Offentlig sektor har svært mye å lære av 22. juli når det gjelder bruk av IT. Blir ikke IT-situasjonen i Politiet bedre vil mange av tiltakene etter 22. juli være forgjeves.
Denne uken kom NOU 2012: 14, rapport fra 22. juli-kommisjonen. En vesentlig del av kommisjonen kritikk dreier seg omkring mitt fagfelt IT, og signaliserer tydelig at svakheter i Politiets IT-løsninger er medvirkende til mange av problemene Politiet opplevde 22. juli.
Jeg har lenge kritisert offentlig sektor generelt og statlig sektor spesielt for deres bruk av IT. IT-problemer kjenner vi blant annet fra NAV, Politiet, helsevesenet og skattevesenet. I rapporten fra 22. juli-kommisjonen er det spesielt Politiets IT-systemer som får sterk kritikk. Det pekes blant annet på fravær av nødnett omkring Utøya, utdaterte systemer, systemer som ikke responderer, krisemeldinger som sendes per e-post og ingen tilgang til elektroniske kart i bilene.
I etterkant av denne kritikken er det nærliggende å tro at det fra Politiets hold vil komme krav om mer ressurser, da i form av penger, til utbedring av problemene. Men mer penger vil neppe løse problemene.
Det viktigste problemet med offentlige IT-løsninger er at man tilsynelatende glemmer formålet. Hva er IT? Hva kan vi bruke det til? Hvilket potensial har IT? Hva skal IT være for oss? Å glemme å definere formålet med enhver bruk av IT medfører problemer som det vi nå ser i Politiet. Det er lett å forestille seg at IT-anskaffelser har vært venstrehåndsbeslutninger, spesielt når vi nå ser hvor liten makt og hvor lite eierskap Politiet har over egne løsninger. Alt for ofte gis vi inntrykk av at «IT er noe forbasket drit, men vi må ha det» i offentlig sektor, et inntrykk som befester seg spesielt sterkt i Politiet
Det er lov å tenke stort, det er lov å tenke visjonært, og ikke minst — det er lov å la være hvis man er usikker på formålet.
En klassisk tabbe i organisasjoner med svak IT-kompetanse er at man stoler for mye på leverandørene som leverer løsningene. Å bruke eksterne leverandører er normalt både bra og naturlig, men leverandøren skal aldri, under noen omstendigheter, være premissgivende for det som leveres. Trenden har gjennom de siste 20 årene vært (for) stor makt til leverandørene, men heldigvis er denne trenden nå i ferd med å snu. Kundene er mer bevisst på hva de trenger og hvordan de vil ha det, og dikterer i større grad hvordan leveransene skal foregå. Dette er svært viktig.
Det viktigste Politiet nå bør starte med, er å etablere en faglig sterk og forsvarlig IT-strategi og sørge for skikkelig forankring av strategien hos ledelsen.
Det har lenge vært kjent at Politiet benytter Windows NT 4, et operativsystem som ble utgitt for 15 år siden, hvilket er ufattelig lenge i teknologisk sammenheng. Etter utgivelsen av Windows NT 4 har det kommet flere såkalte service packs, altså oppdateringer som utbedrer feil og sikkerhetshuller i systemet. Men siste service pack til Windows NT 4 kom i juli 2001, altså for mer enn 11 år siden.
Siden 2001 har Politiet altså benyttet et operativsystem som ikke lenger videreutvikles og som ikke lenger lar seg utbedre fordi man ikke har tilgang til kildekoden, det vil si oppskriften til operativsystemet. Alle feil og sikkerhetshuller som finnes i Windows NT 4 ligger altså blottet åpenlyst for alle som måtte ha kompetanse til å utnytte dem. Det eneste Politiet har å støtte seg på er tredjepartsprogramvare som for eksempel anti-virus, brannmurer og tilsvarende. Og historien har vist at det ikke alltid går like bra.
Som en konsekvens av dette ser vi at Politiet benytter store ressurser på å holde utdaterte systemer flytende, ressurser som i stedet kunne vært benyttet på kontinuerlig vedlikehold og oppgradering av systemene, ved å oppgradere både programvare og operativsystemer jevnlig. Ja, det er både omfattende og kostbart arbeid å holde systemer oppdatert til enhver tid, men det er mindre arbeid enn å brannslukke udaterte systemer. Dessuten er det mindre risikabelt og mer preventivt.
Det har i en viss tid også vært kjent at Politiets sentrale IT-system, kjent under navnet PO, har dårlig ytelse og lange responstider. Jeg kjenner ikke dette systemet i detalj, og et ytelsesproblem er ofte sammensatt, så jeg skal ikke si for mye om selve systemet. Allikevel vil jeg trekke frem at PO er et Windows-basert system, som så vidt meg bekjent kjører på Windows XP (som er 11 år gammelt).
Vi har mange samfunnskritiske systemer her i landet, og dessverre kjører mange av dem på den minst egnede plattformen for formålet, nemlig Windows. Til sammenlikning kjører Avinor sine systemer for flygelederne på Solaris. Nets kjører banktransaksjoner på Linux. Meteorologisk institutt gjør det samme. Av verdens 500 største superdatamaskiner kjører 457 Linux, 4 Windows. Poenget er åpenbart: skal du ha god ytelse, stabilitet og sikkerhet skal du velge Linux.
Skal man holde et system stabilt og sikkert over lengre tid med god ytelse, skal det altså kjøre alt annet enn Windows. Ikke bare har det dårlig stabilitet og ditto ytelse, det er også belemret med seriøse sikkerhetsproblemer. Det beste eksempelet er fire virus som de siste par årene har utmerket seg spesielt; Stuxnet, Duqu, Flame og Gauss. Dette er superavanserte, høyspesialiserte virus, sannsynligvis utviklet av en stat, rettet utelukkende mot Windows for å gjøre skade med stor presisjon hos regimene eller organisasjonene som benytter dem.
Ingen IT-systemer er fullkomne eller sikre, men Windows er blant de minst egnede alternativene og bør unngås i så kritiske systemer som det her er snakk om. En utskifting av Windows betyr ikke nødvendigvis full utskifting både på klient- og serversiden. Det er fullt mulig å kjøre blandede miljøer med gode resultater, noe jeg selv har god erfaring med.
I Dagens Næringsliv kunne vi 11. august lese at krisemeldinger, såkalte riksalarmer, sendes ut med e-post. Akkurat som at Windows er den minst egnede plattformen, er e-post den minst egnede kommunikasjonsformen å formidle krisemeldinger på. Det er ikke intensjonen med e-postens teknologi å oppfylle slike behov og krav.
E-post kan best sammenliknes med et postkort: i utgangspunktet er det ingen som leser det mellom avsender og mottaker, men får uvedkommende først tak i det er det ingenting som forhindrer det fra å bli lest. Slik de fleste bedrifter og organisasjoner benytter e-post i dag, er det ingen ende-til-ende-verifisering som sikrer levering, kryptering som forhindrer innholdet fra å bli lest eller verifisering av at det kun er rett mottaker som leser innholdet. Det finnes muligheter for å sikre MAPI-protokollen, som benyttes av Outlook og av Politiet, men det løser allikevel ikke de funksjonelle utfordringene med e-post.
Vi har nylig også fått med oss forsvinningssaken i Oslo, hvor Sigrid Giskegjerde Schjetne forsvant under ukjente omstendigheter for en drøy uke siden. Jeg har observert hvordan frivillige har organisert seg på nett for å dele og spre informasjon i letearbeidet. Slik organisering skjer ad-hoc, er lite strukturert og gir ikke riktige personer tilstrekkelig informasjon. Politiet kan med fordel dra full nytte av crowdsourcing dersom de selv tar kontroll over prosessen. Frivillige kan organiseres, dirigeres og instrueres og data kan struktureres på en mer hensiktsmessig måte som gir Politiet bedre oversikt og kontroll over leteaksjoner hvor de selv ikke råder over alle ressursene.
Det er flere tiltak Politiet bør iverksette snarest. Tiltakene er først og fremst strategiske, men også tekniske, og ingen av dem kan sies å være enkle.
Det viktigste grepet Politiet kan gjøre er å skaffe større grad av eierskap over løsningene og mulighet for innsikt og endring i systemene de gjør seg avhengige av. Politiet benytter selvfølgelig ikke Windows NT 4 fordi de synes det er det best egnede verktøyet for jobben, men fordi de befinner seg i en situasjon som av en lang rekke absurde argumenter gjør at de ikke kan oppgradere til noe nyere. Eierskap til egne løsninger innebærer full råderett over systemene, hvem som bestemmer hvordan de skal fungere og når de skal oppgraderes. Dette er det viktigste men også det vanskeligste grepet.
Straks man har skaffet seg eierskap, og dermed kontroll over egne løsninger, står man også friere til å gjøre endringer i dem, enten det gjelder endringer i selve programmene eller i form av utskiftninger til andre programmer.
Jeg ville også sørget for at sentrale plattformer, som for eksempel det PO kjører på eller krisehåndteringssystemene, ble byttet til noe som egner seg bedre for kritiske driftsmiljøer. Da står man langt bedre rustet for å holde skuta flytende når dassen tar fyr, som vi sier i IT-bransjen. Hvilket den gjorde 22. juli i fjor.
Som leser kan du gi et bidrag til produksjonen, til driften og til å skaffe utstyr til testing for å sikre regelmessige, uavhengige artikler, tester og vurderinger av høy kvalitet.
Husk å abonnere på nyhetsbrevet, det er gratis og du får alle artikler rett i innboksen.
Enda flere artikler? Besøk arkivet.
Dette er Martin Koksrud Bekkelund sitt private nettsted, hvor han skriver om forbrukerteknologi, teknologiledelse og hvordan teknologi, samfunn og politikk påvirker hverandre. Martin er innehaver av konsulentselskapet Nivlheim. Les mer...
© 1995-2024 Martin Koksrud Bekkelund
Opphavsrett • RSS og abonnement • Kontakt • Personvern og informasjonskapsler