Det kræver en it-havarikommission at være verdensmester i digitalisering, hvis man vil bevare føringen, hed det i 2018, da PROSAs delegeretforsamling besluttede at støtte idéen. PROSABLADET har talt med et par markante medlemmer af vores egen organisation for at høre, hvad de synes om it-havarikommissioner i dag.
Peter Ussing er tidligere formand for PROSA, medlem af bestyrelsen i PROSA Øst og har mange års erfaring som it-arkitekt. Han har som CTO stået bag flere større offentlige systemer og – som han siger – "det bliver hurtigt meget, meget kompliceret, når man skal tage sig af sikkerheden i store systemer. Det er ikke for børn".
I dag ryster han på hovedet, når han hører om skandalerne med NemID og DSB's nedbrud.
- Det gør mig virkelig bekymret, at der ikke var dobbelte setupper med alle kritiske komponenter inklusive datacentersetup, strømforsyning, eksterne og interne netværk hos NemID. Det går ikke, når man har noget, der er samfundskritisk. Det er kompliceret og dyrt, men det er det, der kræves for opnå årlige oppetider af typen med seks nitaller, 99,9999 procent, siger han.
Det vigtigste og mest presserende er, at vi lærer noget, når det går galt, og kan give den viden videre, så vi ikke gentager fejlene
Men hvad så med it-havarikommissionen? Er det stadig en god idé?
– Det vigtigste og mest presserende er, at vi lærer noget, når det går galt, og kan give den viden videre, så vi ikke gentager fejlene. Der kunne være en løbende funktion i Digitaliseringsstyrelsen, der sikrede, at it-ulykker blev undersøgt til bunds, siger Peter Ussing, der også konstaterer, at vi har en særlig situation i Danmark, fordi de fleste it-projekter i dag er udliciterede til private firmaer.
- Her har vi et problem med kontrakterne. De må kunne skrives bedre, så der er nogle ’trigger-points’, der automatisk medfører store bøder til leverandørerne, hvis det går galt. Jeg er bange for, det er det eneste, de har respekt for; at man kan tage spanskrøret frem og give store bøder, siger han.
PROSAbladet spurgte Peter Ussing, om det ændrer situationen, at vi nu har fået en digitaliseringsminister med Marie Bjerre fra Venstre i spidsen.
– Digitalisering er den brugervendte funktion, og det har ikke meget med bygningen af store samfundskritiske systemer at gøre. Jeg frygter, at det kommer til at handle om at spare penge, og at vi endnu en gang glemmer den store gruppe af befolkningen, der er blevet lukket ude fra samfundet af digitalisering, siger Peter Ussing, og nævner KL og Digitaliseringsstyrelsens undersøgelse fra 2021, der viste, at mellem 18 og 22 procent af den voksne befolkning ikke kan bruge digital selvbetjening.
Michael Erichsen er system-arkitekt med en lang karriere hos blandt andet CSC, og så er han mangeårigt medlem af PROSAs It- og samfundsudvalg. I 2018 vedtog PROSAs delegeretforsamling at støtte en it-havarikommission. Men Michael Erichsen synes ikke, at en havarikommission er den rigtige vej at gå:
– Idéen kom oprindeligt fra Poul-Henning Kamp, og han er en, man lytter til. Det er et sympatisk forslag, for der er store problemer. Men jeg er ikke sikker på, det rigtig giver mening. For det første er en havarikommission begrænset til at se på enkelte ting, der er gået galt, og det gør vi i forvejen via Root Cause Analysis, men problemet ligger ofte i politiske, organisatoriske, magtkonserverende, kulturelle, økonomiske og tilsvarende sfærer. Havarikommissionen undersøger kun årsagsforløb, forklaringer og tekniske forbedringsforslag, men ikke skyldsspørgsmål. Og i virkeligheden mener jeg, vi allerede har en manual for, hvordan man skal lave store statslige it-projekter. Den hedder Bonnerup-rapporten, og hvis bare man fulgte anbefalingerne derfra, så kunne vi undgå de allerfleste havarier, siger Michael Erichsen.
Bonnerup-rapporten er fra 2001 og blev skrevet af to forskere i offentlige it-systemer, Erik Bonnerup og Kim Normann Andersen, begge fra CBS, på baggrund af forsvarets mildt sagt problemfyldte økonomisystem, DeMars. En af de centrale anbefalinger var blandt andet, at man bryder projektet ned i mindre bidder, så man ikke står med et stort utidssvarende system, når man er færdig. Man skal også spørge: "Hvad er det reelle behov for projektet? Kan projektet gennemføres? Hvorledes vil vi være i stand til at gennemføre projektet og den organisatoriske omstilling, det indebærer?".
Men Michael Erichsen ser også andre udfordringer – nemlig en mangel på samfundsansvar.
– I gamle dage var CSC statens datacentral, og KMD var kommunernes. Og de ansatte arbejdede sammen i firmaerne med fælles mål. Når alle relationerne bliver kommercialiseret, og det hele bliver outsourcet, så er han, der før var din kollega, nu din kunde, og så tikker taxameteret, hver gang der skal laves noget, eller der skal træffes særaftaler for noget, man ellers ville gøre i en håndevending, siger han.