Saken om skoleeleven som fant en fil med 35000 passord, meldte fra, ikke ble hørt, og derfor logget seg inn som en administrator og sendte en tullemelding, er ganske fantastisk. En ting er at man har IT-avdeling/IT-ansvarlige som gjør noe så himmelropende inkompetent som å legge en ikke-kryptert passordfil i en identifiserbar filstruktur. Men en helt annen ting er kommunaldirektørens kommentar:
Trass i at tinga han gjorde i etterkant ikkje er veldig konstruktive, anerkjenner me at han gir oss beskjed.
Konstruktive? Hva skulle han ha gjort?
Mitt spørsmål er: Hva skjer med den eller de IT-ansvarlige, som a) gjorde noe så komplett idiotisk, og b) ikke gjorde noe med det da det ble sagt fra?
Og hva skoleeleven gjelder, tror jeg han skal være glad for at han var under den kriminelle lavalder. Enkelte myndigheter setter ikke pris på å få sin himmelropende inkompetanse avslørt – og jeg er nokså sikker på at han ville blitt disiplinert for «datainnbrudd» eller lignende. Før det ble kjent hva som hadde skjedd, skyldte kommunen på «svakheter i systemet» (leverandøren, med andre ord) og vurderte politisak. (Dette er standard rutine i slike saker, og en av årsakene til at det kan være slitsomt å være leverandør til det offentlige.)
Går det an å sparke folk for inkompetanse og slendrian i Norge? Dette er faktisk ikke ment som et retorisk spørsmål (svaret er ja, det går an, selv i kommunen, men det er vanskelig.) Saken er den at vi har hatt disse systemene i så mange år nå at man faktisk bør kunne forvente alminnelig kunnskap hos administratorer og særlig IT-ansvarlige. Det er nemlig ikke nok å kunne vite at man skal klikke der og skrive der – man må kunne forvente en viss forståelse for hvordan ting ser ut under panseret – og en viss kritisk sans for hva man foretar seg.
Her for noen dager siden kjøpte vi en bok om Båtførerprøven. Den inneholder masse informasjon om regler på sjøen – som man må kunne, og blir testet på – men også generell informasjon om forskjellen på bensin- og dieselmotorer, ulike typer skrog, og så videre. Dette ut fra en forståelse for at man må kunne mer enn bare hvilke knapper man skal trykke på, så man ikke gjør noe plakat idiotisk fordi man ikke forstår hvordan ting henger sammen.
Kanskje på tide med litt «Båtførerprøve» for Bergen Kommunes IT-ansvarlige? Og en desertifisering for de som ikke forstår helt elementære sikkerhetsrutiner?
Tversover 
http://www.datakortet.no var et tiltak for å imøtekomme denne situasjonen. I sin tid – når Datakortet ble lansert – var det (minst) to vinklinger som var oppe for diskusjonen; en brukskvalitetsdrevet og en kompetansedrevet vinkling.
Brukskvalitet – Å straffe brukere for dårlig kompetanse «frikjenner» leverandører som leverer dårlige produkter. Lenge var (er?) en Unix-kultur hederstegn og status. Heldigvis har Apple, Facebook, Uber o.l vist at det går an å designe produkter som brukere kan ta i bruk uten å gå på kurs.
Kompetanse – Leverandører, konsulenter og analytikere har lett å hype opp nye teknologi uten å vise til de forretningsmessige kostnader ved innføring av løsninger. Ledere som beslutter har det endelige ansvaret. «Det er bare å installere programvare» er like ille som «vi må gjennomføre en konseptvalgutredning»
Brukere og ledere må ikke bare forstå men også erkjenne sitt ansvar på like linjer med leverandørene og de som innfører løsninger. Her er det masse å gjøre og lære.
PS At IT folk svarer at de ikke har tilstrekkelig kompetanse er et bra tegn for å starte en kompetanse dugnad.
Tror ikke det hjelper med datakort når man har IT-ansvarlige som tillater at det finnes en fil med passord i klartekst på systemet i det hele tatt….
Tilbaketråkk: Epost og utpressing | Tversover