Epost og utpressing

Og der fikk også jeg en utpressingsepost, gitt…ransommail.jpg

Og hva skal man gjøre i en sånn situasjon?

Svaret er:

  1. Endre de passordene som det blir referert til (særlig om man bruker det samme passordet flere steder, noe man ikke skal gjøre.)
  2. Innstallere en passordbeskytter a la Lastpass (som jeg bruker, betaler for og er fornøyd med.)
  3. Slette eposten.
  4. Puste ut og tenke på noe annet.

Disse epostene ser ut som om de vet en hel del ting om deg, men egentlig vet de ingenting bortsett fra det ene passordet som de referer til. Dette passordet kommer fra en eller annen webside som du har opprettet en bruker med en eller annen gang, og som deretter har hatt et datainnbrudd og fått stjålet sin passordfil. (Det å ha en ikke-kryptert passordfil er naturligvis et stykke inkompetanse på linje med Bergen Kommune, men det er dessverre nokså vanlig der ute.) Deretter sender man eposter til folk, truer med å avsløre dem som pornografibrukere, håper på napp og betaling i Bitcoin.

Men det er ikke så farlig som det ser ut som*. Så slapp av. Og begynn å ta passord på alvor…

*Hadde det vært et virkelig datainnbrudd i din PC, ville du funnet ut at harddisken din var kryptert og at du måtte betale en masse penger for å få låst den opp igjen. Ikke noe problem hvis du bare har skikkelig backup, men slitsomt ellers. Og nok en grunn til å ta passord og backup seriøst.

Eposter og elæring og falskhet

Fikk denne eposten i innkurven i morges:

xtramile

La meg se: En epost fra «Nasjonal Sikkerhetsmåned» (som jeg ikke har hørt om) som ber meg klikke på en lenke (som går til en annen adresse på domenet «xtramile.no») som jeg ikke vet hva inneholder – for å lære meg at jeg ikke skal klikke på eposter jeg ikke vet hvor kommer fra?

Noen bør ta seg en tenker her – hvis det hele da ikke er hensikten. I så tilfelle: Smart. Omtrent som den gamle historien om at Unix og C egentlig var en spøk som ble trodd…

Er det lov å sparke folk for inkompetanse?

Saken om skoleeleven som fant en fil med 35000 passord, meldte fra, ikke ble hørt, og derfor logget seg inn som en administrator og sendte en tullemelding, er ganske fantastisk. En ting er at man har IT-avdeling/IT-ansvarlige som gjør noe så himmelropende inkompetent som å legge en ikke-kryptert passordfil i en identifiserbar filstruktur. Men en helt annen ting er kommunaldirektørens kommentar:

Trass i at tinga han gjorde i etterkant ikkje er veldig konstruktive, anerkjenner me at han gir oss beskjed.

Konstruktive? Hva skulle han ha gjort?

Mitt spørsmål er: Hva skjer med den eller de IT-ansvarlige, som a) gjorde noe så komplett idiotisk, og b) ikke gjorde noe med det da det ble sagt fra?

Og hva skoleeleven gjelder, tror jeg han skal være glad for at han var under den kriminelle lavalder. Enkelte myndigheter setter ikke pris på å få sin himmelropende inkompetanse avslørt – og jeg er nokså sikker på at han ville blitt disiplinert for «datainnbrudd» eller lignende. Før det ble kjent hva som hadde skjedd, skyldte kommunen på «svakheter i systemet» (leverandøren, med andre ord) og vurderte politisak. (Dette er standard rutine i slike saker, og en av årsakene til at det kan være slitsomt å være leverandør til det offentlige.)

Går det an å sparke folk for inkompetanse og slendrian i Norge? Dette er faktisk ikke ment som et retorisk spørsmål (svaret er ja, det går an, selv i kommunen, men det er vanskelig.) Saken er den at vi har hatt disse systemene i så mange år nå at man faktisk bør kunne forvente alminnelig kunnskap hos administratorer og særlig IT-ansvarlige. Det er nemlig ikke nok å kunne vite at man skal klikke der og skrive der – man må kunne forvente en viss forståelse for hvordan ting ser ut under panseret – og en viss kritisk sans for hva man foretar seg.

Her for noen dager siden kjøpte vi en bok om Båtførerprøven. Den inneholder masse informasjon om regler på sjøen – som man må kunne, og blir testet på – men også generell informasjon om forskjellen på bensin- og dieselmotorer, ulike typer skrog, og så videre. Dette ut fra en forståelse for at man må kunne mer enn bare hvilke knapper man skal trykke på, så man ikke gjør noe plakat idiotisk fordi man ikke forstår hvordan ting henger sammen.

Kanskje på tide med litt «Båtførerprøve» for Bergen Kommunes IT-ansvarlige? Og en desertifisering for de som ikke forstår helt elementære sikkerhetsrutiner?

Nettverksledelse i praksis

join21Herved en invitasjon til noe som i alle fall for meg er noe nytt og spennende: Et ESP (Executive Short Program) kalt Nettverksledelse i praksis som første gang arrangeres på BI 15. mai og 12. juni.

Programmet baserer seg på kartlegging og ledelse av nettverk innen bedrifter – det er nemlig slik at bedrifter (og alle organisasjoner, for den saks skyld) ikke fungerer basert på organisasjonskart, men ved at mennesker snakker sammen. Et viktig element av å få organisasjoner til å fungere og endringer til å skje er å forstå hvordan informasjon flyter og beslutninger tas – og med moderne kartleggings- og analyseverktøy kan man få frem mye interessant.

jantaughenrik-bentzenDette seminaret skjer i samarbeid med Jan Taug og Henrik Bentzen fra Join21, som hjelper organisasjoner og folk å mestre teknologi – ikke minst ved å forstå hvordan (og med hvem) man skal kommunisere for å få til digitalisering. Ragnvald Sannes og jeg skal også være med å undervise og diskutere. Jan og Henrik har lang leder- og analyseerfaring og Ragnvald og jeg ser frem til å jobbe med dem.

Her er en liten videofilm der jeg snakker litt om kurset og viser noen (svært enkle) eksempler på nettverksanalyse. En liten bemerkning før du ser den, bare for å understreke det forretningsmessige: I filmen snakker jeg om nettverk man ikke vet om, som f.eks. mellom røykere eller kvinner – men hvis man tenker mer forretningsmessig på det, kan det være viktig å kartlegge hvem som er informasjonskilder og -formidlere gjennom hverandre, hvem som danner ekspertnettverk, for eksempel. Flere ledere jeg har kjent, ser på epost-trafikken eller de interne kommentarfeltene for å finne ut hvem det er som ikke bare har peiling, men også har kommunikasjonsevne til å hjelpe andre:

Tanken er at vi skal ha en dag først der vi ser på interne nettverk som konsept og hvordan man kan bruke dem. Så blir det noen uker i midten der man samler data fra organisasjonene som deltar, og så en dag med analyse av disse nettverkene og diskusjon om hva den nye forståelsen betyr for ledelse og innovasjon.

Dette er ikke et kurs som i utgangspunktet er beregnet på enkeltpersoner – vi er på jakt etter selskaper som ønsker å delta med flere personer fra ledergruppen. Ta kontakt med Ragnvald, meg, Jan eller Henrik om du er interessert – eller bare meld deg på på kurssiden.

Monsteret i kjelleren

220px-commodore_grace_m-_hopper2c_usn_28covered29I 1959 møttes en gruppe informatikere (tror ikke det het informatikk den gangen, men likevel) i en gruppe kalt CODASYL og laget et programmeringsspråk med navnet COBOL, delvis bygget på andre programmeringsspråk laget av Grace Murray Hopper, kanskje den nest viktigste kvinnen i datahistorien (etter Ada Lovelace).

Hele ideen med COBOL var at programmeringsspråk skulle være bygget på vanlig (engelsk) språk, slik at «vanlige» mennesker skulle kunne lese dem og bruke dem. Slik har det i grunnen aldri blitt, men tanken har vært der lenge. COBOL skulle kunne kjøres på mange ulike maskiner (før det kom, hadde man en tendens til at hver maskinleverandør hadde sine egne programmeringsspråk, men nå fikk man i stedet COBOL, om enn med litt ulike dialekter.)

COBOL (som står for Common Business-Oriented Language) ble tatt i bruk av mange bedrifter til administrative systemer, dels fordi det lignet engelsk, delvis fordi det var bra til å lese inn data, gjøre relativt enkle ting, og deretter spytte ut utskrifter. I motsetning til mange senere programmeringsspråk skilte COBOL og akademia lag – noe som førte til at språket fikk relativt lite utvikling utover tilpasning til nye maskiner. Opplæringen skjedde utenom universiteter og utenfor den faglig baserte informatikken. Etterhvert skilte også programmering lag – forretningssystemer ble skrevet i COBOL, mens akademisk orienterte systemer og etterhvert mer generell systemutvikling gikk gjennom en rekke ulike språk (C, Basic, Pascal, C++, SmallTalk, LISP, VisualBasic, Perl, Python, for å nevne noen.)

De første systemene som ble laget for bedrifter var systemer for repetitive oppgaver som regnskap, lønnsutbetaling og fakturering, og disse ble gjerne programmert i COBOL. Etterhvert førte det til at flere og flere bedrifter fikk en arkitektur der kjernesystemene var laget i COBOL og sto relativt stille (først fordi de gjorde standardiserte ting, etterhvert fordi det ble stadig mer vanskelig å finne programmerere som kunne COBOL, noe som gjorde at det ble dyrt og kronglete å få endret noe.) Riktignok flyttet en hel del bedrifter, særlig produksjonsbedrifter, sine systemer over ERP-systemet SAP i løpet av 90-tallet, men for mange nettverksbedrifter (banker, forsikringsselskap, transport, etc.) er stadig kjernesystemene skrevet i COBOL, og kjøres gjerne også på en stormaskin, typisk fra IBM.

2002_03_11_cobol300_3-11-02-100717557-origDette har vært et problem lenge – jeg har rådet bedrifter til å kvitte seg med kjernesystemene sine, om nødvendig ved å skrive dem helt om, i hvert fall i 20 år. Men de fleste bedrifter har ikke gjort det, og nå begynner problemet å nå kritiske dimensjoner. Helt fra slutten av 90-tallet har unge mennesker vegret seg for å lære seg et 30 år gammelt programmeringsspråk som bare brukes til kjedelige bakgrunnsprogrammer. Mange bedrifter løste dette ved å outsource vedlikehold og oppdatering til selskaper i andre land, for det meste India. Tilbake i bedriften er det færre og færre, om noen, som egentlig forstår hvordan de gamle systemene fungerer.

Da får man en situasjon der all innovasjon skjer i ulike typer småsystemer som ligger rundt og interagerer med det gamle kjernesystemet, uten at man gjør noe med selve kjernen. Det går greit så lenge forretningen man driver er stabil, men med økende konkurranse fra digitale bedrifter som ikke har en mange millioners møllestein på maskinrommet kan det blir farlig. Jeg hørt om bedrifter som ikke tør slå av sine systemer av redsel for at de ikke kommer til å starte igjen, og systemer der den eneste tilgangen man har til dataene er gjennom brukergrensesnittet – slik at skal man hente dataene ut, er man nødt til å gå inn på hver eneste rad i databasen og kopiere den ut manuelt (en grunn til at RPA er så populært.)

Mange bedrifter med flotte websider er rett og slett slott bygget på svært råtne fundamenter, en slags informatikkens permafrost som ingen tør å tine opp av redsel for hva som kommer til å stige opp, av metangass og annet. Det man burde gjøre, naturligvis, er å starte helt på nytt igjen, men siden man har hundre- eller kanskje tusenvis av systemer og APIer og innganger som bruker det gamle monsteret i kjelleren, er det ingen som engang tør å tenke tanken. For ikke å snakke om at det blir dyrt, og synliggjør mange års manglende vedlikehold og underinvestering.

Jeg tipper at en hel del banker, for eksempel, kommer til å få det morsomt når PSD2 kommer og de blir nødt til å slippe til andre aktører inn mot sine systemer. Da vil antallet transaksjoner mangedobles og de gamle systemene ganske enkelt ikke henge med, uansett hvor mange servere man kjøper. Vi går spennende tider i møte, og jeg er i grunnen litt forundret at ikke flere styrer og investorer begynner å stille kritiske spørsmål til firmaers informasjonsarkitektur og tekniske plattform.

Kanskje på tide å begynne? Tips: Hvis det fortsatt finnes COBOL i organisasjonen, er det grunn til bekymring, i alle fall hvis det tar tid å gjøre endringer og man fremdeles har pensjonister igjen som konsulenter i IT-avdelingen…

Digitalisering og shippingbransjen

containereTorsdag denne uken skal jeg holde foredrag på Firstpoints konferanse om digitalisering av shippingbransjen. Det er mange påmeldte – 70 sist jeg hørte noe – og det er jo spennende i seg selv, men shippingbransjen er nokså ny for meg, og det gjør det jo ekstra interessant. Shipping er en av Norges største bransjer, og har hittil vært nokså tradisjonell hva bruk av informasjonsteknologi gjelder – kanskje ikke så unaturlig i en fragmentert bransje med store fluktuasjoner i pris og etterspørsel.

maerskdailySystematiske innovasjoner i denne bransjen har tendert til å komme fra de store firmaene – som Maersk, som med sin tjeneste Daily Maersk har laget et «samlebånd» med 70 skip som går scheduled fra Asia til Europa, og dermed kan garantere en konsistent transporttid. I verdinettverksbransjer som shipping skjer innovasjon i stor grad i overgangene mellom tjenestelagene i nettverket. Det gir innovasjonsfordeler til de store firmaene fordi de har volum til å se effektene og fordi de har nok elementer av transportsystemet innenfor sin egen organisasjon.

Skal man få til forbedringer ved bedre koordinering – som f.eks. Synchroport-prosjektet, som skulle optimalisere skipenes fart, så de kom frem til havn akkurat i tide for lossing eller lasting – er man avhengig av at en stor nok andel av aktørene i bransjen faktisk gjør dette, slik at man får igang nettverkseffektene. Det er en viss likhet med luftfart, men shipping har mindre standardisert koordinering av trafikken og mye større variasjon i hva slags teknologi som benyttes.

Digitalisering gir både muligheter og trusler for shipping. Når jeg skal skremme mine kinesiske studenter litt, snakker jeg om 3D-printing og hvordan denne teknologien kan flytte produksjonen nærmere kundene. I dag består mye av skipsfarten av frakt av råmaterialer til Kina og frakt av ferdige produkter (i containere) ut igjen. Med lokal produksjon vil behovet for skipstransport både endres og reduseres. På den annen side kan styring og vedlikehold av skipene forenkles ved at man kan produsere en del av sine slite- og reservedeler ombord.

Uansett – jeg tror det fortsatt er plasser igjen, jobber med en presentasjon, og ser frem til å finne ut mer om hvordan shippingbransjen kan digitaliseres…

Norske toppledere på bunn i digitalisering

(Kronikk i Aftenposten 14.9.2016, med Ragnvald Sannes).

Norske bedrifter liker å tenke på seg selv om digitale mestere, men diskuterer lite teknologi i toppledelsen og bruker IT-pengene sine på å holde liv i gamle systemer heller enn å utvikle nye ting.

I Norge har 85 % av befolkningen koblet seg på internett via mobilen den siste måneden, ifølge Statistisk sentralbyrå, og det er i praksis mobildekning overalt.

Det handler ikke om å ha mest mulig teknologi

Vi bruker apper for å finne ut hvor bussen er og for å betale den, har digital betalingsformidling, elektronisk selvangivelse og iPad’er i skolen. Så da er vel Norge et av verdens mest digitaliserte land?

Men digitalisering handler ikke om å ha mest mulig teknologi, men om å utnytte den best mulig til å drive effektivt, øke sin konkurransekraft og utnytte nye forretningsmuligheter. Ser man på hva norske bedrifter faktisk gjør her, blir bildet straks noe helt annet – og det er grunn til bekymring.

Spørreundersøkelse ga nedslående resultater

Sammen med forskere ved MIT i Boston og Handelshögskolan i Stockholm har BIs Senter for Digitalisering gjennomført en spørreundersøkelse av IT-ledere i store, private bedrifter. Resultatene er fortsatt under analyse, men den kortfattede oppsummeringen er utvetydig og nokså nedslående for norske (og, for all del, svenske) bedrifter, særlig sammenlignet med amerikanske og asiatiske:

  • Norske (og svenske) bedrifter ligger langt etter amerikanske og asiatiske firma hva gjelder fremdrift på digitalisering.
  • Norske (og svenske, europeiske til en viss grad) toppledere diskuterer i liten grad digitalisering og overlater teknologi til IT-ledelsen.
  • Norske og svenske firmaer bruker mer av sine IT-budsjetter til å vedlikeholde gamle systemer enn til å utvikle nye løsninger.
  • De pengene man bruker på nyutvikling, er fokusert på kostnadsbesparelser heller enn å øke salg eller skape nye produkter eller forretningsområder

Bedrifter har manglende selvinnsikt

Vi har også gjennomført uformelle undersøkelser av hvordan de norske bedriftene bedømmer sin egen innsats – og da tror de fleste at de ligger svært langt fremme på digitalisering, både hva gjelder teknologianskaffelser og evne til å ta disse i bruk.

Digitalisering er transformasjonen fra at IT er et støtteverktøy i virksomheten til at det er en del av dens DNA. Det betyr at forretningsmodell, organisasjon og prosesser er designet for å utnytte dagens og morgendagens teknologi.

Norske bedrifter er altså i en ganske skummel situasjon – man tror man er fremragende, men ligger i virkeligheten etter. Og bare så det er sagt: Bedriftene er sammenlignbare på tvers av land – den gamle unnskyldningen om Norges spesielle, råvarebaserte næringsstruktur holder ganske enkelt ikke lenger.

Men hvorfor er det slik?

Det er vanskelig å forstå hvorfor vi ligger så langt etter – og dette vil kreve mer analyse – men tre muligheter er: kostnadsfokus, ledelseskultur, og manglende gjennomføringsevne.

Kostnadsfokus vises ved at norske bedrifter ser det høye norske kostnadsnivået som den fremste trusselen mot bedriften. Norske (og svenske) IT-ledere er ensidig opptatt av å kutte kostnader mens amerikanske og asiatiske IT-ledere har et mye bredere fokus som også omfatter digital konkurranse, nye forretningsmodeller og kanalintegrasjon.

Vi bruker IT først og fremst til å gjøre det man allerede gjør raskere og billigere, fremfor å bli en kilde til nye tjenester eller nye forretningsområder.

Norwegian-eksempelet

Forskjellen kan illustreres ved flyselskapet Norwegian, som først brukte IT til å spare penger ved å legge salg på Internett og få folk til å skrive ut boardingpassene sine selv.

Dette sparte selskapet mye på, og de fleste norske bedrifter ville gitt seg der – men Norwegian gikk videre. Selskapet økte først salget ved å gi kundene en lavpriskalender, deretter startet de Bank Norwegian (nye forretningsområder) som i dag er verdt like mye som flyselskapet. De fleste norske bedrifter kommer aldri til steg to og tre i denne utviklingen.

Ledere koketterer med manglende teknologikunnskaper

Ledelseskultur gir seg utslag i at det i norske leder- og styrerom fremdeles er tillatt å kokettere med sine manglende teknologikunnskaper. Norske (og svenske) ledergrupper bruker vesentlig mindre tid på å diskutere digitalisering enn sine kolleger i Amerika og Asia (10-15% mot 35-40%).

Kun et fåtall norske IT-sjefer er medlem av toppledergruppen og møter der bare når man skal behandle IT-budsjettet og nye prosjekter. Samtidig er mange norske IT-sjefer heller ikke i stand til å kommunisere med toppledelsen, og oppfatter seg mer som IT-avdelingens representant inn i ledelsen enn ledelsens agent inn i teknologifunksjonen.

Enhver bedrift bør spørre seg om man har riktig styre, ledergruppe og IT-ledelse for å lede virksomheten gjennom en digitaliseringsprosess.

Ruter vs. Flexus

Gjennomføringsevne handler om at man ikke klarer å få med seg at IT ikke lenger handler om klart definerte kjempeprosjekter med lang horisont, men å ta i bruk eksisterende teknologi som fungerer, og deretter bygge den fort ut etter hvert som man forstår hva kundene liker og teknologien kan gjøre. Et eksempel er Ruter billett vs. Flexus.

Skal man utvikle digitale ferdigheter må man vekk fra et ensidig kostnadsfokus, etablere en god ledelseskultur for å diskutere digitalisering, samt tørre å gjennomføre mer radikale endringer.

Mange norske bedrifter er svært gode på inkrementell forretningsutvikling, men sliter med mer radikal innovasjon. Dersom man ikke tar grep vil dine medarbeidere går på jobb i morgen og gjøre det slik de gjorde i går.

Digitale ferdigheter = Forretnings- og teknologiforståelse x Vilje og evne til transformasjon

Teknologi kan ikke overlates til teknologene

Norge har absolutt eksempler på bedrifter med erfaring, innstilling og kunnskaper til å gjøre det godt i en digital konkurranseverden. Men den jevne norske bedrift – og særlig den jevne norske bedriftsleder – trenger å våkne og forstå at teknologi er et topplederansvar, at man ikke kan analysere seg til digital konkurransekraft, og at man i alle fall ikke kan overlate teknologi til teknologene.

Skal den gjennomsnittlige norske bedrift ta igjen det tapte, må styret og ledelsen begynne å interessere seg for teknologi, gjennomføre noen raske og ambisiøse prosjekter som de kan lære av – og hvis de ikke vil det, snarest trå til side slik at digitalt innfødte ledere får en sjanse før det er for sent.

Dette betyr at man anser teknologi som noe som skal brukes for å gjøre eksisterende aktiviteter mer effektive – og Norges økonomi bedre. Det handler om et effektivt samspill mellom ledergruppe, styre og IT-funksjonen!