Vi må rydde i it-slummen

Vi må rydde i it-slummen

KRONIKK: løpet av våren har vi opplevd en serie kollapser i viktige it-systemer.

Begrepene kriser og katastrofer brukes ofte i mediene. Sjelden er det så på sin plass å bruke disse begrepene i Norge som etter terrorangrepene 22. juli.

Anslaget mot Regjeringskvartalet og ungdommene på Utøya vil følge oss og prege oss i årene som kommer. I det følgende vil jeg forsøksvis vende tilbake til hverdagen, og kommentere kriser av en helt annen og mindre dramatisk karakter, nemlig de kriser som dreier seg om svikt i kritiske it-systemer.

I løpet av våren har vi opplevd en serie kollapser i viktige it-systemer. Sammenligner vi it-systemene med en storby, kan de dårlige løsningene betegnes som slummen. Til grunn for de gode løsningene derimot, ligger det en gjennomtenkt og helhetlig arkitektur. Det er også her løsningen ligger, altså i å sanere slummen og å styrke arkitekturen.

Voksende kompleksitet

Professorene Morten Dæhlen og Ole Hanseth ved Institutt for informatikk, UiO, lister opp vårens it-sammenbrudd i et innlegg i Aftenposten 26. juni: Feil i utbetalingene av pensjon fordi it-løsningene hos Nav ikke er integrerte, kansellering av "Klinisk arbeidsflate"-prosjektet ved Oslo Universitetssykehus, svikt i SAS’ bookingsystem, og kollaps i minibankene i påsken.

Professorenes hovedpoeng, er utfordringen som ligger i stadig større kompleksitet. De mener at denne økte kompleksiteten øker sannsynligheten for feil, samtidig som feilene får alvorligere konsekvenser. Videre peker de på at økt samhandling og økt informasjonssikkerhet ofte er motstridende hensyn.

Jeg synes kronikken Dæhlen og Hanseth har begått er god, de får godt frem sårbarheten i vårt moderne og teknologiintensive samfunn. Jeg mener imidlertid at motsetningen de setter opp, mellom økt samhandling og informasjonssikkerhet, i mange tilfeller er kunstig. Regjeringen har besluttet at ikt-løsninger for statlige virksomheter skal bygge på felles arkitektur bestående av standarder, prinsipper og felleskomponenter. Dette gir ryddighet, oversikt og økt samhandling, samtidig som kompleksiteten reduseres og informasjonssikkerheten styrkes.

En felles arkitektur gir bedre oversikt over konsekvensene ved et mulig sammenbrudd og det letter også feilrettingen når uhellet er ute. Jevnlige risiko- og sårbarhetsvurderinger er en viktig del av det hele. Disse må ta opp i seg hvordan systemene til enhver tid brukes. Dette må også omfatte bruk som ikke var påtenkt da systemet ble laget.

Må øke samhandling

For offentlig sektors del, er det vanskelig å se at vi kan nå visjonen om et digitalt førstevalg, altså å gjøre digital kommunikasjon til den primære kommunikasjonskanalen med det offentlige, uten økt samhandling. Derfor er det fra Difis ståsted åpenbart at vi er nødt til å øke samhandlingen, men ikke uten at informasjonssikkerheten samtidig ivaretas.

Dæhlen og Hanseths forslag om en havarikommisjon for it-sammenbrudd kan kanskje være et godt grep når uhellet først er ute. I første rekke mener jeg det er viktigere at virksomhetene styrker arbeidet med it-arkitektur og lar dette bli en prosess som angår hele virksomheten og ikke bare IT-avdelingen. I det ligger nøkkelen til å utnytte teknologien best mulig, samtidig som de største havariene i fremtiden kanskje kan unngås.

Les om: