Blå Blok vil bryde NETS monopol - Hvad vil de opnå?

Både Berlingeren og Børsen kommenterer i dag Nets-sagen og det giver sig som altid udslag i nogle meget hurtige politiske udmeldinger, som f.eks. Michael Aastrup Jensen, der udtaler at flere selskaber skal stå for driften af NemID, fordi den øgede konkurrence vil medføre større fokus på sikkerhed og oppetid og medvirke til at gøre driften billigere.

Før vi ser på hvad der er op og ned i de påstande, må vi træde et skridt tilbage og konstatere hvad det var, der gik galt og hvordan en kriminel person kunne få adgang til fortrolige data over en så lang periode, uden at nogen fattede mistanke. I samme runde kan vi jo så passende stille spørgsmålet om hvordan en svensk hacker i mange måneder kunne få adgang til CSC's kørekort database og mulige andre, CPR-relaterede databaser.

Sikkerhed i IT systemer

har traditionelt været fokuseret på den sidste type angreb, d.v.s udefra kommende angreb, og har derfor forsøgt med opbygningen af alle mulige firewalls, antivirussystemer - og ikke mindst med autorisationsystemer, som skal sikre, at kun de, der har en legitim adgang til systemet rent faktisk KAN komme ind. Oftest er det derefter meget avancerede adgangskontrol-mekanismer, der checker brugeren, hans rolle, hvilke applikationer/programmer han kan få adgang til - og i bedste fald også hvilke data og registre han får lov at se. De bedste installationer har desuden løbende kontroller - audits - af hvordan sikkerheden fungerer, og nøglemedarbejdere checkes løbende og i visse tilfælde udskiftes de efter en periode.

Hvor kommer truslerne fra?

Men trusselbilledet har ændret sig fra dengang alle medarbejdere sad i samme bygning eller på samme intranet, og alle data og programmer blev afviklet på een mainframe. I vore dage har medarbejdere hjemmearbejdspladser, mobile arbejdspladser eller bare mobiltelefoner, der giver adgang til virksomhedens data.

Og virksomhedens datacenter er blevet outsourcet og afvikles nu på en virtuel maskine, der fysisk kører sammen med 10-20 eller flere andre virksomheders systemer. Og nu bliver det meget mere interessant for eksterne hackere at angribe sådan en godbid, og der sættes i visse lande store ressourcer af til at prøve at penetrere den slags systemer. Og det lykkes forbavsende tit.

Det foregår som regel ved såkaldte fishing angreb, hvor (betroede) medarbejdere i de firmaer, som 'fiskerne' har fokuseret på, modtager falske e-mails, der er udformet så de tilskynder modtagerne at hente et attachment eller trykke på et link. Herefter downloades typisk en trojansk hest, der efter kortere eller længere tid giver sig til at undersøge sine omgivelser, jagte passwords eller aflure tryk på tastaturet.

Hver eneste dag bliver der sendt mere end 150 millioner fishing mails, hvoraf 16 millioner uden problemer passerer det før omtalte sikkerhedsfilter og når frem til interne medarbejdere. Omkring halvdelen af dem bliver åbnet, og ca. 800.000 klikker videre på det inficerede link.¹

Hvert halve år angribes mellem 80.000 og 115.000 domæne navne.

En af de mest skræmmende og teknisk kompetente grupper benævnes APT1 og er med meget stor sandsynlighed styret og støttet af den kinesiske regering. Formålet er spionage og industrispionage. Man formoder at der er mere end 1000 højt professionelle hackere/spioner i denne gruppe. Det amerikanske firma Mandiant følger løbende denne udvikling og udgiver (gratis) oversigt over indikatorer for gruppens tilstedeværelse på virksomhedernes servere.

Udover disse meget professionelle grupper er der et væld af spammers og andre hackere, der søger at lokke penge ud af private og virksomheder på meget fantasifulde metoder. Herhjemme har vi set falske breve fra Skat og enkelte forsikringsselskaber, der fortæller at man har penge til gode. Også betalingskortselskaberne benyttes ofte som udgangpunkt, hvor man beder folk at genåbne deres 'lukkede' kort ved at indtaste kortnummer og pinkode.

Selvom det for professionelle ser højst primitivt ud, er der konstant nogen, der falder for tricket.

BYOD - Bring You Own Device - men tag hovedet med på arbejde

Og har hackerne fået fat i en PC'er, der tilhører en betroet medarbejder i en virksomhed, er porten til data åben. Mandiant mener at kunne påvise, at APT1-netværket har stjålet flere hundrede terrabyte dat fra mindst 141 organisationer. Hvad værre er, at disse angreb iflg. Mandiant i gennemsnit har stået på mere 356 dage, og en enkelt organisation var sågar udsat i hele 4 år for angreb før de opdagede det.

Selvom det nok er vanskeligt, er der altså i højeste grad brug for en pædagogisk indsats for at få hr. og fru Jensen til at interessere sig for deres sikkerhed, og så vidt muligt anvende sig af SSL (Secure Sockets Layer) og EV = Extended validation. Det er sådan, at firmaer eller websites, der anvender EV SSL certifikater vises på en browser med et grønt felt og med navnet på den certificeringsmyndighed, der har godkendt det.

Trusler mod borgerne

Identitetstyveri er en reel og stigende trussel for private mennesker. Ifølge en undersøgelse, som Københavns Universitet har lavet for Det Kriminalpræventive Råd, sker det for mere end 46.000 danskere hvert år. Dette omfatter ikke svindel med betalingskort, men tilfælde hvor en persons identitet misbruges f.eks. til at købe varer, rejser, oprette lån etc. Tallet stiger kraftigt - en fordobling på 4 år. Det hænger sammen med vores tiltro til, at de profil oplysninger vi lægger ind på Facebook, twitter, Linkedin etc. ikke benyttes kriminelt. Men jo flere personlige data der ligger tilgængeligt på nettet, desto nemmere er det at kunne udgive sig for en anden. Og hvis man er sløset med sine CPR-numre, kan det gå rigtigt galt. (Læs hvordan Identitetstyveri virker i praksis)

Tys-Tys kilden - datatyveriet fra Nets

Lad os nu vende tilbage til vores kriminalsag fra Nets/IBM. Vi taler altså om en medarbejder, der som en hel del andre, havde adgang til 'produktionsdata' , d.v.s. data vedrørende betalingskorttransaktioner. Det var disse informationer han solgte til Se & Hør, så vidt det er oplyst for en fast månedsgage på 10.000 kr. Vi ved på nuværende tidspunkt ikke, om han havde systemadministratoradgang til mange andre systemer, noget som politiet og IBM undersøger.

Uanset hvad han i kraft af jobbet har haft adgang til, har han under alle omstændigheder gjort sig skyldig i noget strafbart i kraft af en betroet stilling, ligesom de 'hælere', der havde ham ansat, også står til straf.

'Security breaches are inevitable - being a headline is not' (Mandriants hjemmeside!)

Jeg og med mig mange sikkerhedseksperter vil påstå, at man kan lave IT systemerne så sofistikerede, at det bliver meget svært at omgå dem selv for en 'insider', men det kan aldrig blive 100% sikkert. Vi kan forlange at de organisationer, der passer på vores data, logger alle adgange og regelmæssigt kører statistik på log data, så man kan se evt. mønstre, vi kan gøre det meget besværligt at få adgang til ukrypterede data, men nogen skal på et eller andet tidspunkt kunne få denne adgang, og selv i hæderkronede firmaer med en traditionel høj arbejdsmoral kan man ikke gardere sig mod egentlig kriminel adfærd. (Når medarbejdere som tys-tys kilden bliver 'body shoppet' fra eet firma til et andet, er loyaliteten for firmaet måske heller ikke den bedste - og fyrede medarbejdere er ofte de værste skadevoldere)

Hvad skal vi så gøre ved det?

Er det logisk at sikkerhedsniveauet vil blive højere, hvis 3 uafhængige organisationer hver især skulle kunne få adgang til vores personlige data? I min optik er risikoen for en kriminel insider bare 3 gange højere. Og hvad værre er, hvis infrastrukturen varierer fra udbyder til udbyder, vil een af de 3 uvægerligt være det svageste led i et eksternt hacker-angreb.

Det er forståeligt, at man ved næste udbudsrunde i 2015 (som er lige straks!) skærper kravene til sikkerhed, så den leverandør, der på dette tidspunkt vinder NemID-kontrakten, allerede ved at barren er blevet løftet. Men at 3 forskellige skulle kunne se en forretningsmæssig fordel i det, og ovenikøbet som Michael Aastrup og Mike Legarth forventer, gøre det billigere - det kræver mere end normal nytænkning - eller en ekstra bevilling, som jeg ikke tror at selv en borgerlig regering vil stå på mål for.

Hvordan kan man tjene penge på infrastruktur?

Der er nemlig ikke mange penge i infrastruktur. Jeg var særdeles involveret i begge de 2 runder udbud om digital signatur, der er kørt indtil nu, og kan se de problemer, som de bydende virksomheder havde med at se forretningen i løsningen. TDC, der vandt den første runde af de såkaldte OCES-certifikater, forventede at business casen skulle bæres af medarbejdercertifikater og registreringssystemer til private virksomheder, men det blev kun meget langsomt indfaset, og TDC måtte betale bøder, fordi de ikke levede op til de oprindelige estimater for udbredelse.

Den 2. runder udbud blev gennemført efter forhandling. Det konsortium, jeg var med til at koordinere, fik sammen med TDC og PBS/Bankerne udleveret det endelige udbudsmateriale. Da vi havde vurderet det, trak vi os! Og det endte som bekendt med at TDC gik sammen med PBS og overlod sin (skrantende) OCES-forretning til det, der senere blev NETS.

Der var kort sagt ingen penge i det. Og det vil der langt mindre være, hvis 3 skal deles om opgaven.

Når PBS var klart overlegen, var det netop i kraft af, at de allerede havde store dele af infrstrukturen betalt af kreditkortselskaberne og bankerne. Skulle man starte forfra, vil det være dyrt - også selvom IT-løsninger er faldet i pris.

Har vi en plan B?

Så hvad er vejen ud af dilemmaet? Alle politikere fokuserer på Se & Hør sagen, hvor de langt større trusler kommer fra fremmede regimer, profesionelle fishere og fra et voksende pres i form af identitetstyveri. Det er en typisk men beklagelig rygmarvsreaktion. Det er gået ud over en række kendte personers privatliv, det er stækt ulovligt, men tys-tys kilden er tilsyneladende ikke stukket af med arvesølvet. (Med forbehold for hvad politiets undersøgelse kan bringe, naturligvis)

Ja, Version 2 kan have en pointe i at '289 danske registre med personfølsomme data er uden for myyndighederne kontrol' - baseret på at man mener, at den amerikanske stat kan tvinge CSC, IBM, Microsoft, Facebook etc. til at udlevere persondata til USA - ovenikøbet uden at meddele det til danske virksomheder. Så er løsningen at forbyde outsourcing ? Næppe. Så mange og så omkostningstunge medarbejdere og systemer kan vi ikke forvente at skatteyderne er tjent med.

Det problem, som Version2 peger på, kan kun løses ved at EU indgår en klar aftale med USA, der bygger på menneskerettighedserklæringer, og som gør det klart for USA at udlevering af data om andre borgere kun kan finde sted efter gensidig overenskomst - for eksempel i fortsættelse af interpol-samarbejdet - ellers ikke.

Kan EU udarbejde retningslinier for at styrke medlemsstaternes datasikkerhed?

Jeg tilbragte i sidste uge 2 dage med Teknologirådet i en gruppe eksperter fra EU lande, der havde til opgave at vurdere om og hvordan man kunne udstikke retningslinier til kommissionen for brug af 'Cloud Computing'. Kommissionen ser nemlig gerne, at europæiske virksomheder får del i den bølge af 'cloud teknologi', der skyller ind over os, og hvor amerikanske firmaer har et solidt forspring.

Vores konklusion er indtil videre, at der ikke er noget, der kan kaldes 'Cloud Teknologi', og at de sikkerhedskrav man ville stille hertil, ikke adskiller sig fra de krav og checklister (TLA'er) man med rimelighed ville kunne forlange overholdt af enhver outsourcing leverandør uanset nationalitet.

Så opgaven i vores optik går snarere på at udvikle 'teknologineutrale' krav til sikkerhed, kryptering, autorisation, kontrol med nøgleprocesser og -personer og særlige revisionskrav, hvor data bruges på tværs af 'domæner', d.v.s. ved anvendelse af 'big data' teknikker.

Lad os lave NemID version 3

Her kan man begynde at nytænke. Og så kunne man passende lave hele vores personregistrering om til noget meget mere tidssvarende. At vi danske ikke ser noget problem i at bruge vores CPR nummer til alle mulige formål bør være slut. Der er ingen grund til at man ved en enkelt identitet kan misbruge det til at checke alle forekomster i alle virksomheder- fra RKI til Forsikringsselskaber, detailhandelskæder.... Ja, vores selvkontrollerende skattesystem bygger jo på en eentydig identifikation af personer - men det kan man godt etablere på anden vis. Man kunne for eksempel erstatte vores pap kort med et smart card, der også indeholdt biometriske data (krypterede fingeraftryk, ansigtsdata). Og så kunne man skele til den måde, tyskerne har implementeret ID på: på kortet kan man vælge at afsløre f.eks. alder, adresse, kørekortsinformation, sygesikringsinfo, bankinfo, donor info etc. Man skal som borger selv kunne styre hvor meget man vil afsløre om sig selv. Og det bør se - i modsætning til vores nuværende NemID - være international accepteret og skal kunne bruges på kryds og tværs af EU. (Se beskrivelse af EU initiativ om coss border ID - Stork 2)

Så kunne vi måske åbne for konkurrence om udstedelse og/eller drift af NemID 3.0

Ved at lægge andre data - pas, kørekort, sygesikring etc. ind - kan man måske - MÅSKE - gøre det forretnings,æssigt attraktivt for mere end een leverandør at byde på løsningen, så man kunne ved denne nytænkning måske komme Michael Aastrup og Mike Legarth imøde samtidigt med at man forhøjede personsikkerheden og man fik forbedret den digitale ID-infrastruktur. Prisen er at vi skal anskaffe smart card læsere, som nu er kommet så langt ned i pris, at de er billigere end en USB-stik.

Men denne type løsning har fungeret i snart 10 år i Estland, så hvorfor ikke?

Lad Teknologirådet fremkomme med forslag til krav til næste udbudsrunde og NemID 3.0 jo før jo bedre!

Benchmarking Open Government

I believed I had seen almost all possible ideas on how to benchmark various countries' implementations of eGovernment - from the United Nations ongoing global evaluations with a huge number of variables and a declared objective to try and adapt to the technological development, to the CapGemini/EU Benchmarks going on since 2001 with the original intention to map the specific objectives in the Lisbon Declaration i2010. Also OECD regularly visits the member states and evaluate and encourages eGovernment development, and The Economist have for years been doing the same.

Particularly the EU benchmarks seem to have come to the end of their practical life, because their original objectives more or less have been achieved for the 8 Company oriented services and the 12 Citizen oriented eGovernment services benchmarked since 2001, so a new approach has been expected. 2 suggestions have been put on the table: The original proposal from 2009, Alexander Schellong et al., Benchmarking Europe 2010+ was refined into The 2011-2015 Benchmarking Framework as adopted by the i2010 High Level Group and the other more radical suggestion by David Osimo , Benchmarking eGovernment in the web 2.0 Era.

By coincidence and as a bonus for following the Linkedin group 'Open Government'

I noticed the discussion typed in by Davide: 'In Italy we made a framework for website's transparency which uses a web instrument called the Compass of Transparency.'

So I went to The Transparency Compass Home Page

and using the Google Translate to my national language, it was clear that this was a relatively straight forward instrument to engage citizens in analysing their local Government with regard to Transparency, possibility for citizen interaction and for the accountability of the administration in question. I tried to key in a couple of municipalities, first The Municipality of Bologna

as they in my mind has been one of the leading cities in Europe creating their famous Iperbole website many years ago and engaging in services covering both city admin, cultural events, education and other sectors of general interest. The scores obtained in the Compass test, however, clearly indicates to many not-so-happy smileys, so it is quite obvious, that the bar has been raised in this evaluation.

Davide, who apparently was one of the fathers for the Compass expresses it this way:

'We unify all the Italian laws that tell you what you have to publish in institutional web sites given to each section a standardised name and semantics.'

'We are improving it and spread it to all public administrative sites - it is not easy because we have more than 20.000 public agencies in Italy'

'We didn't do so much advertising ye 'cause we are testing it and introducing new features.... Right now we have more than 800 visitors a day and it's growing ...which means that we will reach our target: PARTICIPATION - citizens are directly involved in TRANPARENCY compliance programs, and COLLABORATION - citizens helped Government at a local and at a central level to enhance quality, and also the system provides a better accountability by public managers.'

'I work as a program manager in Italian presidency of the Council of Ministers, and I made it with very little budget in 2 months of hard work together with a small company'

If you check the list of questions (43 in all!) you will find that the checklist covers a lot from the visibility of the public web site and services, presence of an announced transparency program, follow-up procedures for transparency and participation, responsibilities for each office/agency, secure mailboxes, protection of personal data, names and CV's of managers, renumeration , absence rates of key employees, annual salaries, bonuses, public procurement and supplementary contracts,

access to files on beneficiaries, Public invitations to tender, Legal advices, privacy statements etc.

If you check out one of the other quite advanced cities, like The Municipality of Venezia

you will notice that like Bologna only very few green smileys appear, showing that this is still in it's early days. But interesting and inspiring to notice that this is something originated by the Italian Government. Congrats to Davide and his team, once the Data Regulation on provacy comes into effect, it may an idea to have a pan-European Compass tracking how it eventually will become implemented.

Den Europæiske Krise

Forrige søndag holdt 'Hjortespring Søndagsskole' – Kai Dige Bachs navnkundige undergrundsuniversitet – et spændende møde, hvor Barolos generalsekretær Jens Nymand Christensen gav sine højaktuelle kommentarer til en globale finans/gældskrise og udsigterne for Europa.

Jens Nymand Christensen indledte med nogle betragtninger over forholdet, at den oprindelige finanskrise, forårsaget af en boligboble i USA, meget snart viste sig at være en dybt alvorlige gældskrise, hvor i sær de sydeuropæiske lande og Irland viser resultatet af langvarige fejlslagne

forsøg på organisering af især den offentlige sektor, men også arbejdsmarkedet og uddannelsessystemerne.

Hvordan ser det så ud i Danmark?

Uddannelse er et nøgleproblem i andre lande og bestemt i DK: Hver 7. skoleelev i Danmark kommer ud af skolen uden erhvervskompetence, og hver 10. bliver forsørget herefter af det offentlige. Løsningen er at tilføre flere ressourcer (eller snarere at omstrukturere måden at uddanne på) – både bredden og udbuddet af RELEVANTE højere uddannelser skal styrkes. Hvilke kompetencer vil blive efterspurgt om 5-10 år? I 2020?

I 2030 vil den gennemsnitlige levetid være 6 år længere end i 2005. Det betyder, at de aldersgrupper, vi definerer som de erhvervsproduktive, d.v.s. fra 25 tom 65, i forhold til den ældre befolkning udgjorde 4:1 i 2005, vil være 3:1 i 2025 og 2:1 i 2050.

Den aldrende befolkning æder hvert år mellem 0,3 og 0,5 af BNP tilvæksten – forlods!

DK og EU er dårlige til at skabe arbejdspladser i opgangstider. Vi har 23 mio arbejdsløse i EU.

I visse lande er ungdomsarbejdsløsheden > 50% (f.eks. Spanien) – bliver dette ved, kan ingen sociale eller politiske strukturer overleve!

Krisen i Europa, der startede med en græsk krise, er nu vokset til en regulær gældskrise, især den offentlige gæld er et rygende problem. Det er IKKE politikerne, der dikterer løsningen eller krisens omfang, det er finansmarkederne. Eksempel: Renten på den spanske offentlige gæld tordnede i vejret, da den spanske statsminister meddelte at han ikke, som man havde lovet, kunne reducere underskuddet til 4.8% - først i 2014. Det er finansmarkedernes tvivl på troværdigheden hos politikere, der får renten til at eksplodere, ikke selve konstateringen af problemet, so jo om ikke andet viser, at den spanske regering er realistisk nok.

I Spanien skyldes 80% af overløbet regionerne – det er styrbarheden i et federalt samfund, der er med til at skabe problemet. De selvstændige regioner – Catalunya, Baskerland, Castillien – har den relle magt over en meget stor del af finanserne.

Men den græske regering havde decideret løjet overfor sine kolleger i EU – og systemet er netop baseret på gensidig tillid og at man kan stole på hinanden. I Grækenland har man i praksis intet offentlig administrativt system, der kan udføre centrale beslutninger, man har ingen myndigheder, ingen skatteopkrævere osv

Det massive pres på Grækenland har udløst en smagløs nationalisme og et gammelt had til Tyskland, men problemet er selvskabt. Man satsede stort på OL i 2004, byggede olympiske landsbyer, metro , ny lufthgavn osv som om man var en stormagt. Nu bruges de ikke.

De globale konsekvenser er, at Europa betragtes som Verdens syge økonomi. Det er et klart farvel til enhver tanke om selvstændige, nationale beslutninger. Økonomien hænger uløseligt sammen.

Vi har endnu ikke forstået, at EU og de andre europæiske landes handlinger har en direkte indflydelse på frihedsgraderne for det enkelte lands finanslov. EU er nu begyndt at hvæsse kløerne: 5 lande har senest fået et vink med en vognstang: Polen, Belgien, Cypern, Malta, Ungarn.

Alene Belgien overskred budgetunderskuddet med 1 mia Euro og er nu bedt om at 'ordne forholdene'. Strukturelle underskud må bringes ned – skattereformer, arbejdsmarkedsreformer – ekstremt stive arbejdsregler skal ændres indenfor 12-24 mdr.

Græsk nepotisme, korruption og skatteunddragelser i et land, hvor kun funktionærer og pensionister betaler skat – og det udløser nationalistiske og antityske følelser, som ikke gør det nemmere at se, hvordan den græske krise løses. En af historeerne går f.eks. på, at Angela Merkel forleden besøgte Athen. Paskontrolleren spurgte: 'Your Name, Please?' 'Angela Merkel.' 'OK, Occupation?' 'No, I am only here for 2 days!'

Den slags usmageligheder skal sammenstilles med, at den hjælp, som Grækenland har fået i hjælpepakken, er på 1.800 mia Euro eller 177% af den årlige græske BNP. Til sammenligning var Marshall hjælpen efter krigen på ca. 2,1% af landenes BNP.

Truslen er naturligvis, at i lande, der har en ungdomsarbejdsløshed på over 50%, kan man med rette frygte, at de sociale og politiske rammer ikke kan holde ret meget længere.

En krise af dette omfang medfører, at de europæiske lande nødvendigvis må parkere en del af deres selvstændighed i de organisationer, der skal hjælpe dem ud af krisen. Det var således ikke noget tilfælde, at Irlands finanslov sidste år lækkede i Berlin, før nogen i det irske parlament havde haft lejlighed til at studere forslaget.

Er Europa så 'fremtidens kontinent'? - eller tilhører vi fortiden?

Det afhænger fuldt og helt af landenes evne og vilje til at gennemføre reformprocesser, og især nytænkning af undervisningssektoren fra grundskole til universitet, fremme af innovation og fjerne lovgivning, der hæmmer fleksbilitet og tilpasningsevne er utroligt vigtigt. Processen og det internationale pres stopper ikke, og det er ikke gjort med tilførelse af ressourcer, men kræver derimod grundlæggende strukturændringer og en helt anden form for accept af kulturelle forskelle og styrker.

BRIK-landene er for alvor på vej frem. Kina har igennem de sidste 2000 år været Verdens førende stormagt i 1800 år – bortset lige fra de sidste 200 år, som de betragter som en parentes i udviklingen, og er nu på vej til at genvinde den traditionelle position. I 2050 vil den kinesiske økonomi med al sandsynlighed være 2 x den amerikanske økonomi. I 2020 vil Kina forbruge 50% af Verdens kul, aluminium, nikkel, zink, sjældne jordarter, der vil være 200 mio kinesiske biler, spm har brug for at vi finder et nyt Saudi Arabien, hvis de skal have benzin,

Den ændrede styrkefordeling vil – det viser historien – uvægerligt have et geopolitisk og – militært efterspil, og de nuværende internationale organisationer er derfo forældede. Hvorfor sidder op til flere europæiske lande med i G20? Det afspejler ikke en virkelighed, hvor både Frankrig og England er forvist rollen som rent regionale stormagter, og kun Tyskland kan med det yderste af neglene klamre sig til en geo-påolitisk plads. Og der sidder hele 7 lande fra Europa i G20, selvom der i princippet kun burde være 1, max. 2.

Efter Jens Nymands indlæg fulgte en interessant debat om mulighederne og udfordringerne, særligt i Danmark. Især fremførte Hans Skov Christensen bekymringen over, at ikke nok med at folkeskolen producerer så mange tabere, men også at frafaldet i erhvervsuddannelserne er så højt som 40%.

På den positive side hører, at Danmark har vedtaget en automatisk forhøjelse af pensionsalderen i takt med levetidens forlængelse, selvom vi stadig har til gode at se den første vedtagelse i Folketinger af yderligere forhøjelser.

Åbne Offentlige Data - Hvad skal der til?

(Fra data.gov.uk - åbne offentlige data)

En række lande har haft stor opmærksomhed på at gøre offentligt indsamlede og registrerede data tilgængelige for borgere og erhvervsliv. Det gælder primært UK, US, Canada, Australien, Holland, Norge – og i EU er det blevet en del af den strategiske målsætning for den fremtidige udvikling af eGovernment.

Set i international perspektiv ligger Danmark langt efter se f.eks. - -http://blog.okfn.org/2011/08/26/introducing-the-open-knowledge-index/ Men på trods af den beskedne placering har man faktisk forsøgt med diverse tiltag at åbne de offentlige danske data, især tidligere Videnskabsminister Charlotte Sahl-Madsen stillede sig i spidsen for at kortlægge de offentlige data, og ikke mindst 25 af de dataset, som den hedengang IT og Telestyrelse havde direkte kontrol med

I indeværende år er Zangenberg og Co. barslet med en rapport om værdien af at åbne offentlige data. Denne rapport er baseret på interviews med en række brancher og organisationer, og peger især på værdien for følgende brancher:

• Banksektoren, hvor en øget adgang til borgernes indkomstforhold vil kunne medføre besparelser og mulige, undgåede tab på 'mindst 500 mio'

• Energisektoren, hvor en øget adgang og en bedre kvalitet af offentlige bygningsdata m.v. og viden om energiforbrug og isolering ville kunne give en samfundsmæssig besparelse på måske op mod 4 – 20 mia om året

• Den Farmaceutiske industri, hvor bedre adgang også til anonymiserede sundhedsdata kan medføre mere effektive lanceringer af nye præparater, ligeledes 'i milliard-klassen'

• Turisterhvervet peger på mulige bedre skræddersyede data til at tiltrække kulturelle turister eller bedre totalinformation, uden dog at sætte størrelse på mulig indtjenening.

• Detailhandelen synes ikke umiddelbart at kunne se behovet for adgang til flere data, mens

• Forsikringsbranchen mener at se et potentiale i bedre rådgivning i forbindelse med ændring i boligforhold, indkomst, familie medens

• Kommunerne ser 2 områder: Fortsat reduktion af socialt bedrageri og en langt bedre adgang til sundhedsdata til at kunne optimere behandling, pleje m.v.

Hertil kommer ODIS initiativet, der bl.a. har resulteret i oversigten over offentlige datakilder, der er udgivet her: http://digitaliser.dk/ressourcer?tabContainerResources=tabDatakildeResources#

Problemet med navnlig den sidste oversigt er, at den omfatter revl og krat, virker vanskelig at gå til, og skal sammenholdes med formater (f.eks. OIO, XML m.v.) før den rigtigt kan udnyttes.

Sammenligner man med de erfaringer, man har haft i andre lande, specielt UK, er det klart at grundindstillingen og tilgangen har været en noget anden; for det første har et af hovedformålene i andre lande været 'Open Government' , d.v.s. Man har set det som et middel til at øge regeringens/forvaltningernes troværdighed ved at gøre beslutninger, resultater etc. transparent, medens den danske tilgang i henhold til den tidligere regerings udmeldinger har været at slippe data løs, så de kunne benyttes innovativt og dermed være medvirkende til at skabe ny vækst og beskæftigelse.

Og her kommer Zangenbergs rapport til kort, i den forstand at det er de bestående erhverv og den etablerede industri, der er fokus for hans undersøgelse. Det betyder ikke, at resultatet nødvendigvis er forkert, men kun at erfaringerne fra de andre lande tyder på, at de bedste ideer opstår i et samspil, en 'mash up' mellem forskellige datakilder, som branchens etablerede specialister muligvis overser.

Et punkt, hvor Zangenbergs rapport imidlertid rammer plet, er at sætte fokus på hvor privacy-begrebet sætter grænser – eller rettere: hvor pseudonymisering af data er en væsentlig forudsætning for udnyttelse af data.

Ser vi på tiltag i EU, er det værd at bemærke, at de nuværende måder at sammenligne de enkelte landes eGovernment performance på, er ved at 'løbe tør' – i den forstand, at EU siden 2001 har målt udbud, 'take up' af 20 nøgleapplikationer, og mange lande har nu nået op på tæt på 100%.

Allerede for et par siden advokerede David Osimo for, at næste fase af sammenligninger mellem EU-lande skulle foregå baseret på tilgangen til åbne, offentlige data – både ud fra et vækst synspunkt og ud fra et transparens-synspunkt. (Se hans anbefalinger her.). Han foreslog udvælgelsen af 20 'arketyper' af data, som hver skulle vurderes efter følgende skala:

0 - no information available 1 - description of the procedure to obtain the information through FOI

2 - information available in non reusable, non-machine readable format

3 - information available in reusable and machine readable format such as xml or dbase

4 - information available as per stage 3 and visualizable through predefined tools (georeferencing, histogram etc.

Synspunktet er fortsat validt, men for at komme til en meningsfyldt oversigt og tilgang til de danske, offentlige data kræver det mere end bare en oversigt over hvilke formater, selve databassen er lagret i. Det vil kræve en adgang til en meta-databeskrivelse, så også nye brugere, nye initiativtagere og eksisterende virksomheder kan få en let tilgængelig oversigt over hvilket interface, hvilke datatyper, der kan gives adgang til. (Det er ikke altid en enkel opgave – f.eks. har sundhedsområdet i mange år døjet med at standardisere begreber på tværs af kliniske specialer.)

Det forekommer nærliggende at tage udgangspunkt i de såkaldte domænebestyrelsers arbejde med kortlægningen af arbejdsopgaver og sammenhænge mellem grunddata for at komme skridtet længere. Domænebestyrelsen for boliger og bygninger vil således mere målrettet kunne arbejde med bl.a. de anbefalinger, som Zangenberg er kommet med vedr. energi og isolering. Tilsvarende ville en revurdering af det arbejde, som Erhvervs- og Selskabsstyrelsen laver for domænet 'Erhverv' passende kunne udvides, så det bliver muligt at lave et sammenhængende informationsflow for hele beskæftigelsesområdet: Data fra virksomheder, der planlægger at opsige folk, data om pågældendes skills, erfaring, uddannelse, data fra virksomheder, der søger folk, hvilke skills, erfaringer og uddannelser, der er behov for, match af 'gaps' mellem de to som input for korterevarende efteruddannelser og match med eksisterende udbud af efteruddannelser – og så naturligvis kobling til A-kasser og ledighed, jobkontorer m.v. Desværre fokuserer den netop vedtagne fællesoffentlige IT strategi på effektivisering af de administrative opgaver i forbindelse med ledighed og ikke på at løse det grundlæggende problem.

Som opsummering har vi behov for følgende analyser og anbefalinger vedr. åbne, offentlige data:

• Pr. domæne (der er kun 4!) en oversigt over grunddata og dynamiske data, ejer, format, metadata

• Kortlagte arbejdsgange i det offentlige, der føder/benytter disse data (FORM/STORM)

• Specificerede behov for beskyttelse af private data og behov for samtykkestyring

• Mulighed for pseudonymisering (f.eks. af medicinske data til forskningsbrug)

• Potentialer – sammenligning med udlandet

• Barrierer – hvor kræver det en ekstra indsats for at kunne opstille metadata, åbne databaserne og synliggøre mulighederne for relevante nationale og internationale spillere?

Cloud Computing – Are the Security Risks real - or is Legislation lagging behind technical Opportunities?

fig 1. Cloud Computing concepts and threats

In Denmark the discussion between Security freaks and the avant garde computer nerds has raged this summer om the question whether or not the Public Sector in Denmark should pursue the use of Cloud computing aggressively. (My blog – in Danish – covers this discussion). The con's are led by the IT Council for Security, while the pro's – amazingly – is lead by the Minister of Science, Charlotte Sahl-Madsen, who sees the opportunity to involve a number of innovative, small companies in utilizing the vast amount of public data until now stored away in departmental systems, bunkers or behind firewalls.

Gartner Group has recently publicized it's 'Hype Cycle' for Cloud Computing that points to the observation that the concept is probably currently at the very top of the Hype and bound to go through the 'Trough of Disillusionment' before we start to see real large scale, public use of the technology.

The opponents are pointing to 3 reasons why the public sector should be extremely careful to deploy CC at a large scale:

1. Cloud Computing should comply with all existing legislation concerning data security.

2. Cloud Computing solutions should obey to 'best practices' and common accepted standards that the providers should be certified to guarantee

3. Critical data should obey to national and EU standards in emergencies – currently demanding that critical data (Citizen Records, Health Records, State Financial Records, Military and police records) should be guarded and kept within full physical control of the responsible departments/public organizations.

The Minister of Science requests a new look at Data Security, and even EU is expected to produce a suggestion to ease the European Directives on data protection to stimulate use of Cloud Computing.

But what are the facts and what are the real security challenges in Cloud Computing? Are there any new technological developments that will ensure that legislations' intents are obeyed even if the rigorous requirements for 'physical control and inspection' can not be performed in it's original sense?

First we need to agree on what Cloud Computing is and what is isn't. In February 2009 the UC Berkeley Adaptive Distributed Systems Laboratory gave out a technical report describing the phenomenon.

They point out that Cloud Computing refers to both the applications delivered as services over the internet and the hardware and systems software that provide these services. The applications themselves are labelled Software as a Service. The underlying HW and SW is described as the cloud. When a cloud is made available on a pay-as-you-go manner, we call it a Public Cloud. The service being sold is called Utility Computing. In contrast to this, a Private Cloud refers to internal data centers or data centers not made a available to other that one customer (or a coherent set of customers). The Private Cloud is dismissed from the Berkeley sense of Cloud Computing, even if pricing and to a certain degree scalability might be at least similar to 'Real Cloud Computing'.

Now the business model of Cloud Computing in it's original form thus consist of this 'value chain': we have the SaaS user, the end user that buys the services, web applications. He might buy these services from a SaaS-Provider, who can be seen as a Cloud User, that buys the underlining HW and basic SW capabilities from a Cloud Provider. Of course the Cloud Provider and SaaS provider might be one and the same organization.

The various classes of Utility Computing that are offered through individual business models, vary of course (Amazon, Microsoft Azure, Google, IBM etc.) and the various types are reflected in various models for computation models (Virtual Machines running on 'Hypervisors' or a 'farm' of VM's), by various storage models including variations of DB SW provisioning and finally various Network models from pre-defined IP address spaces, dynamic allocation, fixed topologies, 'elastic zones' etc.

This variation reflects the lack of common standards but is of course a result of the intense competition in the marketplace. But is has led to new definitions a part from SaaS that are used commonly: Platform-as-a service – typically major application areas, SAP for instance – and Infrastructure-as-a service. Especially the latter variation leads to the conclusion that the organization that buys IaaS simply buys the basic building blocks and otherwise are left with the responsibility to populate the Cloud by his own applications and development tools. This type of Cloud business model is especially appealing to SW developers, while the PaaS model is aiming at solving enterprise (or Government institutions') problems.

To confuse the matter more, the terms 'Community Cloud' and 'Hybrid Cloud' have risen recently – the former simply refers to a private cloud with many tenants (municipalities, agencies for instance) while Hybrid indicates that some of the applications in the portfolio in running in the Public Cloud while other services within the portfolio remains in the Private Cloud.

The application opportunities that have occurred the last couple of years as a result of this combination of highly scalable, robust 'back end' systems and an aggressive 'pay-as-you-go' pricing model covers interesting areas like mobile interactive applications, large scale batch processing jobs, heavy data analytical computation jobs, to more straight-forward desktop services solutions avoiding tedious updating and installation of new SW at each and every employees desktop.

The economics of Cloud Computing explains why the Berkeley-team did not want to include 'Private Clouds' in the definition: The huge requirements of back-end capacity and the real need for economy of scale makes it almost mandatory that the players are very large companies that can afford the risk of large scale investments – and on the other hand are able to manage and balance load in an extremely efficient way. Sharp changes in capacity demand, seasonal fluctuations, including back-up requirements, fall-over facilities etc. plus of course traffic bottlenecks in communication equipment clearly makes the unit costs of Cloud Providers competitive compared to traditional Data Centers. This is the major argument for US CIO Vivek Kundra's Federal Cloud Strategy 'Cloud First', announced February 2011, where it is stated that at least 20 Billion US $ out of the total 80 billion $ spent by federal agencies in 2011 could be saved by moving to the cloud.

Other economic benefits of moving to the Cloud as stated by Vivek Kundra are the improved productivity in application development, fast response time to rising needs, better linkage to emerging technologies and alignment with private sector innovation.

It is tempting to argue that the huge difference between the European 'Cloud Scepticists' and Vivek Kundra is that US is desperately in need of savings and in any case not very concerned about privacy, the Europeans have a more than 10 year legislation on privacy, now adopted in almost all EU countries and at least in some countries (led by Germany) this plays a very large role in public opinion. This is the reason why the EU Commission has requested an in depth study of legal and technical implications of Cloud Computing in light of the EU 94/46 Directive. These changes are not due to occur before spring 2012.

OK, but where are the REAL risks?

Looking at Figure 1 we can identify 4 classes of risks of malicious, unauthorized access:

• End user access – non-authorized attempts to gain access to read, steal, modify data, DOS etc.

• Inter-Cloud Access using external services to hide malware, worms, trojan horses etc.

• Tenant related 'insider' attempts to gain un-authorized access

• Cloud Provider administrator 'insider' attacks

Add to these risks the risk of errors in a shared physical environment if instances of VM and in particular data are not kept isolated from other tenant's.

Let us try to address the question of how a secure cloud solution could be established following the 3 items mentioned by the Danish Council for IT Security.

1. Comply with Data Protection laws.
   Their first concern is that a cloud and Saas-provider should comply with the current legislation. This has as it's root the requirement that it should be guaranteed that only authorized persons get access to data that contains PID (Personally Identifiable Data).

   You could argue that this is first and foremost the responsibility of the department that collects and stores the data to ensure access rights and to ensure that the Cloud provider follows the requirements in this respect: logs access as well as access attempts, prevents unauthorized access to customer data also by his own staff. Ultimately this requires for the government agency that wants to move to the cloud that it maintains a security organization that issues or controls issuance of access certificates and up-to-date Access Control Lists.
   It is likewise a requirement for any procurement and contracts with cloud providers.
   

2. Cloud provider should adapt 'best practices' and standards and be certified.
   Best Standards are at this stage only emerging, and it may be a tough requirement, before internal standardization agencies and governments agree on this. But there are practices that could help guide the Cloud Vendor. (See also Google's White Paper on Cloud Security)

   First of all the psychological fears of privacy breaches could be avoided if the cloud provider could guarantee against intruders passing the firewall and accessing user data, we already discussed the first level of this. The second layer attack could be hidden in the cross-application communication that will eventually occur when external clouds exchange services and data with the tenants of one cloud operator. It might be simple things like services for currency exchange calculations, or it might be much more SOA-like, cross domain data analytics – for instance health care research across several EHR-systems.
   The more basic services to protect against things like VLAN-spoofing and firewall configuration errors should in any case be part of a contract with a trusted provider, but the Achilles-heal is the second type: access to primary data across a number of domains.
   We will discuss this in more detail later to see if there are some technological development ahead.
   

3. The 3^rd requirement from the Security Council concerns national security regulations. These requirements are probably more difficult to deal with if legislation is taken literally: that inspectors should be able to physically identify data bases and storage devices. That is, of course unless you are able to prove that a) The data are protected from any 3^rd party reading and interpretation, and b) that even if the case of destruction you are able to re-construct data in a secure way. One would think that Vivek Kundra had this in mind but came to the conclusion that all major cloud providers are deeply rooted in US.
   
   There are, however, some inconsistencies in the current legislation; while it is understood that no foreign power should gain access to a complete Person Registration system, it is questionable why a financial system and related data should be considered 'strategic' if the data are duplicated and can be reproduced. This is the position of the Danish Minister of Science. But the intention as specified in national legislation to keep strategic data within the country seems to be more like a legal problem – especially if the true meaning of the word 'Control' can be solved in other ways. If you have full back up/recovery of data, full duplication and secured your data by top class (maybe even dynamic) encryption of data you could argue that you, the data owner has full control.
   

So it seems that there are technical ways around at least most of the issues – but how real is the idea to have all public institutions manage the access rights, secure encryption of the data and still be able to exchange and exploit data across institutional borders in a 'community-like' public cloud environment? Let us assume that all policy aspects are solved, agreements of responsibilities between tenant of cloud provider (and SaaS-provider) are put in place, SLA's established, certification of best practices – then is the idea of a grand scheme of encrypted data at all feasible?

Already in 2009 the IBM researche Craig Gentry suggested a method of what he called Homomorphic computing which would enable users with appropriate access rights to access and calculate on encrypted data across domains in a way where the final result could be decrypted and produce the same result as if the operation had been performed on the 'raw' data. If this is a feasible and economic practical solution, then most of the obstacles of putting sensitive data in the Cloud have disappeared. But as usual, there is no such thing as a free meal. At the current state of development, the computational requirements for this 2-step encryption method are enormous, at least at present enough to turn the economic advantages of Cloud Computing off. So we will still have to wait for the costs of computing to come down – and as it seems we are already getting beyond Moore's law and accelerating developments, it is now believed that homomorphic encryption will become economical feasible within the next 5 years. And when it will be solved, the interim requirements of close control with the Cloud provider might be reduced.

But then we need in any case to agree on and clean the standards, define and refine policies, practice and implement large scale ID-management and authorization. In any case the answer to the question whether the technical risks of cloud computing are real is yes, and it will be solved. Eventually.

D-Land: Fra Informationssamfund til Videnssamfund

(Er tiden moden?)

Vi har i mange år talt om 'informationssamfundet' nærmest som synonym for det vi i Danmark 3.0 tænketanken har kaldt 'D-Land' – men vi kan nu se, at vi er på tærsklen til noget helt nyt, som rummer langt mere end 'information', nemlig et samfund som i stadig højere grad beskæftiger sig med viden.

Den største forskel er nok ikke så meget i selve adgangen til digitale data og informationer, som i den måde, de anvendes på, og den måde de indgår i et nyt tankesæt. For medens IKT i informationssamfundet er travlt optaget af at samle beskrivelser sammen af det, der ER og af det, der ER sket, så går vidensskamfundet ud på at indsamle, evaluere, vurdere, prognosticere med det klare formål at styre vores fremtid. Tænk på lægevidenskaben, der traditionelt har beskæftiget sig med at diagnosticere en eksisterende sygdom for derefter at behandle den. Nu taler vi om forebyggende sundhedsbehandling, flytter fokus til at ændre livsstil – og nogle taler om aktivt at benytte viden om gener til at kunne forudsige mulige, fremtidige sygdomme for det enkelte individ.

Der er klart etiske dilemmaer i dette: Hvor meget VIL vi vide om fremtiden, især om vores egne risici, men der et andet element, der i lige så høj grad kræver overvejelser og måske holdningsændringer: Fremtiden er nu en gang probabilistisk – de forudsigelser, vi gør, er behæftet med større eller mindre unøjagtigheder, som både politikere og enkeltpersoner må lære at forholde sig til. Når klimaforskere taler om jordens opvarmning som følge af CO2-udledning, er det også baseret på sandsynlighedsregning – men desværre for klimaskeptikerne, er sandsynligheden for sammenhænge til den menneskeskabte CO2 udledning så massiv, at en benægtelse vil have samme karakter, som at påstå at jorden er flad; det forhindrer så ikke, at man kan være mere eller mindre enig i hvilke problemstillinger, det er vigtigst for menneskeheden at tage hånd om først – politik bliver ikke mindre interessant, men mere interessant i et videnssamfund.

Hvordan tilvejebringer vi så viden? I næsten alle fagområder arbejder man i dag med generering af viden fra data og information: Landmanden kombinerer viden om jordbundens beskaffenhed på de enkelte dele af marken med viden om lokal meteorologi, så han kan dosere gødning langt mere finkornet og på de rigtige tidspunkter og samtidigt spare på udledning af kvælstof og optimere brug af fosfor, den næste mangelvare efter olie.

Det intelligente el-netværk forudsiger forbrug baseret på data og forecasts fra intelligente målere ohos forbrugerne, sammenligner med forudsigelser om blæst og sol, tilstedeværelsen af organisske brændstoffer og sammenvejer med den dynamiske pris på det europæiske netværk for konstant at producere el i fornødent omfang og med de kraftværker, der er mest hensigtsmæssige.

Den intelligente bygning kender planerne for dens indbyuggeres forbrug og ophold, sammenholder med vejr, vind, sol og optimerer afskærmning, udstråling, udkuftning, belysning i lokaler, genanvendelse af regnvand.

Business Intelligens benyttes af virksomheder til at udvinde viden fra CRM systemer og kundernes forbrugsmønstre, herunder deres brug af internettjenester, og sammenstiller med konkurrentinformation, løbende viden om tilgang og priser af delfabrikata og råvarer i værdikæden, eksistensen af varelagre hos forhandlere og kan optimere produktion, distribution, prisfastsættelse, kvalitetsstyring.

Det intelligente arbejdsmarked er desværre pt en illusion – men som omtalt i en tidligere blog vil en langt større gennemsigtighed og et bedre defineret grundlag for den enkelte arbejdstagers reelle kompetencer i forhold til efterspurgt kompetence kunne medvirke til bedre målretning af kompetenceudvikling, målrettede kurser for at bringe ledige i arbejde, der matcher arbejdsgiveres behov og arbejdstagernes grundkompetencer.

Og med kompetencer er vi tilbage til den barriere, som i denne sammenhæng er den vigtigste for at realisere videnssamfundet: Vi mangler fokus på at uddanne elever, studerende, lærere, - og folk, der er i arbejde – i metoder og teknikker, herunder holisitisk systemtænkning, og innoationsteknikker.

Man kan groft sige (jvfr Mac Mahon, Michael Peters et. al.) at de fundamentale vidensprocesser består i, at de der udfører dem, for det første har en klar viden om deres eget ugangspunkt, derers eget perspektiv, og derudover kan beherske følgende processer:

• Observere, foretage nye eksperimenter og indhente erfaring fra resultatet hraf

• Formulere koncepter og definere begreber

• Opstille modeller og udlede teorier på basis heraf

• Udføre en analyse af årsagssammenhænge

• Kritisk analyse

• Uddrage regler for anvendelse af analysen

• Udarbejde kreative, praktiske anvendelser samt overføre viden til ny kontekst

I USA vil man herfra typisk foreslå, at man laver et sæt af standarder for de kompetencer, som skolebørn, lærere, studerende etc. skal have, således at dert bliver muligt at måle, om uddannelsessystemet rent faktisk leverer folk med de pågældende kompetencer; men det er ikke hverken i overensstemmelse med dansk pædagogisk tradition eller for den sags skyld særligt hensigtsmæssigt at starte processen i et så bureaukratisk og langsommeligt perspektivt. Al den stund vi er i en rivende udvikling indenfor metoder, værktøjer og anvendelser, vil det være en dødfødt ide at gå efter at systematisere viden og kompetencer, der ændrer sig.

En konkrete, dansk tilgang til at sætte pres på udvikling af kompetencer til brug i Videnssamfundets D-land vil være at få etableret et virtuelt center for Vidensprocesser og Vidensdannelse. Da hver enkelt fagområde på universiteter og for den sags skyld de fortskningstunge, danske virksomheder som Novo. Novozymes, Grundfoss, Danfoss, Vestas etc. alle sammen hver indenfor deres område har metoder og erfaringer med metoder spændende fra Statistiske modeller til Business Intelligence til grafisk fremstilling af informationsanalyse, så vil man med de rette incitamentert kunne opbygge et arsenal af metoder, som i samarbejde med Danmarks pædagogiske Universitet og faglærere på landets skoler passende kunne tilpasse og indbygge i bestående uddannelser – ikke bare i folkeskole og gymnasium, men også på tværs af universitetsinstituttter og virksomheder. Problemet består først og fremmest i at køre fri af forretningshemmeligheder og en ufrugtbar patentdefinition, for det jg taler om er netop ikke produktspecifik men generaliseret viden om analysemodeller og -metoder.

Et virtuelt center for Vidensdannelse supporteret også af ITEK og de IT-tunge virksomheder og med tilstrækkeligt antal generalistforskere, der kan uddrage essense af de tilbudte metoder og etablere faglige netværker, hvor de kan finde anvendelse udenfor det domæne, hvori de oprindeligt blev udviklet. Det er en del af min vision om fremtidens kompetenceudvikling.

Den anden del af visionen vedrører den offentlige sektors støtte til borgeren i Videnssamfundet.

Her kan vi tage udgangspunkt i Eurocities – The Knowledge Society Forum (Tidligere kendt som Telecities), der er en forening af de mest ICT-fremmelige byer i Europa (og ansøgerlande/EØS m.v.)

I Eurocities har man opstillet et charter for e-Citizens, som medlkemsbyerne næsten alle har tilsluttet sig. Her taler man om, at fremtidens e-Citizens har:

Ret til adgang til Internettet:

• Enhver borger har ret til adgang til internettet gennem offentligt tilgængelige acces-punkter og fortrinsvis gennem bredbåndsforbindelser

• Enhver borger skal garanteres sikkerhed og beskyttelse af personlige data, som bliver administreret gennem offentlige online tjenester

Ret til uddannelse og træning

• Enhver borger har ret til at få adgang til de basale ICT færdigheder, der er nødvendige for at kunne udnytte offentlige services of informationer, der er tilgængelige via internettet

• Enhver borger har ret til adgang til personlig assistance i forbindelse med adgang til offentlige tjenester og informationer via internettet

• Enhver borger har ret til adgang til læringsplatforme for livslang læring og opkvalificeret uddannelse, så han kan drage fordele af alle til rådighed værende ressourcer, der genereres via ICT-faciliteter således at han kan tage aktiv del i videnssamfundet

Ret til adgang til online information

• Enhver borger har ret til adgang til de data og den bedste kvalitet af den information, der indsamles af offentlige myndigheder

• Enhver borger har ret til adgang til informationen uanset handicap

Ret til at deltage online i samfundsdebatten

• Enhver borger skal sikre retten til at deltage via ICT platforme i den politiske beslutningsproces i hans eller hendes kommune

• Enhver borger vil modtage feedback fra forvaltningen i forbindelse med deltagelse i offentlige høringer

Eurocities' charter støtter sig til den generelle EU strategi om at gøre alle offentlige data tilgængelige, såfremt de ikke direkte udgør en sikkerhedsmæssig risiko.

Og retten til uddannelse og livslang træning kan jo heller ikke ses isoleret som et krav til den enkelte by, men må ses som en generel forudsætning for at borgerne få mulighed for at tilegne sig de kompetencer, som jeg ovenfor efterlyste, og som er hele fundamentet under D-land som Videnssamfund.

Fra Friktioner til Gennemsigtighed i D-land...

(D-Land: Danmark 3.0 betegnelse for et gennem-digitaliseret Danmark)

Det er tankevækkende, at nobelprisen i økonomi i år går til Dale Mortensen, Århus Universitet, der er en ledende forsker i betydningen af friktioner som bremseklods for at markedskræfterne kan udfolde sig frit og medvirke til en reduktion af f.eks. arbejdsløshed.

Det tankevækkende er, at det optræder præcis samtidigt med at Berlingske Tidende kører en 'afsløring' af hvor dårligt den kommunale indsats for at bekæmpe ledighed virker – i hvert fald i nogle kommuner. Og som har medført at LO og DA kræver en ændret indsats.

I et digitaliseret samfund – et Danmark 3.0 – skal den slags problemstillinger IKKE forekomme. Men som med så mange forhold i Danmark 3.0, er det ikke BARE et spørgsmål om at udnytte teknologien, den skal også 'enactes', d.v.s. implementeres i en hensigtsmæssig organisatorisk struktur, der bygger på tankegangen om at i et netværk er vidensdeling den hårde valuta, og det der får netværket til at fungere langt bedre end traditionelle bureaukratier. Også bedre end den form for kontrakttænkning, der har sneget sig ind i offentlig forvaltning de seneste 20 år, og som gør det muligt for kommuner at maximere egen profit uden at bidrage synderligt til at nedbringe ledigheden. Incitamentstrukturer alene gør det ikke, vi har brug for en radikal omtænkning af hvorledes informationsflowet kan styrkes og hvilke organisationsformer og alternative incitamenter, der kan etableres i Danmark 3.0.

Lad os starte med virksomhederne – inklusive kommuner og regioner, der i disse dage fyrer i hobetal. I stedet for blot at holde sig til regler om varsling og arbejdsmarkedets regler, kunne man med CSR-holdning in mente foreslå, at kendte og planlagte fyringer fandt sted på en måde, hvor de fyrende virksomheder sørgede for at hjælpe deres medarbejdere bedst muligt: Ved at notere hvilke særlige færdigheder, uddannelser, erfaringer og kompetence de besidder.

Arbejdstageroganisationerne – herunder også private A-kasser – kan i netværkssamfundet være de første til at modtage disse informationer og sammenholde dem med jobmuligheder og kortvarige uddannelsestilbud.

På arbejdsgiverside – inklusive offentlige arbejdsgivere – kan man tilsvarende forvente, at planlagte nyansættelser finder sted efter søgning med en bedre eller bare en generelt accepteret beskrivelse af ønskværdige og nødvendige færdigheder, erfaringer etc.

Kursusudbydere kan udnytte viden om lediges færdigheder til at matche de krævede/ønskværdige færdigheder og i langt højere grad udvikle kortvarige kurser til delvis eller fuldkommen opgradering af jobsøgende. Vi vil se et langt større og varieret udbud af kurser, (i overensstemmelse med EU-strategi på området) og i et netvækssamarbejde mellem virksomheder og kursusudbydere også se en række praktikantjobs, hvor offentlig medfinansiering vil have betydeligt større værdi end et ikke-eksisterende kommunalt kursus i ansøgningsskrivning. (Se artikel om faldet i uddannelse af ledige!)

Hvad bliver der af jobformidlingen? Der vil ikke ske støre skade ved at centralisere den igen, men det vigtigste er måske hele indstillingen til opgaven: Det drejer sig ikke bare om at finde et job til en arbejdssøger, det drejer sig om at medvirke til at optimere udnyttelsen af landets videns-ressourcer – uanset om det er en forsker eller en specialarbejder. Og med et effektivt fungerende informationssystem bør behovene for viden indgå som grundlag for vidensmæssig opkvalificering med alle de muligheder, hvor sådan noget kan foregå. En kombination af et velfungerende, centralt informationssystem og lokale, måske kommunale specialister, der kan hjælpe med at kortslutte kontakter til lokale virksomheder og kursusudbydere er – måske – en del af svaret.

D-land nedbryder friktioner, der skyldes vanetænkning, gammeldags organisationsformer og afgrænsede, lukkede informationskredsløb.

Hvad skal vi med e-Government?

(Vejby Strand - 2.7 2010)

At sommertid plejer at være agurketid er vist blevet modbevist godt og grundigt – bortset fra de almindelige trakasserier mellem regering og opposition (Som godt nok har været lidt mere farverige end sædvanligt – og mere i tråd med almindelige globaliseringsproblemer) – så har Forskningsministeren barslet med sit svar på Højhastighedskomiteens udspil til at modernisere Danmark – 'Digitale veje til vækst', og erhvervslivet har debatteret behovet for udvidede bevillinger til grundforskningen, medens IT branchen har nedsat en 'tænketank', der i løbet af efteråret vil fremkomme med kreative ideer og forslag til at sætte fuld speed på digitaliseringen:

”DANSK IT har initieret projektet Danmark 3.0 for at give vores anbefalinger til en national digitaliseringsstrategi. En strategi, som kan blive afgørende for at fastholde og udbygge det danske velfærdssamfund, og hvor midlet er en effektiv og koordineret national udnyttelse af informationsteknologiens muligheder.” Vi afholdt det første møde sidste tirsdag – jeg ser frem til nogle konstruktive diskussioner.

Og de sidste dage har Novo og IBM blandet sig i debatten: Kim Østrup efterlyser egentlig IT-forskning – ikke mindst i IT-området, hvor han hævder at Danmark kun uddanner omkring 1/5 af de lande, der gør det bedst på IT-fronten (relativt målt, naturligvis. Vi kan ikke konkurrere i antal med Kina og Indien). Efter mange års samarbejde og diskussioner med Kim må jeg give ham ret; vi har en besynderlig uddannelsestradition i Danmark, at eet af de mest 'renlige' fag, der ikke kræver særlige fysiske anstrengelser, i den grad bliver fravalgt af kvinder, at vi mister 50% af de potentielle nye genier allerede i gymnasiet. Dertil kommer at den oprindelige Datalogi uddannelse blev etableret som uddannelsescenter for Regnecentralen, og mange formodentlig fortsat har et 'støvet' indtryk af hvad faget går ud på – eller rettere: hvad det kunne gå ud på.

Når vi ser på alle initiativerne ovenfor – Højhastighedskomiteen, Forskningsministeriet, Dansk IT, så peger alle på at en væsentlig del af den fremtidige indsats for at fremme IT brug, forskning og forståelse falder indenfor det offentliges sfærer: Velfærdsteknologi, sundhedsIT, digital forvaltning, brug af sociale netværker, borgerservice, samarbejde, internationalisering, uddannelse og e-Læring... alle disse emner falder indenfor det, som vi i daglig tale kalder e-Government.

Indtil i dag har kun CBS udbudt eGovernment som et fag. Men vi har brug for mange flere tilbud på mange flere uddannelsesinstitutioner for at få gang i det langsigtede forskningsmiljø, som Kim Østrup efterlyser. Det er en af grundene til at jeg har taget udfordringen op og starter e-Government som et fag på Masters-niveau på IT-Universitetet fra september. Emnet kræver tværfaglighed, og netop mastersuddannelsen på ITU er spændende, fordi rekrutteringsgrundlaget for de studerende er så bredt, at det bør kunne kaste lys over en række af de problemer, som vi i så rigeligt mål har kunne se i grænselandet mellem IT-emner, sociology, politologi – og de tilstødende discipliner som medicin, pædagogik, økonomi, management i videste forstand.

I faget vil vi tage diskussionen op om hvad man i dagspressen opfatter som 'conventional wisdom' og holde det op mod erfaringer fra en lang række cases i ud- som indland. Vi vil diskutere de såkaldte 'best-of-breed' årlige vurderinger og sammenligner af 'e-Readiness', modenhed, 'eService' og hvilke andre labels, der sættes på; Gennem praktisk anvendelse af nogle af de nyere teorier om netværksorganisationer og sociale netværker vil vi diskutere de mange såkaldte 'IT fiaskoer' – hvor det vil blive klart, at Danmark ikke er alene i Universet – Historien er fyldt med virkeligt markante og eksorbitante flops, og gennem analyser af forløbet heraf, er det mit håb at deltagerne bliver vaccineret mod at begå de mest oplagte fejltagelser ved igangsætning, styring og evaluering af offentlige IT-projekter.

Vi vil se på rollefordelingen og balancen mellem institutioner, stat, regioner, leverandører, borgere, brugere – og anvende nogle af metoderne til at analysere de nyere danske projekter og ideer.

Hvordan evaluerer man offentlige IT-projekter? Ja, det afhænger utroligt meget af det perspektiv, man anlægger – er det et nationalt, langsigtet perspektiv eller et traditionelt, kortsigtet perspektiv for at spare penge og medarbejdere? Vi vil diskutere værdibaseret porteføljestyring af mange IT-projekter – og hvordan man prioriterer mellem dem.

Web 2.0, sociale netværker har været længere under vejs i Danmark end i andre lande – vi vil diskutere muligheder og begrænsninger og se på gode og dårlige eksempler.

Nogle af problemstillingerne siges at skyldes de offentlige udbudsregler og at Danmark følger EU's regler i langt højere grad end andre lande. Vi vil se på IT udbudssystemer, vi vil forsøge at opstille og gennemføre et tænkt IT udbud.

Og vi vil diskutere de nye 'trends' – hvordan vil Cloud Computing påvirke e-Government? Hvilke krav til Identity Management og Privacy skal vi arbejde for og med? Hvordan påvirker globaliseringen og offentlige internationale samarbejder vores måde at tænke service på? Hvilken rolle spiller WEB 3.0 for udviklingen af offentlige IT-systemer?

Faget er tænkt som en 'Eye Opener' – og vil forhåbentligt give grundlag for studerende, der vil kaste sig over emnet og læse videre på PhD-niveau – alternativt benytte synspunkter og vurderingsmetoder til at indgå i ledelsesteams for nye offentlige IT-projekter, som kunder, som leverandører eller som brugere og kunder.

The European Union and web 3.0

Already in October 2008 the European Commission launched a consultation on Web 3.0 to try to position Europe and to communicate a strategy to the member states during 3.rd quarter of 2009 proposing a policy approach “addressing the whole range of political and technological issues related to the move from RFID and sensing technologies to the Internet of Things”

This indicates that at the time of the initial consultation, the commission’s view of Web 3.0 was more focused on the ‘internet of things’ than the current understanding of being the semantic network of interrelated data, or as Tim Berners-Lee put it: “The Semantic Web is an extension of the current web in which information is given well-defined meaning, better enabling computers and people to work in cooperation.”

During the Autumn a number of external experts critized the Commission for lack of innovation and understanding of web 3.0. See for instance this blog critizising the Commisioner Vivianne Reading: http://blog.semantic-web.at/2008/09/30/eu-commissions-short-sighted-definition-of-web-30/

So what is the current status of EU’s view on web 3.0?. In January 2009, Gerard Santucci, Head of Unit from DG Information Society and Media, presented his and his unit’s view on the status of the IoT for the conference on the Future of the Internet. At this point the EU seems to begin to focus also on the tremendous amounts of data that could be available – either as a direct result of collected data through the IoT or by making data available online, so Santucci in his paper also stressed the need for security around it: “The exercise of data subject rights in the context of intelligent networked environments will require the creation of complex Identity Management systems, based on interoperability, identification, authentication, and authorisation.”

In May EU hosted a conference on the Future of the Internet in Prague. This was a step towards a much more comprehensive understanding of the potential promises of the semantic web, and an excellent video was presented here. Also the Swedish Government, before their presidency of ERU beginning July 1, 2009, was present and demonstrated through State Secretary Leif Zetterberg a more forward looking attitude, but again no mentioning of the opportunities and issues around the potential for a semantic web in Europe. His focus areas were 1) formulate a new ICT strategy for Europe from 2011-2015, 2) Harmonize use Digital TV Frequencies in Europe as well as creating one common market for telecommunication industry, and 3) aiming at a secure infrastructure. But no words on making public data available or securing interoperability to create a whole new web 3.0 market place. Hopefully the Swedish Presidency will redress this during the fall.

In June the commission launched an action plan to embrace ‘The Internet of Things’ (IoT) including a comprehensive list of sub-action items, 13 in all ranging from Governance of IoT, over Privacy, Risc Assessments, Impact on Society, Need for Standards, Research Needed, Public-Private Partnership for IoT, RFID Issues, Institutional Awareness, International Dialogue to Measurement of the Uptake. But not much information about one of the key issues in the i2010 Strategy for ICT: Creation of a Single European Information Space with a strong emphasis on Content Online, as stated by Ken Ducatel, Head of Unit from DG/INFSO responsible for the follow-on program to the i2010 in a presentation in March 2009.

In May 2009 a group of international experts called upon the EU Commission to increase focus of solving the inherent problems of the current infrastructure and standards in the Internet:

“The Internet was never designed for how it is now being used and is creaking at the seams. We have connectivity today but it is not ubiquitous; we have bandwidth but it is not limitless; we have many devices but they don’t all talk to each other. We can transfer data but the transfers are far from seamless. We have access to content but it can’t be reused easily across every device. Applications and interfaces are still not intuitive, putting barriers in the way of the Internet’s benefits for many people. And, since security was an afterthought on the current Internet, we are exposed in various ways to spam, identity theft and fraud.”

So the experts is trying to put focus back again on some of the key words for web 3.0: Seamless data exchange, re-use of content, open interfaces. Plus – of course – the challenges raised by the mere fact that we are running out of addresses in IPV4 and need to plan for IPV6 as fast as possible.

The timing of this statement is quite crucial as the hearings for the next ICT Strategic plan – the i2015 – is just about to start, and the more consultations with experts and with country spokesmen that point to these problems, the more likely it will be that EU will see the potential of the semantic web within a short time frame.

In some areas, particularly Health Care, it is obvious that a clear use of semantics is a mere necessity for cross border interoperability and for exchange of electronic patient records, a long lasting problem of standardization even within each member country. (Denmark, for instance, has got at least 5 different standards for EPR’s).

In June 2009 EU organized a seminar for ‘Ontology-driven interoperability in eHealth’. This marked a midterm in a 3-year project trying to define the standards needed and the necessary steps towards interoperability in the eHealth area. The Picture above illustrates the problem. In this context the organisations involved cover the key players for web 3.0: CEN, CENELEC, ETSI, W3C, ISO, OASIS and the more health care oriented standardisation committees CONTINUA and IHE. The eHealth domain as well as the eProcurement domain which I mentioned in my earlier blog on web 3.0, seem to be well on their way towards practical results and methodologies that can be deployed by other domains.

While EU is gaining its forces and collecting input from all over on the upcoming priorities, the web 3.0/Semantic web environment is slowly progressing, for each day and month producing simple-to-use, practical tags and definitions. See for instance these 4 examples of practical microformats enhancing exchange of information on personal identity, calendar inputs and other:

http://www.associatedcontent.com/article/1773550/semantic_web_4_fundamental_microformats.html

In the meantime, led by David Osimo, a crowd sourcing initiative is taking place to create the People’s declaration on the i2015. Suggest you visit the page and register and vote for the top priorities. As of to day the top rated recommendation is: release government data in free, open, standard, readily available, accessible formats Or – if you want to participate in an upcoming event on the semantic web and it’s potential, register at: http://iswc2009.semanticweb.org/