Erlend Eide at undersøkelsen er gjort med SSL Server Test-tjenesten til Qualsys SSL Labs. Denne tjenesten har mye felles med TLS Proper-verktøyet til Yngve N. Pettersen. Det er altså TLS/SSL-konfigurasjonene til offentlige webservere som testes.

I undersøkelsen har Raskeside.no ganske enkelt testet konfigurasjonene til åtte velkjente nettbanker som er tilgjengelige i Norge. Resultatene rangeres fra A+ til F, hvor A+ er det beste resultatet, og F er det dårligste. Ingen av de åtte nettbankene oppnår A+, men to har fått en A, mens én har fått en A-. I motsatt ende har tre fått karakteren F. Vi velger å ikke gjengi navnet på nettbankene her, men de navngis i blogginnlegget hos Raskesider.no.

POODLE
Nettbankene som ikke oppnår høyere karakter enn F, bruker blant annet protokoller og chiffersamlinger som har kjente og klare svakheter. Alle tre bruker stadig versjoner av programvare som åpner for POODLE-angrep, som utnytter en sårbarhet som ble allment kjent i oktober i fjor.

– Dette betyr i praksis at sikkerhetssertifikatene ikke gir den beskyttelsen de er ment å gi, og at kundene som bruker disse nettbankene ikke kan være helt trygge på at det bare er banken som kan følge med på kommunikasjonen, skriver Eide.

digi.no ba Per Thorsheim om en kommentar også til denne undersøkelsen.

– Resultatene er det ingen grunn til å trekke i tvil, men det er viktig for meg å påpeke følgende:

• Innsyn i transaksjoner vil ha liten interesse, både for kriminelle og for statlige aktører som for eksempel NSA. Førstnevnte kan ikke tjene penger på det, sistnevnte har andre, mer effektive og ikke minst lovlige måter å få tak i informasjon om pengetransaksjoner på.
• Svakhetene som påpekes muliggjør ikke endring av transaksjoner, for eksempel endring av beløp eller overføring til andre kontoer.

Ikke godt nok
– Det som undersøkelsen allikevel avdekker, og som for meg personlig fremstår som en mer interessant svakhet, er at disse webserverne med tilhørende SSL-konfigurasjon åpenbart ikke driftes og følges opp godt nok, skriver Thorsheim.

– Dersom de ved installasjon har hatt et oppsett som på installasjonstidspunktet var i henhold til anbefalt god praksis, så ligger de nå langt bak. Det er vanskelig å se noen teknisk vurdering som rettferdiggjør å kjøre med karakter F. Det er godt kjent at spesielt A/A+-konfigurasjon kan forårsake problemer for en del eldre nettlesere og operativsystem. A- skal meg bekjent være kompatibelt med alt som er relevant å bruke per dags dato av nettlesere, avslutter Thorsheim.

Det er billigere å sende en pakke fra Kina til Oslo, enn fra Sandefjord til Oslo. Både Posten og norske nettbutikker fortviler.

– Hvert år kommer det et milliontall pakker til Norge fra nettbutikker i Øst-Asia. I fjor var økningen på over 30 prosent. Det er uheldig for oss, og det er uheldig for konkurransen mellom nettbutikker, sier Posten Norge-sjef Dag Mejdell til Dagens Næringsliv.

En gammel internasjonal postavtale gjør at de er pålagt å levere pakker fra såkalte u-land til fast lavpris, åtte kroner for en pakke på 300 gram.

Tap
Bestemmelsene i den internasjonale postunionen var aldri ment for netthandel. De var utformet i sin tid for å subsidiere brev og dokumenter fra utviklingsland til industrialiserte land.

– Vi taper penger på alle varer i brev som sendes fra disse landene. Når vi ser e-handel vokse fram gir det en del veldig uheldige konsekvenser for slike som oss, men også for konkurransen mellom nettbutikker. Det gir en konkurransefordel å drive fra Kina, og det er uheldig, sier Mejdell til avisen.

Posten opplyser at de i mange år har forsøkt å endre systemet, men uten å ha nådd frem. Konsernsjef Ole Vinje i Komplett deler frustrasjonen.

– I praksis betyr det at du kan sende varer billigere fra Hongkong til Oslo enn fra Sandefjord, sier Vinje.

Fri frakt
Den omstridte 200 kroners-grensen for toll- og avgiftsfri import ble i fjor hevet til 350 kroner, uten at forbrukerne nødvendigvis fikk noe å juble over. For heretter skal også frakten tas med i regnestykket.

Hevingen får således ikke den helt store virkningen, med et stort unntak. Nemlig de utenlandske nettbutikkene som spanderer frakten. Hos slike er tollgrensen i praksis økt med 75 prosent.

En rekke slike aktører befinner seg i Kina eller Øst-Asia, og forsendelsene går altså omtrent halve jorden rundt uten ekstra kostnad for kunden.

Det ser ikke ut til at smarttelefoner med safirglass blir like vanlige som forventet med det første, da materialet fremdeles er dyrt og vanskelig å jobbe med.

I mellomtiden ønsker den anerkjente glassprodusenten Corning, som står bak det vidt brukte Gorilla Glass, å befeste sin posisjon i markedet. Derfor viser de nå frem en skjermløsning som de hevder skal være ekstremt vanskelig å knuse, samtidig som det blir nesten like vanskelig å skrape opp som safir.

Corning bekreftet før helgen at de jobber med materialet, som de kaller for Project Phire. Selskapet regner med at de vil selge denne glasstypen mot slutten av 2015.

Corning-sjefen James Clappin sier at safir er utmerket for beskyttelse mot riper, men tåler ikke like godt å bli droppet. Derfor har selskapet utviklet et produkt som kombinerer robustheten til Gorilla Glass 4 med ripebeskyttelse som «nærmer seg» safir.

Gorilla Glass 4 er den nyeste varianten av Cornings teknologi, som finnes i svært mange smartmobiler og nettbrett, blant annet iPhone og Samsungs Galaxy-mobiler. I fjor høst var det svært mye snakk om at iPhone 6 skulle bruke safirglass, da Apple investerte stort i en fabrikk som skulle produsere dette. Dette prosjektet floppet, og Apple vendte tilbake til Corning.

Det spekuleres i at Project Phire kan også egne seg godt til smartklokker. I dag brukes safir på dyre klokker, og et rimeligere glass med egenskaper som ligner safir kan være en glimrende løsning for produsenter av høyteknologiske klokker, ikke minst Apple selv.

Digitalisering: Tid for nye tanker (del 1)

KOMMENTAR: En representant fra Accenture skal ifølge Dagens Næringsliv overfor Stortinget ha sagt at Nav-skandalen kunne vært unngått dersom en hadde brukt flere (Accenture)-konsulenter.

Da – om ikke før – burde en ha skjønt at en trenger å tenke nytt omkring digitaliseringen av offentlig sektor. Særlig siden konsulentene ikke klarer det.

Jeg skal i to artikler se nærmere på dette. Den ene problemstillingen er hvorfor enkelte IKT-prosjekter feiler og utvikler seg til skandaler. Den andre problemstillingen går på hvorfor «fellesorganer» som Difi og KommIT ikke klarer å spille den rollen fullt ut som «pådriver» for digitaliseringen i offentlig sektor.

Tenketank
Fellesnevneren for tiltakene er denne:

Etablèr en «tenketank» i offentlig sektor som har til oppgave kunnskapsutveksling mellom etater om erfaringer med store IKT-prosjekter, samt om hvilke fremtidige utfordringer offentlig sektor står ovenfor på sikt. Arenaen driftes av Difi og KommIT i fellesskap, og består i hovedsak av aktører fra offentlig sektor selv – og ikke konsulenter.

Men la meg begynne med en kritisk analyse av Difi og KommIT. Uten erkjennelse av at disse organene har grunnleggende problemer i seg i dag, får man heller ikke etablert nødvendig autoritet og legitimitet hos disse til å spille en rolle for å unngå at etatene rammes av «IKT-skandaler» i milliard-klassen.

Evaluering av Difi og KommIT i sammenheng
Både Difi og KommIT har blitt «evaluert» av uavhengige konsulenter, henholdsvis Agenda Kaupang og Rambøll. Den siste riktignok med et begrenset mandat. Jeg har tidligere kommentert begge rapportene. En mer omfattende vurdering vil nå bli foretatt av et eksternt konsulentfirma med dette mandatet.

Begge rapportene sier at henholdsvis Difi og KommIT har fungert rimelig tilfredsstillende, og gitt viktige bidrag til digitaliseringen i offentlig sektor, men at begge har vesentlige «forbedringspunkter». Leser man rapportene nøyere får man et noe annet inntrykk – det som kalles «forbedringspunkter» er grunnleggende svakheter ved begge organisasjonene.

Det kan derfor være interessant å sammenholde hva disse to rapportene egentlig sier, som grunnlag for en samlet vurdering.

Men først den generelle bakgrunnen:

Rammebetingelser
En vurdering av regjeringens IKT-politikk må ta utgangspunkt i 3 overordnede rammebetingelser:

1. Digitaliseringen av offentlig sektor må fremdeles ta utgangspunkt i en fragmentert offentlig sektor med selvstendig ansvar til den enkelte etat, og en selvstendig kommunesektor. Det nye som Regjeringen har innført er at etatene skal ansvarliggjøres for sin egen effektivitet, og at de skal måles på gjennomføringskraft.

2. Det overordnede politiske signal slik det fremstår utad er «forenkling, forbedring, fornying» og prosjektet «ta tidstyvene». Men overordnet dette – og mindre synlig – er det politiske mål en mer kostnadseffektiv og produktiv offentlig sektor: Statlige etater får redusert sine driftskostnader med 5 prosent hvert år – det forutsetter effektivisering i form av IKT.

3. Norsk offentlig sektor må omstilles til å møte nye krav som følge av endringer i omgivelsene. Offentlig sektor vil møte en eksplosjon etter velferdstjenester som følge av «den demografiske utvikling»; andelen av befolkningen over 67 år vil øke fra 13 prosent til 22 prosent innen 2060. Rent politisk står offentlig sektor da overfor den problemstilling at fler og fler tjenester blir privatisert – uten at dette er resultatet av et bevisst politisk ønske.

Ansvaret for å effektivisere offentlig sektor ligger altså på den enkelte etat og kommune. Organer som Difi og KommIT skal utføre oppgaver innenfor dette området som ikke dekkes av etatene eller kommunene selv. De skal være «limet» eller «tjenesteleverandøren» som skal bistå etatene og kommunene i deres digitaliseringsarbeid.

Hvis vi systematiserer hva de to rapportene sier om de to organene, kommer vi frem til følgende:

Rollen som faglig premissgiver på IKT-området
Begge rapportene sier at hverken Difi eller KommIT har lykkes i sin rolle som strategisk pådriver. Rapportene sier henholdsvis at det skyldes at Difi har vært for operativt orientert, og at det ikke har vært noen god rollefordeling på dette området mellom KS og KommIT.

Det rapportene imidlertid i liten grad diskuterer er hvorfor det er slik. En årsak kan være at politisk ledelse ikke har noen klar politikk for hvorfor en skal «digitalisere» offentlig sektor. Tidstyver og forenkling, er ikke noe klart politisk mål. Det ville imidlertid en politikk som forklarer hvordan offentlig sektor skal utvikle seg i et større tidsperspektiv for å omstille seg til de endringer som følger av endringer i økonomien, alderssammensetningen, økte krav til nye tjenester, etc. Men det finnes ingen klare tanker om hvordan offentlig sektor skal møte endringer i omgivelsene. KS fremmet i 2010 forslag om å nedsette et utvalg for å utrede hvordan dette ville påvirke kommuneøkonomien og velferdstjenestene. Det forslaget ble aldri fulgt opp.

Siden et slikt overordnet mål ikke er klart nok uttrykt, blir det vanskelig for et underordnet organ å peke på hvordan denne utfordringen kan løses «ved hjelp av IKT». I tillegg vil flere av problemstillingene ha sin bakgrunn i forhold som har lite med IKT å gjøre, nemlig behovet for regelverksendring og endret forvaltningsutvikling.

En mangler altså «overbygningen». Men hvis den hadde vært der, hadde det da vært naturlig å legge oppgaven som «faglig premissgiver til IKT-politikken» til et underordnet organ? Begge rapportene mener nei. Det må legges til der politikken utformes og forvaltes, henholdsvis i Kommunal og moderniseringsdepartementet (KMD) og i Kommunenes Sentralforbund (KS). Men da har først og fremst KMD en «ryddejobb» å gjøre: KMD har i dag en avdeling for IKT og fornying som består av fire enheter: Digitaliseringsenheten, Forvaltningspolitisk enhet, Seksjon for IKT i samfunnet og Økonomisk analyseenhet. Departementet er derfor for fragmentert i forhold til en slik oppgave, noe også Agenda Kaupang peker på.

Men hovedbudskapet er – rollen som faglig premissgiver må legges tilbake til henholdsvis departementet og KS, og ikke til Difi eller KommIT.

Rollen som samordner av ulike IKT-tiltak av betydning for flere sektorer og forvaltningsnivåer
En av de helt sentrale målsetningene for etableringen av KommIT for 2 år siden var å koordinere behovene for IKT i kommunesektoren, og at kommunesektoren involveres i planleggingen av større statlige IKT-prosjekter som har vesentlig betydning for kommunesektoren.

En forutsetning for at KommIT skulle lykkes med den oppgaven, var at Difi lykkes med sin oppgave, nemlig bidra til samordning og koordinering av statlige IKT-tiltak. Samordning på kommunesiden, forutsetter samordning på staten sin side.

Det har de ikke lykkes med, rett og slett fordi – som Agenda Kaupang skriver – Difi ikke er involvert i de vesentlige IKT-tiltakene som skjer innen helse, justis og Nav. Rapporten drøfter i liten grad hvorfor det er slik, men ut i fra intervjuene kan man klart lese at Difi har liten tillit og legitimitet til å delta i slike IKT-prosjekter, eller å ha en slik samordningsrolle.

Spørsmålet er imidlertid også hva en slik «samordning» skal kunne bestå i.

En ting er å få vite om de enkelte sektorers planer. Minst like viktig er i fellesskap å kunne bidra til at regel-utformingen og lovgivningen på det enkelte område blir i en slik form at det vil gjøre IKT-satsingen enklere å styre (jfr. Nav), at det foretas nødvendig begrepsharmonisering, og at en får felles forståelse for gevinstberegning og gevinstuttak. Alle disse tre områdene har vært gjenstand for ulike vurderinger tidligere, senest ved den rapporten som Rambøll har laget sent i fjor høst på oppdrag fra KMD om kartlegging av finansierings- og gevinstrealiseringsmodeller.

Det finnes ikke noe enkelt svar på hvordan en skal organisere seg for å løse dette problemet. En mulig løsning er å se hvordan samordningsorganet SKATE kan løse dette. Det vil forutsette nytt mandat og ny autoritet til dette organet. Det er underlig at ikke noen av rapportene i denne sammenheng peker på SKATE som en mulig arena for en slik samordning, og analyserer hva som skal til for at SKATE skal kunne fylle en slik oppgave.

Rollen som utvikler, forvalter og drifter av felleskomponenter
Den alt vesentlige oppgaven som Difi har hatt, er arbeidet med «felleskomponenter». Dette er den oppgaven som har krevd flest ressurser i Difi.

Nå må det sies at Difis befatning med «felleskomponenter» begrenses til ID-porten, Sikker Digital Post (SDP) og reservasjonsregisteret. Sentrale felleskomponenter som Altinn, Folkeregisteret og Matrikkelen (Eiendomsregisteret) eies og driftes av andre etater. Difi har imidlertid hatt et ansvar for å utarbeide et såkalt «veikart» for bruk av felleskomponenter. Det viktigste her er en finansieringsmodell for felleskomponentene – en modell som ennå ikke er på plass.

Selv om begge rapportene fremhever utvikling og bruk av felleskomponenter som et viktig og sentralt arbeid som Difi får mye skryt for, er det også et faktum at utbredelsen ikke har gått som forutsatt. Flere har nå også begynt å stille spørsmål rundt hensiktsmessigheten av å ha flere slike postkasser, ja til og med hvor fremtidsrettet slik teknologi egentlig er. I tillegg kommer at etableringen av SDP har ført til kompetansestrid mellom Altinn og Difi – noe evalueringsrapporten av Difi er veldig klar på.

Som påpekt av Difi (se slide 35) på Altinn-dagen 2014, representerer også de de ulike transportinfrastrukturer et problem både for brukere og leverandører. Det er lite samordning, de er ressurskrevende og uoversiktlig for leverandører og brukere, og utbredelse skjer i parallell uten synergieffekter.

Kommunesektoren har brukt KS SvarUT-tjenesten som er et resultat av tett og effektiv samhandling mellom et sterkt kommunalt utviklingsmiljø (Bergen Kommune) og KommIT. Tjenesten har fått meget god utbredelse og betraktes nå som et viktig supplement til de statlig utviklede felleskomponentene.

Rambøll-rapporten konstaterer imidlertid at samarbeidet om å utvikle videre felleskomponentene sett ut i fra kommunenes behov har vært «mangelfullt. Det er åpenbart at en her tenker på manglende samarbeid i forhold til etableringen av SDP, og ikke generelt. Det problemet synes nå løst ved at SvarUt nå betraktes også som et viktig supplement til SDP.

Men i sum er den «infrastruktur» – også kalt «byggeklossene» i digitaliseringen – lite samordnet og samkjørt. Det har ført til kompetansestrid mellom sentrale offentlige aktører, og forvirring hos leverandører og brukere. Regjeringen – KMD? – må, som også Agenda Kaupang sier, snarest skjære igjennom. Som jeg – og andre, for eksempel IKT-Norge – har foreslått tidligere, bør de midler som trekkes inn fra driftskostnadene og føres tilbake til fellesskapet slik statsbudsjettet for 2015 legger opp til, brukes til investeringer i felles IKT-plattform. I tillegg bør tilgang til og bruk av felleskomponentene være gratis.

Rollen som kunnskapsutvikler og kunnskapsformidler
En må skille mellom det å være kunnskapsutvikler og kunnskapsformidler, altså det å utvikle ny kunnskap eller formidle kunnskap.

Begge rapportene sier at både Difi og KommIT har vært svake på rollen som kunnskapsutvikler, ja, en kan vel si at den rollen har vært helt fraværende. Som Agenda kaupang også nevner, bør denne rollen omfatte aktiviteter som:

• Etablering av felles møteplasser for erfaringsutveksling mellom etater og kommuner om IKT-prosjekter.
• Kompetanseutvikling i grenselandet mellom IKT, forvaltning- og ledelsesutvikling og innovasjon.
• Etablere en» tenketank» for hele offentlig sektor.

Difis bidrag i dette synes å være ulike typer rapporter som viser utbredelsen av ID-porten, eller hvorfor samhandling mellom sektorer ikke går bedre, osv. Rapportene har ulik kvalitet og interesse.

På kommunesektoren har tiltak for å heve IKT-kompetansen ikke kommet langt; Et nettverk for rådmenn har ikke blitt noe av; en forvaltningsmodell for IKT-utvikling i kommunesektoren er ikke blitt noe av.

Både statlig og kommunal sektor må fylle denne rollen bedre i tiden fremover. Det å se forvaltningsutvikling, innovasjon og IKT i sammenheng er her helt avgjørende.

Det viktigste er å etablere en arena for kunnskapsutvikling og erfaringsutveksling om IKT-prosjekter. Situasjonen i Nav er ett eksempel på betydningen av en slik arena. Mange mener at mye av årsaken til den fadesen er at Nav – spesielt gjennom sin daværende IKT-leder – valgte å kjøre dette som en «lukket» prosess, hvor avhengigheten til konsulentmiljøene ble større enn verdien av å trekke veksler på erfaringer i Skatt, Lånekassen og andre vellykkede IKT-prosjekter.

Samtidig bør en slik arena også innta posisjonen som en «tenketank» om hvilke fremtidige utfordringer offentlig sektor står ovenfor på sikt. Det finnes mye god kompetanse om dette i ulike miljøer – innen offentlig sektor, akademia og i andre miljøer, men som ikke samordnes og tilflyter beslutningstagere i sentrale etater og kommuner. Konsulentfirmaene skal angivelig på høringen i Stortinget i forrige uke om Nav, ha uttalt at Nav-skandalen kunne vært forhindret dersom en hadde brukt mer konsulenter.

Om noe så viser dette bare at makten må tas fra konsulentene og overføres til fagetatene selv og eksterne fagmiljøer som ikke har forretningsmessig egeninteresse i saken, som akademia.

Dette er noe Difi og kommunesektoren bør gå sammen om.

Rollen som rådgiver/konsulent
Med rådgivning menes konsulentoppdrag på bestilling fra den enkelte etat eller kommune. Hensikten her er å benytte Difi/KommITs generelle kompetanse til rådgivning på konkrete problemstillinger.

Etater og kommuner ønsker mer rådgivning fra Difi/KommIT, men ingen av dem har dette som noe sentralt element i sin strategi, og det er heller ikke ønskelig å bruke mye tid og ressurser på dette fra KMD og KS sin side. Rådgivningsoppdragene har derfor vært begrenset.

Evalueringsrapporten fra Difi anbefaler ikke at Difi har en slik rådgivningsrolle, både fordi det vil stjele ressurser fra andre og mer sentrale oppgaver, men også fordi det er vanskelig å utøve den rollen all den stund Difi også forvalter flere av løsningene.

Rambøll-rapporten refererer slik fra sine intervjuer: «Sett fra kommunenes side har Difi flere roller; de er både premissgivere, oppsøkende rådgivere, utviklere av løsninger og konsepter, og eier/forvalter/drifter dessuten egne løsninger. KS og KommIT er veldig opptatt av disse dobbeltrollene, som de mener er uheldige. Det hadde vært bedre om Difi ikke selv forvaltet noen løsninger». (side 89).

Rollen som bestiller/innkjøper
Her er rollene forskjellig mellom Difi og KommIT.

Evalueringen av Difi legger stor vekt på behovet for enklere anskaffelser generelt, og anbefaler dette området overført til annen organisasjon (uten å nevne hvilken). Begrunnelsen er at området har få synergieffekter med de øvrige områdene som Difi har.

Rapporten har en svakhet her ved at de kun har intervjuet NHO som ekstern aktør, og ikke Abelia og IKT-Norge som har klarere og mer kritiske synspunkter på hvordan anskaffelsesprosessen i Difi utførers på, og peker blant annet på det uheldige i den dobbeltrollen Difi har som utvikler, forvalter og bruker av anskaffelsesreglementet.

KommIT på sin side har hatt som målsetning å drive kompetanseopplæring overfor kommunesektoren i å bli bedre og mer profesjonelle bestillere. Oppgaven har vært å etablere et bestillernettverk for at kommunesektoren skal bli dyktigere bestillere. Men dette har de til nå ikke lykkes med. Noe av grunnen oppgis til å være tvil om KommIT er korrekt samarbeidspartner/motpart.

KommIT har ikke hatt som oppgave å være et kompetansesenter for selv å kunne forhandle frem avtaler med relevante IKT-aktører på vegne av hele kommunesektoren. Policyen er at KS ikke vil gripe regulerende inn på IKT-markedet; det er opp til den enkelte kommune å inngå slike avtaler med IKT-leverandører. At dette potensielt vil kunne føre til 428 ulike løsninger, er ikke problematisert. Men burde vært det.

Konklusjoner
Hvilke konklusjoner kan vi trekke av disse to sammenlignende studier?

1. Verken Difi eller KommIT har lykkes med oppgaven å være faglig premissleverandør til statlig og kommunal IKT-politikk. Det er også et spørsmål om det er naturlig å la en operativ enhet ha den rollen. Begge rapportene peker på at dette heller er oppgaver for henholdsvis departement og KS.
2. Difi har ikke lyktes i å bli en medaktør eller medspiller i store offentlige IKT-prosjekter, og KS/KommIT peker på at de ikke blir tilstrekkelig informert i forkant om store IKT-prosjekter som berører kommunesektoren. Det er vanskelig å peke på at dette er Difis eller KS/KommITs ansvar; Her mangler det en overordnet styring og plan fra KMD og KS.
3. Difi og KommIT har på sentrale punkter ikke klart å koordinere seg. Årsakene er sammensatte og gjensidige. Igjen mangler en en overordnet strategi og plan fra KMD og KS i dette.
4. Hverken Difi eller KommIT har klart å etablere kunnskapsarenaer for erfaringsutveksling mellom etater og kommuner om bruk av IKT.
5. Verken Difi eller KommIT har vært flinke til å vise sammenhengen mellom innovasjon, forvaltningsutvikling og bruk av IKT.
6. Difi har bare delvis lykkes i å lage en infrastruktur som en grunnstein i digitaliseringsarbeidet. Ansvaret for finansiering og utvikling av felleskomponentene er fragmentert. KommIT har vært flinke til å utnytte Altinn som «SvarUt-tjeneste», men bruk av Altinn og forholdet til SDP er uklart.
7. Rollen som rådgivere er bare delvis dekket, og har liten troverdighet da flere peker på det uheldige i dobbeltrollen som utvikler, forvalter og rådgiver.
8. Difi og KommIT tilbyr nyttige «verktøy» for digitaliseringen så som standarder, Prosjektveiviser, Kokebok for gevinstrealisering etc. Men disse blir bare i liten grad brukt.

Ved et fiberbrudd 11. juli i fjor mistet Telia Soneras kunder i utlandet sine mobiltjenester. Nå er selskapet ilagt et gebyr på 100.000 kroner for ikke å ha varslet myndighetene om utfallet.

Det er ikke første gang, og Nasjonal kommunikasjonsmyndighet (Nkom) mener at selskapet har gjennomgående dårlige varslingsrutiner.

– Nkom anser at disse hendelsene avdekket manglende evne i Telia Sonera til å etterleve forskriftens krav til varsling, skriver myndigheten på egen hjemmeside.

Fiberbrudd
Feilen dreier seg om et fiberbrudd som rammet kunder over hele verden.

Bruddet oppstod kl. 07.22 fredag morgen 11. juli, mens Nkom ikke ble varslet før kl. 13.27 samme dag – seks timer etter.

Selskapet forklarer overfor myndigheten at de ikke var klar over omfanget før de merket trafikkproblemene utpå dagen.

Men Telia Soneras egen logg om bruddet forteller en annen historie.

Her kommer det frem at situasjonen ble betegnet som «major», omfattendse, allerede kl. 10.14. Kl. 11.50 var den kritisk, og samtidig blir konsekvensene for Netcom beskrevet som «very big», ifølge sitater som Nkom gjengir i vedtaket om å ilegge gebyr.

Facebook først
Telia Sonera var rask på labben med å varsle egne brukere på Facebook om problemene.
De fikk beskjed to timer tidligere enn myndighetene som skal ivareta beredskapen.

Egen rapport
Her er operatørens egen beskrivelse av konsekvensene i en rapport fra august i fjor:

• Hendelsen førte til problemer med å komme på nett for mange av våre kunder i utlandet, både egne og videreselgere sine kunder. Senere ble de samme kundene rammet av problemer med å sende og motta sms i utlandet.
• Hendelsen førte til problemer med alle mobile tjenester fra utlandet.
• De fleste av våre kunder i alle land, verden over var rammet av denne feilen.
• Feilen rammet kun kunder i utlandet. Det var ingen problemer innenlands, derfor ble heller ikke samfunnskritiske brukere rammet.
• Feilen eskalerte utover fredagen 11. juli, men fra ca. klokken 1400 så var ca. 80 prosent av våre kunder i utlandet rammet av denne feilen. Normal situasjon for våre kunder fra ca. 22.45 fredag 11. juli, før de samme kundene igjen ble rammet av sms problemer frem til klokken 1500 lørdag 12. juli.

Ikke første gang
Nkom avviser Telia Soneras argumentasjon om at kun brukere utenlands ble rammet, siden et fiberbrudd har potensial til å bli noe mer.

Myndigheten legger også vekt på at selskapet sviktet på varsling to ganger tidligere samme år.

Først ved utfall av 500 basestasjoner i Ålesund i mars 2014.
Deretter ved et fiberbrudd som stoppet fastnumre og nødnumre i mai.

I vedtaket om boten heter det:
– Hendelsen 11.- 12.7.2014 innebar vesentlig redusert tilgjengelighet til elektroniske kommunikasjonstjenester, og Telia Soneras varslingsplikt etter ekomforskriften § 8-5 var dermed aktualisert. Det er videre Nkoms vurdering at varsling i dette tilfellet ble iverksatt for sent, og at dette skyldes uaktsomhet fra TeliaSoneras side.

Flere sviktet
Også Tele 2 får svi litt på pungen.

Denne mobiloperatøren er i ferd med å bli en del av Telia Sonera, etter at fusjonen ble godkjent torsdag denne uken.

En feil i nettet 28. september i fjor rammet brukere hos både Tele 2 og søsterselskapet Network Norway.

Utfallet ble ifølge Nkom ikke varslet før Nkom oppdaget forholdet i mediene og ba om informasjon to timer etter at feilen oppstod.

– Feilen fikk store konsekvenser for begge selskapenes kunder, som var uten tjenester i flere timer, skriver Nkom.

Konsekvensen er et gebyr på 90.000 kroner til Network Norway og 80.000 kroner til Tele 2 Norge.

Kritiske linjer
Motivet til Nkom i disse sakene er at samfunnet blir stadig mer avhengig av elektroniske kommunikasjonstjenester.

– Informasjon om utfall er viktig for koordinering med og videre varsling til myndighetsorganer med beredskapsansvar for andre sektorer, lyder begrunnelsen.

Detaljene kan du lese her.

Det er ikke noe dramatisk nytt at en god del artister er misfornøyd med strømmetjenester for musikk, da utbetalingene fra disse ikke alltid svarer til artistenes forventninger.

En ny rapport fra Frankrike (via MBW)beviser imidlertid det mange har regnet med – strømmetjenester betaler ut hyggelige penger, men det er plateselskapene som beholder mesteparten av disse, ikke artistene selv.

Det er revisorselskapet Ernst & Young sammen med bransjeorganet SNEP i Frankrike som har sett på tallene.

Tatt i betraktning at man gjerne betaler rundt 9,99 euro i måneden for tjenester som Spotify (eller Deezer, som er populært i Frankrike), blir inntektene av disse pengene fordelt som følger: 45,6 prosent går til plateselskapene, 20,8 prosent til avspillingsplattformen, 16,7 prosent til skatt, 10 prosent til de som har skrevet og publisert låten, og 6,8 prosent til artistene.

Selve utbetalingene fra tjenestene, etter skatt og deres egne inntekter, er enda mer dramatisk fordelt til fordel for plateselskapene. Hele 73,1 prosent av pengene går til storselskapene, mens 16 prosent går til komponistene. 10,9 prosent går til de som fremfører musikken.

Når det er sagt, SNEP representerer plateselskapene, og forteller at 95 prosent av disse nesten 75 prosent investeres tilbake i artistene. Det er snakk om utgifter for musikkproduksjon, distribusjon, markedsføring og lignende. Man kan selvsagt spørre seg hvor mye logistikk det krever å laste opp sanger til strømmetjenester.

Telenor øker beredskapen etter varsel om at ekstremværet Ole mest sannsynlig treffer Troms, Nordland og Trøndelag lørdag ettermiddag.

– Vi styrker bemanningen og har gjennomgått både rutiner og beredskapsutstyr for å stå så godt rustet som mulig, sier dekningsdirektør Bjørn Amundsen i en pressemelding fra Telenor Norge.

Reservedeler
Alle driftsmiljøer i selskapet har gjennomgått sine beredskaps- og vaktplaner med for å kunne håndtere mulige konsekvenser av ekstremværet som er varslet.

– Nok en gang har vi sjekket beredskapslagre for reservedeler og sørget å ha mobile basestasjoner klare. Entreprenørkorpset er godt forberedt på å måtte rette feil, sier Amundsen.

Han kan likevel ikke gi noen garanti for at folk ikke vil merke uværet.

– Selv med gode rutiner på plass, kan vi aldri sikre oss mot at ekstremvær vil kunne slå ut strøm- og teleinstallasjoner. Folk må derfor være forberedt på at feil kan skje og at rettearbeid tar tid, sier dekningsdirektøren.

Strømbrudd
Som en del av beredskapsarbeidet har Telenor vært i dialog med de berørte fylkesberedskapsrådene og politiet for å informere om tiltakene som er iverksatt i tilfelle uværet rammer teleinfrastruktur.

Ofte er det strømbrudd som fører til at telekommunikasjon faller ut etter at batteriene er gått tomme.

– De siste årene har Telenor økt batterikapasiteten på våre installasjoner, slik at vi skal ha så god strømtilførsel som mulig, ved et utfall. Men mobilnettet krever strømtilførsel, og i tillegg er vi avhengige av strøm for å kunne feilsøke og feilrette utstyr. Derfor går vi alltid i dialog med lokale strømleverandører for å få prioritert feilretting på strømtilførsel der vi har kritisk infrastruktur, sier Amundsen.

Økt bemanning
Også Nasjonal kommunikasjonsmyndighet (Nkom) har økt beredskapen.

– Vi har øket bemanningen i forbindelse med det varslete uværet Ole i Nord-Norge, melder myndigheten.

Nkom har kontakt med de store eierne av elektronisk infrastruktur, som mobilnett og bredbåndsnett, og med andre myndigheter i tilfelle elektroniske kommunikasjonstjenester skulle blir rammet av uværet.

Først etter sommeren kommer Ice til å være klar med ordinær mobiltjeneste for privatmarkedet.

Den skal på plass ved å tilpasse Network Norways infrastruktur til å takle private abonnement i tillegg til bedriftskundene.

Det kom frem på en pressekonferanse hos Ice torsdag ettermiddag.

Her snakket for første gang ledelsen åpent om hvilke ressurser det lille telekomselskapet har til rådighet, etter at det tidligere på dagen ble klart at Konkurransetilsynet godtar fusjonen mellom Telia Sonera og Tele 2.

Her finner du litt bakgrunn.

90.000 sim-kort
Kortversjonen er at disse to selskapene måtte overdra ressurser til Ice for å få lov til å fusjonere.

Ice får kjøpe store deler av de 2.000 basestasjonene som Tele 2 møysommelig har bygget opp. Ikke alt overtas på engang, men selskapet kan kjøpe mer etter hvert som behovet melder seg.

Og Ice overtar Network Norway med 10.000 bedriftskunder med til sammen 90.000 sim-kort.

– Det gjør oss til den største aktøren på bedriftsmarkedet, sier administrerende direktør Eivind Helgaker for å beskrive hvor god starthjelp selskapet nå får.

Vanskelig moms
Men Ice trenger privatkunder, og derfor skal Network Norway også bli en leverandør for denne gruppen.

– Det tar tid å legge om driften, blant med et billing-system som håndterer merverdiavgift korrekt. Derfor satser vi på å være klar over sommeren, sier Helgaker til digi.no.

Om dette kommer på markedet under merkenavnet Network Norway eller Ice – eller noe annet – ser ikke ut til å være avklart.

I hvert fall vil ikke eieren røpe det, ennå.

Roamer i seks år
Avtalen med Telia Sonera trer i kraft 1. mars og gir tilgang til ekstra ressurser på taleforbindelse.

Ice har en nasjonal roamingavtale med Telia Sonera over seks år. Det gir 2G- og 3G-dekning, som Ice trenger i en overgangsperiode.

– Så i en periode vil våre kunder benytte seg av Netcoms nett. deretter flyttes de over i vårt eget etter hvert som vi får det på plass, sier Helgaker.

Radioplanlegging
I eget nett bygger Ice kun LTE-teknologi, og dette vil være klart først om et års tid.

Alcatel Lucent har kontrakt på den jobben, og arbeidet har startet.

– Vi har hatt god tid med å radioplanlegge med egne og Tele 2s basestasjoner. Den er ferdig, men det vil nok alltid være huller, og da kan vi benytte oss av roamingavtalen med Telia der det er behov, forklarer Ice-sjefen.

Han vil ikke ut med hvor mye penger som utveksles mellom partene.

– Er du kneblet av amerikanske eiere?

– Nei.

Ruter-rabatt
I utgangspunktet har Ice kun kunder på mobilt bredbånd på 450 MHz. Disse må bytte rutere, siden Ice dropper 4G-teknologien CDMA og går over til LTE.

Helgaker røper ikke hvilke priser det innebærer, men han antyder et behov for at kunden må slippe billig unna for å være villig til å bli værende.

Hyrer flere
Ice overtar mobiloperatøren Network Norway med 20 ansatte og passerer dermed 80 hoder i lokalene på Brynseng i Oslo.

– Hva slags utfordringer er det å få tak i de rette fagfolkene?

– Vi begynner å bli godt rustet etter en lang prosess med å skaffe de rette. Og vi rekrutterer nye hver uke. På teknologisiden har vi ennå behov for folk på radio og IT, svarer Helgaker.

Pascals epost ble nylig hacket i forbindelse med lanseringen av filmen «The Interview».

– Jeg har tilbrakt nesten hele yrkeslivet hos Sony, så jeg er spent på å prøve noe nytt, sier Pascal i en pressemelding.

Pascals private eposter ble hacket og spredt i forbindelse med lanseringen av filmen «The Interview», der to journalister blir rekruttert av CIA for å drepe Kim Jong-un, Nord-Koreas øverste leder.

I noen av de lekkede epostene kommer hun med rasistiske vitser om president Barack Obama, og hun kaller skuespiller Angelina Jolie for en «bortskjemt drittunge».

Sony hevder hackingen ikke hadde noe med Pascals avgang å gjøre. Det er uvisst hvem som tar 56-åringens plass. (©NTB)

De fleste IT-interesserte har det siste 10-15 årene hatt sine klare meninger om Microsofts nettleser, Internet Explorer (IE). IE6 gikk fra å være nettleseren de fleste brukte og gledet seg over, til å bli hatobjekt nummer én. Mot slutten av forrige tiår begynte Internet Explorer å komme inn i varmen igjen. Den ble stadig mer strømlinjeformet og velfungerende, men akk så kjedelig.

Microsoft har selvfølgelig hatt sine grunner til dette. Internet Explorer har først og fremst vært tilpasset bedriftsmarkedets behov, og er det noe bedriftsmarkedet ikke liker, så er det overraskende krumspring i hverdagen – selv i retning av noe bedre. I forbrukermarkedet er det mye større aksept for hyppige endringer. For eksempel er det få som synes at de mobile enhetene deres blir oppdatert altfor ofte.

Utviklingen av Internet Explorer tok en ny kurs allerede i 2006, med IE7. IE6 var utdatert og tapte markedsandeler til mer moderne nettlesere fra leverandører som anså det å følge webstandardene som viktig. Men først med IE9 begynte Microsoft for alvor å snakke om at koden til websider og -applikasjoner må fungere likt i alle nettlesere, også selskapets egen. Dette hadde da vært et problem siden nettleserkrigen mellom IE og Netscape pågikk i slutten av forrige årtusen.

Da IE9 kom, var utviklingen av HTML5 i full gang. Det samme var en rekke andre webteknologier, hvorav mange har blitt gjort til standarder i ettertid. Samtidig understreket Microsoft at Internet Explorer bare ville ha støtte for ferdige webstandarder. I praksis ville det si at selskapet i liten grad ville bidra til å gjøre nye webteknologier til standarder, siden ingen spesifikasjon kan bli en W3C-standard før den har blitt tatt i bruk av minst to nettlesere.

Argumentet for ikke å støtte uferdige webstandarder, var at webutviklerne ville ta dem i bruk som om de skulle være ferdige. Dette var ikke noe utviklerne selv skulle få avgjøre.

I ettertid har man kunnet se at det var en viss sannhet i dette, men IEs manglende støtte for de samme teknologiene hindret likevel ikke webutviklere å ta teknologiene i bruk på et raskt framvoksende område – den mobile weben. På dette området var IE så lite utbredt at den rett og slett kunne ignoreres. Dette ble et alvorlig problem for Microsoft, som først i fjor fikk på plass en slags løsning på at mange mobilnettsteder ikke fungerte noe særlig i IE for Windows Phone.

Microsofts motvilje mot å implementere uferdige webteknologier i IE gjaldt dog ikke teknologier Microsoft selv hadde utviklet, for eksempel Pointer Events.

«Væromslaget»
Med Windows 10 og nettleseren som foreløpig kalles for Spartan, har Microsoft plutselig sluppet seg fri og blitt mer vågal. Både Spartan og den framtidige utgaven av Internet Explorer vil ha to renderingmotorer, MSHTML og EdgeHTML. MSHTML vil ta vare på behovene til konservative bedriftskunder, mens EdgeHTML skal bringe Microsoft fram til teten av nettleserutviklingen, i stedet for å være sinken.

Allerede er det klart at EdgeHTML vil ha støtte for en rekke webteknologier som fortsatt er relativt eksperimentelle. Men et virkelig konkret tegn på at Microsoft har endret strategien, kom i et blogginnlegg i går.

Blogginnlegget handler om at de nyeste testutgavene av IE og Spartan har fått en viss støtte for Selection API-spesifikasjonen, som er alt annet enn en ferdig standard. Det første offentlige utkastet kom i oktober i fjor. Microsofts begrunnelse for å inkludere deler av spesifikasjonen er at de allerede brukes på weben og at utviklere har bedt selskapet om å inkludere dem.

I november 2012 sa daværende IE-sjef Dean Hachamovitch i et intervju med eWeek at IE10 hadde støtte for alle de standarder som utviklere har behov for. Intervjuet ble publisert dagen etter at selskapet Scirra hadde uttrykt sin skuffelse over hvor dårlig IE10 var egnet for HTML5-baserte spill. I ettertid har Internet Explorer riktignok fått støtte for mye av det som var savnet i 2012, men det tok sin tid.

I front
Nå tyder signalene fra Microsoft på at selskapets nettleser ikke lenger skal avgjøre hva som til enhver tid er «minste felles multiplum» for det en webutvikler kan bruke av webteknologier på offentlig tilgjengelige tjenester. I stedet vil Microsoft ligge i front av det som tilbys av muligheter.

Det gir webutviklerne og deres arbeidsgivere eller kunder frihet til selv om avgjøre om en kommende webteknologi er moden nok for produksjonssystemer, i alle fall så lenge det ikke er en annen leverandør som inntar rollen som sinke.

Tolker jeg Microsoft rett, så vil EdgeHTML bli oppdatert både raskt og hyppig – kanskje like ofte som Chrome, Firefox og Opera. Da er det én nettleser av betydning som kan bli hengende etter. Men ingen vet hva Apple planlegger.

Microsoft skal ha skryt for at de nå våger å prøve dette. Det er positive takter. Men det kunne godt ha skjedd litt tidligere.