Stefan Kärvlings blogg

I min förra blogg (se ”Hård kritik mot kommunens IT-enhet (1/2)”) redogjorde jag för det långa avsnittet ”Iakttagelser” i rapporten ”Genomlysning IT-organisationen” som nyligen lämnades av konsultföretaget Public Partner. Avsnittet innehåller till stora delar en skoningslös kritik av kommunens IT-enhet.

Rapporten avslutas med en sammanfattande bedömning och en ekonomisk analys. Och de delarna ska jag redogöra för här.

Rapportens bedömning sammanfattas i 8 punkter:

• ”Styrstrukturer för IT i kommunen är outvecklade, det behöver åtgärdas för att den samlade organisationen ska bli framgångsrik kring IT och digitalisering.”
• ”IT ser inte rollen att utveckla IT-styrningen, ingen annan heller. Ansvaret för det strategiska IT-arbetet behöver fastställas. I en kommun av Vänersborgs storlek så bör det ske kopplat till IT-avdelningen.”
• ”IT-drift i vid mening fungerar tillfredsställande, service-och tjänstenivåer är okända och exempelvis supporten är ojämn, oförutsägbar och har brister i sitt bemötande och i sin leverans.”
• ”Ekonomistyrningen är i stora delar fungerande, det brister dock kring transparens och möjlighet att möta förväntningar.”
• ”Kostnadsmassan för IT i kommunen ligger på snittet för landets kommuner.”
• ”Tilliten till IT-enheten och dess chef är låg ifrån organisationen i övrigt. Relationer på ledningsnivå är skadade och behöver bearbetas.”
• ”Arbetskulturen inom IT beskrivs av flera som osund och osammanhängande.”
• ”Det finns behov av att etablera en verksamhetsplanering för IT-avdelningen som utgår ifrån externa utmaningar och enhetens status. En planering där medarbetare och intressenter görs delaktiga. En sådan modell kan med fördel omfatta hela kommunstyrelseförvaltningen.”

Det finns onekligen en del att ta tag i för kommunens tillförordnade kommundirektör Pascal Tshibanda. (Kommundirektören är chef för förvaltningarna.) Det tycks inte vara mycket som fungerar på IT-enheten. Stora förändringar ser ut att behöva genomföras, både när det gäller ledning och personal. Och naturligtvis påverkar förhållandena på IT-enheten samtliga övriga verksamheter i kommunen. Det finns väl knappast några av kommunens anställda som inte använder datorer och kommunens nätverk i sin verksamhet. Det är nödvändigt att alla system fungerar och att alla anställda ständigt kan få den hjälp de behöver för att bemästra de digitala verktygen.

Konsulterna från Public Partner har också tittat på kostnaderna:

• ”Identifierade IT-kostnader ligger i intervallet 50-55 miljoner kronor”

Personalkostnaderna uppgår till 17 milj kr och ”övriga externa kostnader” till 34 milj.

Det är svårt att beräkna alla kostnader tror jag. Hur ska t ex all den arbetstid beräknas som går till spillo när nätverk, system och datorer krånglar? Eller när en lärare inte kan genomföra en lektion därför att nätet ligger nere? Jag tror att det finns oerhört stora dolda kostnader när IT strular. För att inte tala om verksamheten i sig och också hur alla ”kunder” kan drabbas.

Public Partner verkar emellertid medvetna om problemet, även om det inte analyserar det vidare:

• ”Kostnadsnivån är ju en sak, en annan sak är vad kostnaderna genererar i form av verksamhetsnytta.”

De kostnader som kan beräknas, 50-55 milj kr varje år, motsvarar 2,3% -2,5% av kommunens totala nettokostnad. Det ligger på riksgenomsnittet. Vänersborgs kommuns kostnadsnivå sticker alltså inte ut på något sätt. Vi ska emellertid komma ihåg, som konsulterna skriver:

”Omsorg om äldre och funktionshindrade samt Utbildning flaggar för ökade kostnader framöver, bla beroende på välfärdsteknologi och statliga krav på skolans digitalisering”

Det är dock kostnader som även andra kommer att få. Public Partner menar dock att IT-enheten, med tanke på de kommande ökade kostnaderna, behöver arbeta med att:

• ”effektivisera drift och support för att inte kostnaderna ska sticka iväg alltför mycket kommande år”

Konsulterna menar att:

”Drift och support bör effektiviseras så att den håller sig under 70%”

Drift och support ligger nu på ca 92-95% av de totala IT-kostnaderna. Det torde betyda en dramatisk förändring av IT-enhetens verksamhet och sätt att arbeta. Och naturligtvis krävs det också en IT-chef som kan genomföra detta. Konsulterna menar att:

• ”Om Vänersborg menar allvar med att digitalisera verksamheterna så bör denna fördelning vara en styrparameter som planeras och följs upp framöver”

Så sant som det är sagt.

Public Partner avslutar sin rapport med ge förslag på principer för en framtida IT-organisation:

• ”Låt IT vara en samlad funktion i kommunen avseende styrning av IT och IT-drift, överväg att samla leverantörsstyrning.”
• ”Ta fram styrdokument inom IT-området där ansvar och roller för systemägande och systemförvaltande definieras. Detta klargör relation och ansvar mellan förvaltningarna och IT-funktionen.”
• ”Låt det huvudsakliga ansvaret för utveckling och innovation vara ett ansvar i verksamheten. Klargör IT:s roll att stödja och främja detta arbete.”
• ”Låt IT bära ansvaret för IT-säkerhet. Utveckla ansvaret i samverkan med ansvariga för informationssäkerhet och övrigt säkerhetsarbete i kommunen.”
• ”Etablera en målbild där andelen av IT-kostnaderna för drift-och support löpande sjunker till förmån för utveckling.”

Public Partner ger också, slutligen, ett förslag på rubriker i en IT-policy.

Det är en förödande kritik av IT-verksamheten som framförs i rapporten från Public Partner. Som sagt, jag har aldrig sett något liknande i ett officiellt dokument. Kommunen med tf kommundirektör Pascal Tshibanda i spetsen står inför en delikat uppgift att försöka få ordning på IT-enheten och IT-verksamheten. Men det går inte att backa, det krävs en total omstrukturering. Och jag har svårt, utifrån rapporten, att se att den går att genomföra utan en ny IT-chef. Men ska kommunen kunna fungera så måste IT-verksamheten fungera.

Så enkelt är det, så svårt är det.

Politikerna kan återigen botanisera på egen hand i diariet. Det har varit omöjligt sedan februari 2017. Fast det fungerar inte lika bra som tidigare. (IT får nog se över det hela…)

I diariet återfinns som vanligt intressanta handlingar och dokument. Mina ögon fastnade direkt på en rapport från konsultföretaget Public Partner. Det är ett konsultföretag som riktar in sig på offentlig verksamhet. Två av deras till synes rutinerade medarbetare har genomfört:

”en genomlysning av verksamhetsområdet IT vid kommunstyrelseförvaltningen.”

Public Partner har med hjälp av intervjuer under januari-februari arbetat fram ett underlag för:

”diskussion, ställningstagande och beslut i kommunledningen.”

Rapporten är daterad den 28 maj 2018.

Vad jag förstår så är det kommunens tillförordnade kommundirektör Pascal Tshibanda som har gett uppdraget till Public Partner. Jag kan tänka mig att orsaken är att tf kommundirektören på något sätt har märkt eller hört eller på annat sätt fått veta att IT-enheten inte fungerar som den ska och att det finns ett tämligen utbrett missnöje med den. Kanske har också den stora IT-kraschen den 20 december 2016 spelat in i beslutet. (Se ”IT-kraschen” och ”IT-haveriet”.)

Det är en förödande kritik av IT-verksamheten som framförs i rapporten från Public Partner. Jag har nog aldrig sett en sådan rak, uppriktig och total kritik i några andra officiella dokument, typ revisorsrapporter etc. Det är så att man studsar tillbaka i sin stol…

Rapporten innehåller ett långt avsnitt med rubriken ”Iakttagelser”. Här formligen staplas kritiska citat och påståenden på varandra. Och eftersom citaten och påståendena står där svart på vitt för vem som helst att läsa (rapporten är så klart offentlig), så antar jag att konsulterna menar att de är riktiga och representativa. Jag har nämligen svårt att tro att de skulle ta med något som endast en person har framfört om alla andra som intervjuats hade sagt motsatsen. Typ.

Jag ska i denna blogg redogöra för avsnittet ”Iakttagelser”. Sedan återkommer jag med resten av rapporten som mynnar ut i en sammanfattande bedömning och en ekonomisk analys.

Så skriver Public Partner i avsnittet ”Iakttagelser”:

• ”Det saknas aktuella och relevanta styrdokument för verksamheten”
• ”Den snabba förändring i omvärlden med bäring på IT som har varit och som kommer framöver navigerar man i utan strukturerad kommunikation på ledande nivå. Det leder bland annat till att kompetens inte blir säkrad på olika nivåer”
• ”KLK/KS (jag är inte säker på vad KLK står för, jag tror att det är ”kommunledningskontoret”, dvs kommunstyrelseförvaltningen; min anm) saknar en relevant verksamhetsstyrning, olika avdelningar har försökt att lappa ihop det för egen del men det finns nästan inget av det på IT.”
• ”Tjänstebeskrivningar och definierade servicenivåer saknas”
• ”IT bereder kommungemensamma frågor som handlar om teknik eller finansiering inom området men befattar sig inte med frågor som handlar om styrning och ledning”
• ”De stora förvaltningarna stakar ut egna förändringar inom IT utifrån sin verksamhetsplanering.”
• ”Microsoft kommundesign –en modell från början av 10-talet ligger till grund för strategisk inriktning för IT.”

Under vissa av dessa punkter finns det också med några kortare kommentarer. Det står t ex att det trots allt finns bra strukturer för styrning bland förvaltningar och nämnder, men att det saknas övergripande styrstrukturer som en uppdaterad policy och uppdaterad strategi. Det står också att Microsofts kommundesign är svagt förankrad och okänd i kommunen, men att IT-chefen anser att den är beslutad. Konsultföretaget skriver dock att det saknas formellt beslut.

Det står att IT-utvecklingen har förankrats via förre kommundirektören och att:

”Det har lett till en kraftig tillväxt av IT-enheten”

Denna kraftiga tillväxt har emellertid inte varit förankrad i organisationen, enligt rapporten, och det i sin tur har gett upphov till olika bilder och myter. Myter är ett intressant ordval. Det framgår dock inte vad konsulterna lägger in i begreppet. Men ordet ”myter” används även fortsättningsvis och det ges exempel på ”myter”.

Public Partner lyfter fram de ledande chefernas roller under underrubriken ”myter som lyfts fram av många”, en något underlig rubrik där ordet ”myter” fortfarande inte förklaras:

• ”Kopplingen mellan förre kommundirektören, IT-chefen och IT-strategen påtalar många som osund och något som sänkt tilliten till IT i stort”

Det här har jag skrivit om för några år sedan. Det var definitivt några till synes ”skumma” kopplingar som kunde skönjas… Dels mellan personerna själva, IT-chefen och IT-strategen var t ex bröder, och dels hade IT-strategen en stark koppling till Microsoft. Det var nog något mer än ”myter” tror jag. (Se ”Tjänstetillsättningar i Vänersborg” och ”Kommunen och Microsoft”, del 1 och del 2.) Kopplingarna och kanske annat har lett till, står det i rapporten, att man inte litar på IT-chefen.

Public Partner fortsätter uppräkningen av iakttagelser, och man blir ännu mattare:

• ”Supportfunktionen når inte hela vägen”

Public Partner skriver att det finns frustration bland användare eftersom det saknas information kring ärendena, att ärendesystemet används av delar av IT men inte till återkoppling och att användarna upplever att fel inte åtgärdas inom rimliga tider. Dessutom ”utmanas” IT-supporten vid komplexa ärenden. Det är en omskrivning, tror jag, av att konsulterna anser att kompetensen brister på IT-avdelningen. En användare citeras och jag antar att denne är representativ eftersom hen citeras:

”Supporten har jag slutat ringa, de säger ju till och med att jag inte har det program som just då strular för mig”

Är det så här illa ställt så är det ju naturligtvis ett mer eller mindre sammanbrott, men något säger mig ändå att det kanske inte är helt typiskt för IT-supporten. Jag vet inte. Det finns i varje fall vissa ljuspunkter. Det finns nämligen vissa personer som man kan vända sig till, men då ringer man direkt till dem och inte 1190… Däremot verkar det inte som det är någon bra idé enligt rapporten att ringa IT-chefen:

• ”IT-chefen pratar om IT på ett sätt så att jag känner mig dum”

Public Partners konsulter bedömer att det inte handlar om kompetens i det här fallet, utan om roller, kultur och pedagogisk förmåga.

Det finns också drag av härskartekniker i bemötandet från IT-enheten, både utåt – och inåt:

• ”IT består av olika öar som inte kommunicerar mellan varandra, det är inte en hel sammanhållen avdelning”

Konsulterna har alltså synpunkter på hur arbetet bedrivs på IT-enheten, och även hur det prioriteras:

• ”Det saknas sammanhållen process och informationsflöden inom IT som gör att saker inte prioriteras mellan supporten och driften. Detta syns inte hos verksamheten mer än oacceptabel servicenivå och väntetider vid olika tillfällen.”

Väntetiden har säkerligen alla anställda som någon gång har ringt 1190 till IT-support retat sig på. Det tycks som om driften prioriteras och supporten eftersätts:

• ”Rollen som proaktiv serviceleverantör fallerar ibland, mer från support och hårdvarubeställning än systemförändring/utveckling”

Kanske menar Public Partner att IT-enheten lägger ner för lite tid på support och onödig mycket tid på driften.

Det står några ord om IT-kraschen strax innan julen 2016. Och hade man svårt att sitta kvar i stolen innan, så är det stor risk att man ramlar ur den nu. Under underrubriken ”myter som lyfts fram av många”, som jag citerade ifrån tidigare, står det angående IT-kraschen i december 2016 (se ovan):

”Jag undrar vad som hände. Rapporten säger ju ingenting, det där manipulerades”
”Det finns övertidsuttag som passades på att göras under kraschen som inte stämmer”

Det här vet jag knappt vad jag ska tänka om, det låter ofattbart. Men är det sant så bör det få tämligen kraftfulla konsekvenser…

Det finns en stor frustration på många förvaltningar i kommunen när det gäller kostnaderna för IT…

• ”Ekonomisk styrning är inte transparent men i grunden accepterad”

Några citat från rapporten om ekonomi:

• ”Det är otydligt att utveckling av nätverket kostar extra, borde det inte ingå i grunduppdraget?”
• ”Svårt att förstå debiteringsmodellen, man verkar ju betala två gånger för samma sak”
• ”När jag frågar om uppgifter och vad som gäller kring leasing har jag svårt att få fram det”

Det finns således en stor osäkerhet kring IT-kostnaderna i de olika verksamheterna. Vad är det man betalar för och hur har avgifterna satts? Det kan nog vara berättigade frågor…

Det finns också några positiva saker i rapporten under detta avsnitt ”Iakttagelser”, även om de inte är särskilt många. På ett ställe i rapporten tycks det till och med som om det kanske trots allt har blivit bättre de senaste 5 åren. Jag vet inte riktigt hur det går ihop, såvida det inte har varit ännu värre tidigare. Vilket är svårt att tro när man läser rapporten.

Hur som helst är det positiva inte direkt det man uppmärksammar eller kommer ihåg efter en genomläsning av rapporten… Och konsulterna från Public Partner tycks också se pessimistiskt på framtiden:

• ”Det finns farhågor avseende om IT kommer att kunna möta de kommande ökande krav som finns kring tjänsteleveranser”

Den här bloggen handlade om rapportens kapitel ”Iakttagelser”. Jag återkommer med resten av rapporten som alltså mynnar ut i en sammanfattande bedömning och en ekonomisk analys.

PS. I helgen är det Aqua Blå! (Det har du väl inte missat?) Alla Vänersborgs partier är på Sanden under lördag och söndag. Passa på att besöka Vänsterpartiet och partiets representanter i fullmäktige och nämnder.

Fortsättning kommer inom kort: ”Hård kritik mot kommunens IT-enhet (2/2)”.

Strax före jul, den 20 december 2016, kraschade IT-systemet i Vänersborgs kommun. Det skrev jag om i en blogg tidigare i år. (Se ”IT-kraschen”.)

Haveriet fick stora konsekvenser. Ingenting fungerade och personalen kunde inte utföra sitt jobb eftersom i stort sett allt arbete var, och är, beroende av datorer. Det gick inte att ringa eller skicka e-post till kommunen och verksamhetssystemen var nere. Och det finns ganska många olika system som används i verksamheten… Allvarligast var det på vård- och omsorgssidan där det fanns risk att ”tredje man” kunde ha drabbats på ett mycket olyckligt sätt.

IT-kraschen visade med all önskvärd tydlighet hur beroende kommunen är av IT och hur sårbart allting är om det inte fungerar. Kommunstyrelsens ordförande Marie Dahlin (S) gav ett uppdrag om att en oberoende granskning skulle göras av händelsen och hur kommunen kunde skydda sig mot liknande haverier i fortsättningen. Den totala kostnaden för uppdraget sattes till 390.000 kr och uppdraget gick till Ernst & Young.

Nu visade det sig att uppdraget blev dyrare, eftersom den avsatta tiden inte räckte till. Ernst & Young skriver:

”… det väsentliga överdraget av timmar som uppstått pga. den turbulens som varit i samband med faktagranskning och rapportering.”

Jag har ingen aning vad denna turbulens består i och det framgår inte heller av rapporten. Hur som helst bestrider kommunen de extra kostnaderna med motiveringen:

”Vi anser inte att det är vi som är orsak till den mertid som ni nedlagt i samband med slutrapportering.”

Det här beskedet lämnades av kommunen till  Ernst & Young, efter samtal med både Marie Dahlin och kommundirektör Ove Thörnkvist. Men visst undrar man vad orsaken var. Och varför tillfrågades inte IT-chefen? Ernst & Young meddelar att de inte delar uppfattningen, men de struntar i att debitera för mertiden.

Granskningsrapporten från Ernst & Young är nu alltså färdig. (TTELA skrev om rapporten i fredags, se ”IT-kraschen granskad”.)

Ernst & Young (EY), och IT-kontoret, hittar inga orsaker till haveriet och det är ju naturligtvis inte särskilt tillfredsställande.

Ur rapporten:

”Det identifierades att diskarna i SAN-miljön innehöll korrupt data varför verksamhetssystem på servrarna inte fungerade. Orsaken till att korrupt data har skrivits på diskarna är okänd.”

Haveriet var på morgonen och under dagen fick IT-kontoret igång det mesta. Troligen berodde haveriet på att en lastbalanserarnod (vad det nu är) hade satts i underhållsläge. Senare på kvällen inträffade dock nästa incident. IT-systemen havererade igen! Och denna gång har man ingen aning om varför:

”Den tekniska orsaken till varför den andra incidenten inträffade är dock fortfarande okänd.”

Det är dock troligtvis så att det andra haveriet skedde som följd av den första incidenten och det arbete som genomförts under dagen.

Granskningsrapporten från Ernst & Young tar framför allt upp för- och nackdelar med IT-systemen och handhavandet. EY hittar en rad brister och hela granskningsrapporten utmynnar i ett antal rekommendationer för att minska sårbarheten.

EY har iakttagit följande brister (jag har i stort citerat allt i nedanstående punkter, trots att jag inte har satt ut citationstecken):

• Kommunen har inte analyserat samtliga system och dess information och inte klassificerat dem utefter hur kritiska de är ur ett verksamhets- och säkerhetsperspektiv. Det kan få allvarliga konsekvenser vid incidenter liknande den som drabbade kommunen. Det kan nämligen innebära risk för felprioritering av resurser.
• Det finns inga avtalade nivåer som reglerar vilket stöd respektive förvaltning behöver från IT-kontoret, utan enbart outtalade förväntningar. Det riskerar att försvåra för IT-kontoret att stödja förvaltningarna på ett ändamålsenligt sätt och det försvårar när IT-kontoret ska prioritera sina resurser utifrån den budget som tilldelas dem. Det innebär även en risk för förvaltningarna att de bedriver sin verksamhet baserat på förväntningar som inte är möjliga för IT-kontoret att infria. EY har även noterat brister i samarbetet mellan verksamheterna och IT-kontoret.
• Det saknas en gemensam användarhanteringsprocess för kommunens informationssystem, som ställer krav på vilka nyckelkontroller som bör återfinnas inom behörighetsprocessen. En av riskerna med det är att processerna blir personberoende.
• Det finns en risk att olämplig personal eller konsulter har bredare behörigheter än vad deras befattning kräver.
• Ett stort antal personer är domänadministratörer på applikationsservrarna. Med denna åtkomst har användaren tillgång till samtliga applikationsservrar, vilket innebär en risk för medvetna eller omedvetna fel som kan påverka alla verksamhetssystem.
• Det finns en avsaknad av gemensam programförändringsprocess för kommunens system som ställer krav på vilka nyckelkontroller som bör återfinnas inom programförändringsprocessen. En risk är att processerna blir personberoende och att man får svårt att säkerställa en jämn nivå och ändamålsenlig kontrollnivå genom alla system.
• Beslut om tidpunkt för när uppdateringen skulle ske gjordes av IT-kontoret själva och det gjordes ingen dokumenterad riskanalys som tog i beaktning att uppdateringen rörde ett centralt system med påverkan på ett stort antal verksamhetskritiska funktioner och applikationer. Det skedde ingen kommunikation med verksamheten innan uppgraderingen. Det saknas dokumenterade riktlinjer för när och hur verksamheter ska kontaktas innan uppgraderingsarbete.
• Dokumenterade riktlinjer saknas kring när, hur och för vilka system testning ska genomföras i samband med programuppdatering. Vidare dokumenteras inte de tester som genomförs.
• Inför uppgraderingen upprättades det ingen återläsnings- eller återställningsplan för hur verksamheten skulle fortskrida vid en eventuell incident i samband med uppgraderingen.
• Vänersborgs kommun har ingen förändringsgrupp eller liknande forum som godkänner förändringar. Specifika rutiner för olika system finns i viss utsträckning men de är odokumenterade och saknar tydliga kontrollpunkter. Brist på tydligt godkännande ökar risken av att införa medvetna såväl som omedvetna opassande programförändringar.
• Tillåtelse för tid att införa förändringar har inte definierats, vilket innebär att det går att införa förändringar när som helst under dygnet, oavsett närhet till helgdagar eller semestertider. Ingen undersökning av verksamheternas syn på kritiska perioder för förändringsarbete är genomförd. Uppgraderingsarbetet som föranledde incidenten skedde under kontorstid, vilket kan anses vara en olämplig tidpunkt för en uppgradering av ett centralt system. Att genomföra en uppdatering under kontorstid minskar möjligheten att åtgärda eventuella incidenter innan de får inverkan på verksamheten. Att uppgraderingen genomfördes nära inpå en storhelg kan innebära ökade konsekvenser av en IT-incident eftersom beredskapen då riskerar vara sämre i verksamheterna.
• Det finns inga dokumenterade riktlinjer för när och hur verksamheten ska informeras i samband med förändringar av IT-miljön.
• Kommunen har en övergripande lednings- och informationsplan för särskilda och extraordinära händelser vilket beskriver krishantering i stora drag. Denna krisplan behöver dock kompletteras med en IT-specifik avbrottsplan, som beskriver hur IT-kontoret ska organisera sig och fördela arbetet vid ett eventuellt avbrott. Det här innebär en risk för att system och applikationer inte startas upp enligt rätt prioritering samt på ett effektivt och ändamålsenligt sätt vid ett eventuellt avbrott. Detta innebär att verksamheten kan äventyras.
• Återställningstiden vid IT-kraschen påverkades negativt av att den interna dokumentationsservern låg nere. Den innehöll diverse checklistor samt lista över IP adresser och system vilket hade varit högst användbar vid en incident. Eftersom denna server var oåtkomlig påverkades återställningstiden. En kritisk server som syftar till återställningsarbete efter IT-incidenter är lämplig att placera i molnet eller annan plats för att säkra tillgång till viktig dokumentation vid eventuellt haveri.
• All information som IT-kontoret hanterar, inklusive backuper och teknisk dokumentation (som är av högsta vikt att ha tillgänglig vid ett IT-haveri), är lagrad på samma ställe som övrig data och system. Om dessa går ner finns det en risk att informationen som behövs för återställning också är otillgänglig. Larmnotifieringar är alltså beroende av samma infrastruktur som de är satta att övervaka, vilket gör larmsystemet sårbart.
• Avsaknad av dokumenterad process för backuphantering av kommunens system som ställer krav på vilka nyckelkontroller som bör återfinnas inom backup-processen.
• Eftersom det inte finns några avtalade servicenivåer för IT-kontoret finns det heller inga krav från verksamheten gällande frekvens och lagringstid av backuper.
• Kommunen genomför inga återläsningstester av backuper, vilket innebär backuper inte regelbundet testas i syfte att säkerställa huruvida data är återläsningsbar och därmed går att använda sig av vid en eventuell incident.
• Bristen på snapshots av servrar gjorde återställningstiden betydligt längre och dessutom mer kostsam än den kunde ha varit då man blev mer beroende av konsulter. Vilka system som har behov av snapshots var inte utrett innan incidenten och det fanns heller inte diskutrymme att ta snapshots på alla system.
• Flera av de supportavtal Vänersborgs kommun har med konsulter för kritiska IT-komponenter är inte fullt ändamålsenliga. Detta då villkoren för tillgänglighet inte är tillräckliga för att säkerställa att kommunen kan bedriva sin verksamhet.

Det är en omfattande analys som Ernst & Young har gjort. Men den var vad jag kan förstå helt nödvändig.

Så nu har IT-avdelningen, och kommunen, en del att jobba med, och åtgärda. Men jag tycker att Ernst & Youngs rapport inte ska tas som någon slags förödande kritik, utan som ett redskap för att arbeta vidare med att säkerställa IT-systemens säkerhet i framtiden. Om granskningsrapporten tolkas på detta sätt så är kostnaden för Ernst & Youngs arbete väl värd pengarna.

Tror och hoppas jag.