thomasez

Det er ironisk at en kommersiell bank kommer med et veldig godt og egentlig åpenbart forslag samtidig som Helse-Norge bruker flere titalls miliarder på å gjøre det stikk motsatte.

Ikke bare skal man ha to kjernesystemer (Epic og det som var Aksom), men kommuner og andre skal lage en haug systemer rundt dette istedenfor å samarbeide om en applikasjon per "forretningsområde".

Så det vil bli mangel på IT-hoder også takket være myndigheter som ikke vil samarbeide og heller brenne skattebetalernes penger på å lage dobbelt og kanskje trippelt opp for et land med færre innbyggere enn mange storbyer i utlandet.

Klientene har ikke egne nøkler. Husk at det er webapplikasjoner vi snakker om, selv for Digipost. Og brukerne har ikke disse nøklene lagret lokalt.

Det er forhåpentligvis minst to lag med kryptering her. Kryptering av hele datasettet når det lagres og "personlige nøkkelsett" for hver enkelt bruker. Men dette er ikke noe brukerne har kontroll på. Digipost har (hadde?) en PGP-greie, men har ikke lest hvordan den fungerer og den brukes ikke av mange og iallefall ikke den gjengse bruker.

For Digipost sin del kunne de hatt front-end-servere som ikke lå i noen sky for kun å bruke skya som lagring. Da vil man kunne holde dataene kryptert hele veien og kun dekryptere når de gikk via frontend (og backend for selve posthåndteringen). Men da kan man likegodt droppe hele skygreia siden den gir veldig lite ekstra.

Igjen: Skal man behandle i eller vise data fra en server må dataene være dekrypterte. MS & co maser veldig om at dataene er kryptert, men det er kun "At rest" som betyr at de lagres i databasen og "på disk" i kryptert form. Logger man inn på serverinstansen har man tilgang til ukrypterte data på forskjellige vis avhengig av hvordan applikasjonen er skrevet.

Dette har man også tilgang til fra hypervisoren. Og den har skyleverandøren full kontroll på.

Kryptering av dataene og hvor kryptonøklene lagres er dessverre et sidespor. Man kan ha så mye kryptering man vil uten at det i praksis hjelper.

For serverinstansene som kjører applikasjonen er nødt itl å ha tilgang til dataene dekryptert. Disse instansene går i den samme skyen og er dermed tilgjengelige for de som drifter skya.

Så i praksis vil all skylagring hos MS, Amazon osv osv kunne resultere i at USAs myndigheter får tak i dataene.

Er det nå slutt på at man kan ha mer enn én Bank-ID? Det at det er mulig å ha flere er en vektor for identitetstyveri og om denne appen kun forholder seg til den ene IDen man tror man har vil man ikke få med seg misbruk før det er for sent.

Denne kostnaden blir ubetydelig i forhold til å ha en kø av folk som vil betale 500-1500 kr hver 5-10 min vs elbilister som betaler kanskje 150 kroner hver time.

Når brusautomater har kortterminal (med NCF) begynner kostnadsargumentet å forvitre kraftig.

Skal man tro bensinselskapene tjener jo bensinstasjonene ingen verdens ting på bensinen sin, så utifra den logikken er også kortprisen et viktig element. (Nei, jeg tror ikke de tjener så lite at det er veldig merkbart.)

De store laderne er så dyre at en kortterminal er peanøtter i det store bildet. Når det kommer til små ladepunkter spredt på gata kan jeg forstå det bedre, men igjen. Brusautomater. Og ja, transaksjonskostnadene må isåfall over på brukerne så lading kan bli bittelitt dyrere.

Men ikke tro at infrastrukturen de har bygd opp med apper, brikker og alt mulig er gratis å drifte heller. Jeg vil ikke bli veldig overrasket om det egentlig er dyrere å ha med å gjøre enn å sende transaksjonene rett til kortselskapene og la banken håndtere pengene. Med GDPR og whatnot er det mye jobb å lage og vedlikeholde slike systemer.

Å løse problemet med at to leverandører drar føttene etter seg og ikke vil samarbeide eller etterfølge en standard ved å bare velge en av dem er helt på høyden med å pisse i buksa for å bli varm.

Det er rett og slett skandaløst. Ikke bare at man løser det på denne måten, men også at problemene oppstår i det hele tatt. Hele poenget med standarder er at ting fra forskjellige leverandører skal kunne snakke med hverandre uten problemer.

Så når problemer oppstår betyr det at en eller begge leverandører ikke følger denne standarden. De er altså ikke kvalifisert til å få bestiling på utstyr. Alikevel vil de få det, og dermed et monopol på sin del av anbudet. Monopoler er jo kjent å være fordelaktig for kunder som ønsker å ikke betale overpris.

Eller kanskje ikke?

Er det bare jeg som stusser over at IKT-Norge ivrer så mye for å skyve oppdrag og arbeidsplasser utenlands?

Med tanke på at dette er et så viktig sikkerhet og personvernsspørsmål blir dette enda med surrealistisk.