Skattemeldingen lagt ut – påloggingstrøbbel gjennom natten

[Pop]

Tja, er det så dumt? Kunne leid ut kraften resten av året

Ja, det er nok det. Ser virkelig ikke at den norske stat skal bli en skyleverandør og konkurrere med kommersielle virksomheter.

[0laf]

Ingen i dag leier inn et firma og setter opp servere lokalt for å ta unna en peak som kommer én gang i året ..

 

 

Skatteetaten gjør dette, de har forstått at pågangen på deres servere er sykliske, altså veldig stor pågang i korte perioder, og kjøpt servere for det formålet. Problemet er nok heller at de kjøper IBM servere og kompetanse til å drifte disse av Evry.

 

Nå var det vel ID-Porten som ikke klarte å holde tritt, men det er vel Evry som drifter den løsning for Difi også, så same same !

[Gjest Sletttet+98134]

Skatteetaten gjør dette, de har forstått at pågangen på deres servere er sykliske, altså veldig stor pågang i korte perioder, og kjøpt servere for det formålet. Problemet er nok heller at de kjøper IBM servere og kompetanse til å drifte disse av Evry.

 

Nå var det vel ID-Porten som ikke klarte å holde tritt, men det er vel Evry som drifter den løsning for Difi også, så same same !

 

Ja, og det er vel akkurat derfor det ikke virker. "Ingen andre" gjør det på denne måten da det helt tydelig ikke er en god måte å gjøre det på. Det hadde vært løst på en mye smidigere og mindre kostbar måte ved å bruke cloud.

[0laf]

Det hadde vært løst på en mye smidigere og mindre kostbar måte ved å bruke cloud.

 

 

Norske myndigheter kan ikke kan legge løsninger som ID-porten eller skattemeldingene på utenlandske servere hos for eksempel Amazon, de må av sikkerhetshensyn benytte egne servere, noe som sier seg selv, og det er lite poeng å kjøre "nettsky" på sine egne dedikerte servere hvor de uansett har alle ressurser tilgjengelig.

 

Problemet er nok heller de tekniske løsningene.

På generelt grunnlag skal det ikke så veldig mye datakraft til for å håndtere noen få millioner innlogginger i løpet av kort tid, dersom man har designet løsningene riktig.

[Skatteflyktning]

Norske myndigheter kan ikke kan legge løsninger som ID-porten eller skattemeldingene på utenlandske servere hos for eksempel Amazon, de må av sikkerhetshensyn benytte egne servere, noe som sier seg selv, ....

Igrunnen sier det ikke seg selv ...

[RRhoads]

Er det vits med firefelts motorvei på en strekning det er kø én gang i året?

[Gjest Sletttet+98134]

Norske myndigheter kan ikke kan legge løsninger som ID-porten eller skattemeldingene på utenlandske servere hos for eksempel Amazon, de må av sikkerhetshensyn benytte egne servere, noe som sier seg selv, og det er lite poeng å kjøre "nettsky" på sine egne dedikerte servere hvor de uansett har alle ressurser tilgjengelig.

 

Problemet er nok heller de tekniske løsningene.

På generelt grunnlag skal det ikke så veldig mye datakraft til for å håndtere noen få millioner innlogginger i løpet av kort tid, dersom man har designet løsningene riktig.

Hvilke sikkerhetshensyn sikter du til, gitt at serverne kjører i Norge?

[Gjest Sletttet+98134]

Er det vits med firefelts motorvei på en strekning det er kø én gang i året?

Om du kunne få veier til å gå fra turstier til motorveier og tilbake på noen sekunder så synes jeg absolutt det. Spesielt også om du kunne betale for motorvei kun når du trengte det.

[0laf]

Hvilke sikkerhetshensyn sikter du til, gitt at serverne kjører i Norge?

 

Å legge skattemeldingene til det norske folk, eller Altinn, ID-Porten og lignende tjenester, på servere som tilhører Amazon, Google, Facebook eller andre slike aktører, høres ut som en usedvanlig dårlig ide?

 

Jeg ville tippe det er brudd på retningslinjer innad i Staten også, i forhold til personvern.

 

Om det hjelper noe at serverne kjører i Norge tror jeg neppe, dog benytter man jo Evry og andre konsulenter, men på en litt annen måte hvor etatene fremdeles har full kontroll over egen maskinvare.

 

Dersom man synes det høres ut som en glimrende ide at Facebook hoster Altinn, for bedre redundans, så fremt serverne står i Norge, så har man kanskje ikke fulgt så mye?

[Gjest Sletttet+98134]

Å legge skattemeldingene til det norske folk, eller Altinn, ID-Porten og lignende tjenester, på servere som tilhører Amazon, Google, Facebook eller andre slike aktører, høres ut som en usedvanlig dårlig ide?

 

Jeg ville tippe det er brudd på retningslinjer innad i Staten også, i forhold til personvern.

 

Om det hjelper noe at serverne kjører i Norge tror jeg neppe, dog benytter man jo Evry og andre konsulenter, men på en litt annen måte hvor etatene fremdeles har full kontroll over egen maskinvare.

 

Dersom man synes det høres ut som en glimrende ide at Facebook hoster Altinn, for bedre redundans, så fremt serverne står i Norge, så har man kanskje ikke fulgt så mye?

Hva er den sikkerhetsmessige forskjellen på om serverne blir hostet av feks Evry eller om de kjører på Azure i Norge? Det er ikke snakk om facebook. Personlig vil jeg tørre påstå at det er tryggere å kjøre løsningen din hos en av gigantene enn hos feks Evry, forutsatt at du har folk som kan plattformen som setter det opp. Det er jo helt tydelig at det er noe galt med designet når det kneler år etter år. Det morsomme er jo at produktsjefen her har gått ut i dag og sa at det ikke er mulig å få til en løsning som takler trafikken, noe som er ren bullshit. Endret 4. april 2019 av Sletttet+98134

[Pop]

Er nok helt enig med Fleskefjeset. Her er det mye synsing og tullball nå, basert på gamle antakelser og enda eldre teknologi.

 

Hvor i personvernlovgivningen er det forbud mot å legge skattedata i utlandet? Arkivlovens § 9 begrenser utføring av arkivverdig materiale, men det er nok det nærmeste man kommer. 

Hele poenget med GDPR var å få en lovgivning for personvern som var lik innen EU. Benytter man Azure kan dine data havne i Irland, Nederland og et par potensielle lokasjoner til, fra nyttår ca kan du spesifikt bestille datalagring kun i Norge. 

 

Hele målet med skytjenester er enkel og rask tilgang på programvare, lagring og prosessorkraft, betalt etter antall brukere/tidsenhet, skalert etter behov og over det området en ønsker støtte på (SaaS - programvare, PaaS - plattform, IaaS - infrastruktur). Det er nettopp ved store forskjeller i peak-perioder en kan utnytte skytjenestenes fulle potensiale. Fremfor å betale for å enten se systemet sitt knele eller la det stå omtrent ubrukt de resterende 364 dagene i året.

 

Men jeg skjønner for så vidt skepsisen, jeg jobber daglig med å få ledelse til å forstå at dette er både mer gunstig over tid og ikke minst fremtiden.

Personvern bør ikke være det første argumentet, for ingen norske leverandører av slike tjenester er sikrere enn store utenlandske. Tross alt lever også de store av ryktet og et større brudd hadde fått fatale konsekvenser for butikken.

Lovgivningen overlater til din egen risikovurdering og hva du kan akseptere. Du bør kunne argumentere for løsningen du velger. Og du må sikre deg både med riktige avtaler, kryptering i lager og transit, tofaktor autentisering for brukere osv, uansett hva man velger.

[Gjest Sletttet+98134]

Som du sier Pop så er det gamle antagelser og "cloud is just another computer" som går igjen her, tror fåtallet som har uttalt seg i denne tråden har oversikt over hva du faktisk får om du kjører hos en av de store cloudleverandørene. Man ser jo dessverre også at dette går igjen hos folk som tar avgjørelser når man leser intervju som dette: https://e24.no/privat/skatt/derfor-krasjer-skatteetatens-sider-hvert-aar-og-hvorfor-man-ikke-fikser-det/24596168

 

Det hadde vært morsomt å se et regnestykke på hva Difi betaler for dagens løsning kontra en løsning i skyen som var satt opp til å skalere nok til å ta unna dager som i dag.

[0laf]

...tror fåtallet som har uttalt seg i denne tråden har oversikt over hva du faktisk får om du kjører hos en av de store cloudleverandørene. Man ser jo dessverre også at dette går igjen hos folk som tar avgjørelser...

Det er nok mange flere enn du tror, som har oversikt over hva man får hos de store leverandørene, noen av oss har selv ting kjørende på AWS og Google Cloud, men dersom man tror dette automatisk er den rette løsningen for staten fordi det skalerer, så tar man nok feil.

 

Staten Norge kan ikke uten videre legge kritiske tjenester i nettskyer som tilhører slike selskaper, både av hensynet til personvern og av hensyn til å selv ha kontroll på slike tjenester.

 

Personvern har lite med Arkivloven å gjøre i dette tilfellet, for slike løsninger må det foretas en DPIA i henhold til Datatilsynets retningslinjer, og man ville nok også være påkrevd å få en uttallelse fra nevnte tilsyn.

 

Dere uttaler dere som om dette var nettsidene til bestemor, bare å legge i "skyen" tilfelle det blir masse trafikk, mens det er snakk om ting som inneholder all personinfo, inntekt og annet for alle Norges borgere.

 

Nå er det også slik at alle eksterne innkjøp skal utlyses gjennom Doffin, man kan ikke bare gå inn på nettsidene til Microsoft å sette opp en Azure-konto, så kopiere hele Altinn over dit.

 

 

Det hadde vært morsomt å se et regnestykke på hva Difi betaler for dagens løsning kontra en løsning i skyen som var satt opp til å skalere nok til å ta unna dager som i dag.

 

Evrys kontrakt på ID-Porten har kostet 100 millioner over de siste fire årene, totalt koster nok Difi mange milliarder i året, gidder ikke sjekke akkurat hvor mye i statsbudsjett, men så å si alle Statens digitale løsninger administreres nå av Difi.

 

Jeg er selvfølgelig enig i at løsningen som ikke klarer noen millioner innlogginger er alt for dårlig.

Det burde være trivielt å få det til å virke tilfredsstillende, men med over 250 egne ansatte, og et kobbel av "konsulenter", så klarer altså ikke Difi det, noe som må være flaut.

 

Det er selvfølgelig muligheter for å se på IaaS (Infrastructure as a Service) eller lignende tjenester, fra for eksempel Azure, men dersom man tror det blir mye billigere så tar man nok også feil.

 

Problemet her ligger nok i selve løsningen.

 

Som en enkel sammenligning klarte www.stackoverflow.com for noen år siden uten problemer å ha 20 millioner brukere innlogget samtidig, på én enkelt Lenovo ThinkServer RS110, mens databasen kjørte på en annen ThinkServer, altså hardware til nærmest bare noen tusenlapper.

 

ID-Porten kjører sannsynligvis på flere servere til mange mange millioner, enten hos Difi eller Evry, å klarer ikke å ha noen hundre tusen brukere innlogget samtidig.

[Pop]

Personvern har ikke noe direkte med arkivloven å gjøre og det var poenget. Kun arkivloven har et tydelig forbud mot eksport av data utenlands. Personvernlovgivning har ikke det. 

 

Har kjørt en god del DPIA, siden GDPR trådte i kraft som personvernforordning i Norge, innlemmet i Personopplysningsloven. DPIA er et krav fra forordningen, om du vil bruke Datatilsynets veiledning er du velkommen til det, men du MÅ ikke. DPIA trenger heller ikke se på den tekniske løsningen, ved f.eks skytjenester. Du kan greit skille den fra RoS, hvor DPIA ser på den konkrete behandlingen av personopplysninger, mens RoS ser på den tekniske løsningen som er planlagt. 

 

Krav om uttalelse fra Datatilsynet blir det kun om du via tiltak ikke oppnår tilstrekkelig sikring av personopplysningene og den registrertes rettigheter i løsningen du velger. 

 

Det er ingen selvfølge at å legge noe i skyen blir bedre. Men dette som tryner på samme måte hver gang det er dagen for skatten til folk, virker det sannsynlig at det er høyst fornuftig å se på løsninger som kan skalere langt bedre. 

 

Helt klart, skal man inngå slike store avtaler er det anbud uansett. 

[brbmay]

  Ah ... eufemismens fremgang er ustoppelig i det offentlige! Newspeak in action.

https://en.wikipedia.org/wiki/Newspeak

 

Takk for avklaring.

men "skattemelding" sier mer enn den intetsigende (dys)femismen "selvangivelse" ??

 

sier ikke du kategorisk er av sporet, men her har du ikke egentlig et poeng

[Gjest Slettet-x7D6du0Hjb]

Nei, det vil koste veldig mye!

 

En mye bedre løsning er å gi oss gradvis tilgang til Skattemeldingen. F.eks et nytt fylke hver dag. Eller basert på siste siffer i fødselsnummer.

 

Skal innrømme at jeg kan ha overdrevet litt med at det "blir billig", jobber ikke med servere på slike størrelser og skalering, men synes absolutt det kunne vært en måte å gjøre det på.

[MegaMann2]

"Alle" cloudleverandører leverer skalering. Hvis du ser bort i fra diskusjonen om hvorvidt Skatteetaten bør ha systemene sine i skyen eller ikke, så er det enkelt å sette opp skalering. Det kan gjøres planlagt eller basert på last. 

 

Det er mange i tråden her som virker å ha lite erfaring med større og komplekse it-systemer. Selv om man kjører softwaren sin på eksempelvis AWS, så kan man ikke nødvendigvis skalere uendelig om ikke kodebasen er tilpasset dette.

 

Nå kjenner ikke jeg id-porten sin kodebase, men tradisjonelt har mange slike systemer en monolistisk arkitektur. Den type arkitektur er ikke nødvendigvis bare å dra i slideren på også skalerer det fint og flott, uansett hvor mange servere skylevrandøren har.

 

Man må systematisk gå igjennom slike systemer og fjerne flaskehals etter flaskehals for å kunne skalere dem, det er en tidkrevende og dyr jobb som innebærer nesten full omskriving av store deler av koden.

[Gjest Sletttet+98134]

Det er mange i tråden her som virker å ha lite erfaring med større og komplekse it-systemer. Selv om man kjører softwaren sin på eksempelvis AWS, så kan man ikke nødvendigvis skalere uendelig om ikke kodebasen er tilpasset dette.

 

Nå kjenner ikke jeg id-porten sin kodebase, men tradisjonelt har mange slike systemer en monolistisk arkitektur. Den type arkitektur er ikke nødvendigvis bare å dra i slideren på også skalerer det fint og flott, uansett hvor mange servere skylevrandøren har.

 

Man må systematisk gå igjennom slike systemer og fjerne flaskehals etter flaskehals for å kunne skalere dem, det er en tidkrevende og dyr jobb som innebærer nesten full omskriving av store deler av koden.

 

Påstanden var nå heller ikke at systemet til skatteetaten / difi / whatever er skalerbart out of the box, men derimot, som du siterer, at "alle" cloudleverandører leverer skalering. Det er ikke første gang dette kneler, de har hatt lang tid på å planlegge en løsning som takler innlogging av mange samtidig, men når man ikke gjør noe med det og innstillingen er "det bare er sånn" så er det jo ikke rart det ikke skjer noe endringer.

[Gjest Sletttet+98134]

Det er nok mange flere enn du tror, som har oversikt over hva man får hos de store leverandørene, noen av oss har selv ting kjørende på AWS og Google Cloud, men dersom man tror dette automatisk er den rette løsningen for staten fordi det skalerer, så tar man nok feil.

 

Nå uttalte jeg meg om deltagere i denne tråden, ikke på generell basis. Det finnes mye bra kompetanse på cloud. Det er selvsagt ikke svart / hvitt dette, men når de nå er på X antall år hvor dette feiler så kan man jo kanskje begynne å tenke litt nytt? De vet akkurat når lasten kommer, men allikevel detter det ned, år etter år. 

 

Staten Norge kan ikke uten videre legge kritiske tjenester i nettskyer som tilhører slike selskaper, både av hensynet til personvern og av hensyn til å selv ha kontroll på slike tjenester.

 

 

Hva er det du mister kontrollen på om du har serverne dine hos en av de store kontra om du har dem hos f.eks Evry? Det er jo ikke slik at det er alt eller ingenting i skyen, man kan fint sette opp hybridløsninger som ville hjulpet veldig på å ta unna dager med store mengder trafikk.

 

Jeg er selvfølgelig enig i at løsningen som ikke klarer noen millioner innlogginger er alt for dårlig.

Det burde være trivielt å få det til å virke tilfredsstillende, men med over 250 egne ansatte, og et kobbel av "konsulenter", så klarer altså ikke Difi det, noe som må være flaut.

 

Problemet her ligger nok i selve løsningen.

 

 

 

Ja, det er jeg enig i. 

Endret 5. april 2019 av Sletttet+98134

[MegaMann2]

Påstanden var nå heller ikke at systemet til skatteetaten / difi / whatever er skalerbart out of the box, men derimot, som du siterer, at "alle" cloudleverandører leverer skalering. Det er ikke første gang dette kneler, de har hatt lang tid på å planlegge en løsning som takler innlogging av mange samtidig, men når man ikke gjør noe med det og innstillingen er "det bare er sånn" så er det jo ikke rart det ikke skjer noe endringer.

 

Men er det noe vits å gjøre det?

Hvor mange millioner er det forsvarlig at man bruker på å håndtere lasten ved skattemledingsslipp 1 gang i året?

 

Jeg mener skatteetaten heller bør spre slippet av skattemeldingen ut over noen dager til ulike områder av landet. Det er trolig mye enklere og billigere å implementere, enn å kunne skalere for den ene dagen i året.

 

Jeg er egentlig litt glad for at idporten ikke har brukt penger på det, for jeg vet hvor dyrt det ville ha blitt, og hvor lite samfunsnytte det hadde gitt.