Het te vroeg naar buiten komen van de Miljoenennota van 2011-2012 wordt bijna overal in de pers neergezet als een ict-probleem of als falen van de ict. Was dat bij Diginotar nog verdedigbaar (al kan ik ook verdedigen dat het ook daar anders is) is in dit geval op geen enkele wijze sprake van falende ict.
Het Ministerie van Financiën heeft het op internet publiceren van de Nota uitbesteed of wel geoutsourced. Er is een speciale Prinsjesdag-website en de ontwikkeling daarvan is uitbesteed aan Facetbase. Dit bedrijf krijgt nu ook de zwarte piet toegeschoven door de Minister en door Rutte die zich haast te melden dat niet een ambtenaar in de fout is gegaan.
Een medewerker van Facetbase heeft de nieuwe versie van de site 2011 willen testen en heeft dat, per ongeluk, met live-data gedaan en juist op dat moment voert een historicus de slimme actie uit die inmiddels algemeen bekend is. De link naar de nota had naar een nep-bestand moeten wijzen, maar kwam bij de echte nota uit. En zo kwam de miljoenennota zoals zo vaak eerder naar buiten dan gepland.
Met de ict (de techniek dus) is in deze situatie helemaal niets mis. Eigenlijk kan je zeggen dat het juist uitermate goed ging met de ict. Je kunt heel makkelijk zeggen dat de test uitermate goed geslaagd is. Een probleem, het was de verkeerde gebruiker die aan het testen was. Een 'normale' gebruiker van de website deed wat veel gebruikers doen, zijn gezond verstand gebruiken om de informatie te vinden die hij zocht. Er is maar een conclusie mogelijk: er is zeker geen sprake van een falende ict.
Wie zijn schuld is het dan
Het is makkelijk om de medewerker van Facetbase de schuld in de schoenen te schuiven. Dat gebeurt nu ook op grote schaal en deze man of vrouw zal de komende weken vast slecht slapen.
Aan de andere kant: vergissen is menselijk en zoiets kan gewoon gebeuren. De medewerker zal zich bewust moeten zijn van de waarde van de informatie waar hij mee aan het werk is. Je bent gewoon weg zuiniger met dure spullen. Tenminste normaal gesproken wel.
Het bewustzijn van de waarde van informatie is nog niet bij alle organisaties en/of medewerkers ingedaald. Emiel van Bockel (ceo Centraal Boekhuis) twittert: 'vroeger overvielen dieven een bank, tegenwoordig stelen ze informatie. Duidelijk bewijs dat informatie meer waard is dan geld'. Dat betekent ook dat je als eigenaar van deze informatie niet te lichtzinnig bepaalt wie je deze informatie toevertrouwt. En de rijksoverheid heeft twee keer in korte tijd laten zien fouten te maken. Daarnaast betekent het dat een organisatie bij het uitbesteden van diensten zelf de regie houdt. Dat is moeilijk, maar hoe waardevoller de informatie, hoe belangrijker dat is. En daar heeft het ministerie, met de minister als eindverantwoordelijke, opzichtig gefaald. Het is dan veel te makkelijk om de fout bij de medewerker van de partij te leggen die het verkeerde bestandje heeft gebruikt of om te roepen dat ICT wederom een probleem was.
Conclusie
In mijn beleving is de minister aansprakelijk en volledig aan te spreken op het voortijdig naar buiten komen van de Miljoenennota. Deze schuld van zich af schuiven is kwalijk. Daarnaast is het een wijze les dat informatie in onze wereld goud waard kan zijn en daarmee vergelijkbaar mee omgegaan moet worden. Dat houdt in dat in dat je als organisatie en daarmee iedere medewerker bewust moet zijn van de informatie die je in de vingers hebt. Die beheer je, beheers je en daar ga je veilig mee om. Voor je het weet is die informatie geen stuiver meer waard.
Ik ben het met je eens dat wij de schuld niet bij de specifieke medewerker moeten leggen (of alleen in zeer beperkte mate). En toch vind ik het wel degelijk falen van de ICT.
Kijk naar de geschiedenis van de spoorwegsignalering of van de veiligheid in de luchtvaart. Geleidelijk aan heeft men door schade en schande geleerd dat mensen nou eenmaal fouten maken. Geleidelijk aan heeft men het steeds moeilijker gemaakt om voor de hand liggende fouten te maken.
Dat had hier ook gekund. Als men bezig is met belangrijke informatiesystemen, dan test men in een niet-openbare test-omgeving met testgegevens. Pas als de applicatie werkt zet men hem in productie. En dan publiceert men belangrijke documenten niet door ze naar een map te slepen, maar door een “Publiceer” functie, waardoor het overduidelijk is wat men aan het doen is. Als men de zaken niet op een degelijke manier opzet en iemand dan een foutje maakt met pijnlijke resultaten, is het gewoon de zoveelste ICT blunder.
Iemand in de uitbestede ICT-operatie maakte een fout. De vraag die je terecht stelt of dergelijke publicatie uitbesteed had mogen worden door het ministerie of dat dat wel goed is uitbesteed. In een goed ingerichte kwetsbaarheids- en afhankelijkheidanalyse (K&A-analyse) was het belang inzichtelijk geworden. Mogelijke effecten als kamervragen en het schaden van de Minister scoren in een K&A-analyse erg hoog! En dan waren er misschien zwaardere voorwaarden gesteld aan de uitbesteding.
Maar dan nog steeds is het een ICT-fout! Het kan heel goed zijn dat het ICT-regime bij het Ministerie dusdanig is dat mensen vanuit de bedrijfsvoering (afd. communicatie) er langsheen werken. Dan heeft de ICT –mijn inziens- gefaald. Omdat het misschien wel gelijk heeft, maar het niet krijgt.
Misschien is het ICT-regime te zwak en kan zo iets belangrijks zomaar uitbesteed worden zonder strakke regie. Ook dan is het ICT-fout, omdat het het zijn belang voor de bedrijfsvoering (en de naam en faam van de Minister) niet inzichtelijk heeft kunnen maken.
Kortom: Als er binnen het Ministerie een fout is gemaakt, dan kan dat evengoed een ICT-fout zijn.
En (vrolijk noot) bij Facebase krijg je wel echt wat ze beloven. Op hun website staat:
‘Wilt u […] verantwoording afleggen aan uw doelgroepen? Dan bent u bij Facetbase aan het juiste adres. Met onze expertise op het gebied van internet en interactie maken wij uw [..] jaarplan optimaal toegankelijk. [*] Bovendien maken we uw informatie beter zoek- en vindbaar [..]’
Alleen staat er bij [*] wel:
En zorgen we tegelijkertijd voor ‘maximale veiligheid, korte doorlooptijden en lage kosten.’
We weten allemaal dat dat laatste niet kan. Je kan niet alle 4 hoeken van het duivelsvierkant van tijd, geld, kwaliteit en functionaliteit afdekken. Opschuiven naar het een gaat ten koste van het andere. En we weten welk facet gefaald heeft bij deze ICT-provider…
Vermoedelijk bedoelt de schrijver dat de oorzaak niet in een technische bug gezocht moet worden. Maar daarmee wordt ICT veel te eng gedefinieerd. Ik ben het daarom volledig eens met voorgaande commentaren dat het wel degelijk een ICT-falen is.
Daarnaast zou ik niet direct de conclusie trekken dat de minister de schuldige is, wel dat deze verantwoordelijk is.
De kop boven het artikel is niet van mij maar van computable en daarmee voor hun rekening. In het stuk geeft ik aan dat met de ICT (de techniek) niets mis is. Dit is haast een quote uit mijn artikel. Het probleem zit naar mijn idee bij de mensen, bij hun gedrag, hun houding en mogelijk de cultuur van de organisatie. Als jullie dat ook onder ICT schuiven is dat prima, ik doe dat niet. Daarnaast zit het probleem voor mij meer bij regie en aan de IM kant. Ik plaats beiden bij de business en niet bij ICT.
Wat een slecht verhaal over verantwoordelijkheden en dat ook nog eens van iemand die zich principal consultant laat noemen. Jammer, want er staan ook goede dingen in de rest van het artikel, zoals de rol van de organisatie en hun cultuur.
Eventjes testen in de publieke productieomgeving met vertrouwelijke documenten is een beginnersfout en geen vergissing die iedereen wel had kunnen maken. Als je met nog vertrouwelijke documenten wilt testen, dan doe je dat bijvoorbeeld met een dummie bestand, of je test eerst of die map voor derden tijdelijk afgeschermd is. Als je denkt dat anderen zo stom zijn om niet te kijken of de vertrouwelijke documenten vroegtijdig geplaatst zijn, dan kan je beter in de spiegel kijken. Die fout hadden ze ook in Utrecht gemaakt.
De minister was in dit geval natuurlijk wel eindverantwoordelijk, maar de medewerkers van Facetbase zijn schuldig en wellicht ook degene die voor de selectie verantwoordelijk zijn.
ICT = Informatie en Communicatie Technologie
Een technologie kan geen fouten maken, degene die het implementeert wel.
De computers en de software zijn (bij mijn weten) nog steeds niet zelfdenkend of zelfmodificerend.
Daarmee zijn de fouten in beginsel per definitie menselijk, immers, de mens bedenkt het programma, de dataflow, doet de implementatie, foutafhandeling, en maakt soms helaas ook vergissingen.
Ben het volledig eens met de schrijver van het artikel. Natuurlijk heeft degene die de test heeft uitgevoerd met de live data niet slim gehandeld. Echter de miljoenennota dat op dat moment nog een “vertrouwelijk” stuk is, mag nimmer door de verantwoordelijke ambtenaar worden vrijgegeven. Op het moment dat de miljoenennota aan de ICT medewerker van Facebase is overhandigd, is het risico al vergroot. Facebase heeft de de miljoenennota niet nodig om de test uit te voeren!
Informatiebeveiliging is niet alleen een ICT kwestie, maar in het proces hoe de miljoenennota tot stand komt, moeten er maatregelen worden getroffen om dit incident, maar ook andere vormen van lekken, tegen te gaan.
@Stef:
klopt volledig wat je zegt, echter, dit zijn allemaal menselijke en procedurele handelingen. Dit staat los van het fenomeen ICT. ICT zie ik meer als de rol van een “enabler” in deze.
Noch de IT’er in kwestie, nog zijn bedrijf is volgens mij hoofdverantwoordelijk, maar toch echt het betreffende Ministerie van Financiën.
Want als zo’n document echt zo ueberbelangrijk is, dan stuur je dat gewoon niet 1 week vooraf de deur uit. Ook niet in vertrouwen, want ik vraag me af of het Ministerie zicht heeft op de (degelijkheid van) interne procedures en vertrouwelijkheid/ gescreend zijn van die medewerkers. Zij zouden zo maar in die week het document anders kunnen laten lekken.
Hadden zij dat niet gedaan en was het document toch gelekt in die week, dan had het bedrijf gewoon een serieuze verdenking op zich, die hen niet zou toekomen.
Dat moet die directeur overigens ook niet willen.
Het ware verstandig geweest een ’testdocument’ 1 week tevoren aan het bedrijf te doen toekomen, waarin staat dat op de betreffende locatie op het feitelijke document (miljoenennota) is te downloaden.
Dan op het betreffende ‘moment suprême’ overhandigt een(vertrouwelijke/gescreende) medewerker van het Ministerie het echte document aan het bedrijf, dat het op het ‘moment suprême’ plaatst over het testbestand heen.
Zo blijft het Ministerie verantwoordelijk voor de juiste tijdigheid van het document.
Ergens is het wel een falen van de ICT. Waarschijnlijk moet de fout in het achterliggende CMS liggen of de workflow die gebruikt wordt.
Bij een eenvoudig blog als WordPress is het al mogelijk om een concept op te slaan. Deze is wel bereikbaar, mits je een gebruikersnaam/wachtwoord doorgeeft.
Daarmee kun je dus gewoon al testen of alles werkt en hoe het eruit ziet, in de productie omgeving, maar afgeschermd.
Ergens mist in dit systeem blijkbaar een verschil tussen een concept en een gepubliceerde versie of is een concept niet beveiligd tegen ‘per ongeluk’ inzien.