Als de details van de trein wrak dat was Australië 2016 online Census naar voren zijn gekomen, ZDNet heeft waargenomen hoe het was een samenloop van gebreke, inderdaad, een omnishambles van geweldige proporties. Het was onvergeeflijk.
Op donderdag, hoewel, kwamen twee rapporten die niet alleen voorzien in een verder bewijs van de incompetentie van het Australian Bureau of Statistics (ABS), maar ze waren ook de officiële. Hun ondertitels zei het al.
Een, het verslag van de Senaat van de vaste Commissies van de Economie onderzoek naar de Census, de ondertitel “Kwesties van vertrouwen”.
Twee, de Evaluatie van de Gebeurtenissen Rondom de 2016 eCensus [PDF] door de Speciale Adviseur van de Minister-president over Cyber Security Alastair MacGibbon, was de ondertitel “het Verbeteren van de institutionele cyber security cultuur en praktijken in de Australische regering”.
Er is veel overlap tussen de twee verslagen. Veel wisten we al, tenminste in algemene termen.
“Er zijn belangrijke en voor de hand liggende vergissingen in de voorbereiding van de eCensus,” zei de Senaat rapport (paragraaf 6.82), een meesterwerk van understatement.
We wisten bijvoorbeeld dat de eCensus toepassing viel in het gezicht van de kleine distributed denial of service (DDoS) – aanvallen, zelfs als hoofdaannemer IBM had gerustgesteld het ABS dat alles was goed.
We weten nu de tijdlijn in meer detail, en hoe weinig testen gedaan op het “Eiland van Australië” strategie voor DDoS-mitigatie — dat is, gewoon alle verkeer blokkeren van buiten het land.
“Het testen was beperkt, — IBM gewoon geactiveerd ‘Eiland van Australië’ voor 10 minuten en bewaakt het systeem voor het internationale verkeer, terwijl IBM geprobeerd om toegang te krijgen tot het systeem uit het buitenland,” de MacGibbon rapport gezegd.
“IBM en de ABS documenten geven aan een mismatch tussen de risico’ s, de voorgenomen mitigerende maatregelen en de uitvoering van het ‘Eiland van Australië’ – strategie”.
De ABS en IBM zijn nog steeds ruzie over wiens schuld dat was. Inderdaad, het lijkt de sleutel probleem dat zal blijven de advocaten bezig.
We wisten dat terwijl de eCensus toepassing stortte op Census Nacht, de ABS communicatie strategie ingestort. Als Twitter werd overspoeld met klachten, bijvoorbeeld het ABS bleef tweet die dingen werden uitgevoerd “soepel als verwacht”.
We weten nu dat de communicatie strategie, uitsluitend gericht op bewustmaking, was gedoemd vanaf het begin.
“Het ABS is mislukt afstemmen van de media en de communicatie in reactie op de public relations storm die was brouwen in de weken voorafgaand aan de Telling met betrekking tot privacy en veiligheid in zowel de reguliere en sociale media. In plaats van het ABS vast te zitten strak om haar plannen, voorgaande cruciale kansen om invloed en rijden het gesprek rond de Volkstelling,” MacGibbon schreef.
De ABS’ “social media crisis escalatie matrix” had twee belangrijkste gebreken. De meest kritische “red level scenario” voor negatieve gesprek werd uitgevaardigd alleen als iemand had 10.000 of meer volgelingen, of een post had meer dan 30 opdrachten. En het antwoord op een dergelijk scenario was gewoon om te houden van alle sociale media communicatie.
De ABS had ook besloten dat de “eerste voertuig” voor de dialoog met het publiek over het uitgebreide plan te behouden mensen de namen en adressen zou de privacy impact assessment (PIA), een bureaucratisch document, met een openbare raadpleging is beperkt tot een luttele vier weken voor Kerst 2015.
Als de Senaat verslag zetten (artikel 4.76), “Het is duidelijk voor de commissie dat het niveau van consultatie door de ABS in de aanloop naar dit besluit [te behouden namen en adressen] was duidelijk onvoldoende is, vooral gezien de veranderingen zijn van invloed op elke Australische huishouden. Op een minimum, de PIA moet zijn uitgevoerd door een onafhankelijke instantie.”
Ook de Senaat opgemerkt (artikel 4.36) dat een in 2005 PIA voorzag privacy problemen met de naam en het adres van retentie, zodat het ABS besloten om een koppeling slechts 5 procent van de namen en adressen.
De 2015 PIA voor de 2016 Census, echter tot de conclusie dat de koppeling van 100 procent van de namen en adressen OK zou zijn (artikel 4.34), want de kans dat de “kleine aantal potentiële risico’ s voor de persoonlijke levenssfeer en de publieke perceptie van het ABS” daartoe leidende zou “zeer laag”.
“Het ABS niet in staat leek om uit te leggen waarom de resultaten van de in 2005 PIA waren significant verschillend van de 2015 PIA,” de Senaat opgemerkt (artikel 4.36).
Samen genomen, de rapporten van een document een uitgebreide storing van het ABS-management. De ABS is mislukt begrijpen en beheren van de IT-aspecten van het belangrijkste project op de agenda. En het ABS is mislukt om op te merken dat de wereld buiten waren verhuisd, zowel in zijn begrip van privacy risico ‘ s, en in het gebruik van sociale media in de opinie vorming.
Zoals zo vele organisatorische fouten, al rustte op culturele problemen.
MacGibbon verslag van, bijvoorbeeld, haalde een vernietigend 2014 review door onafhankelijke consultancy CapDA van de ABS het vermogen en de capaciteit voor het uitvoeren van de Volkstelling.
Strenge project management “niet ingebed” in ABS-cultuur en de organisatie van de aanpak van agile ontwikkeling betekent “veiligheid, hoge prestaties en toegankelijkheid [waren] beschouwd als te laat in de cyclus”.
“Er was geen bewijs dat een applicatie of datacenter performance monitoring is op zijn plaats,” CapDA schreef.
“Het was onduidelijk is waar, en in welken, de verantwoordelijkheid en het gezag berust voor het maken van belangrijke architecturale beslissingen.”
MacGibbon waargenomen dat de voorbereidingen voor de Volkstelling vond plaats tijdens een ‘complex’ voor de ABS. De positie van de leider, de Australische Statisticus, vrij was voor de meeste van 2014. Voor mij, die verwijst naar een andere mislukking-een van successieplanning.
“Het is echter duidelijk dat de ABS van de cultuur van een duidelijk bijgedragen aan de resultaten van de Census Nacht. De ABS acties, aangezien alleen onderstreept het belang van cultuur: Het is standvastig geweigerd als eigenaar van het probleem en erkennen de verantwoordelijkheid voor de factoren die leiden tot de gebeurtenissen en tekortkomingen in de verwerking van de gebeurtenissen in de nacht,” MacGibbon schreef.
De Senaat verslag 14 aanbevelingen, de meeste van hen duidelijk van de problemen blootgelegd: Overleg vereist actieve betrokkenheid bij de niet-gouvernementele en private sectoren, niet alleen overheidsinstellingen; open aanbesteding processen, niet de vendor lock-in met IBM; meer rigoureuze testen van de eCensus toepassing; PIAs te worden uitgevoerd extern, niet door het ABS zichzelf; en zo verder.
Aanbeveling 11 had me een beetje verbijsterd, echter.
“De commissie adviseert de verantwoordelijke ministers zoeken zes-maandelijkse voorlichtingsbijeenkomsten over de voortgang van de Volkstelling met de voorbereidingen. Deze voorlichting moet betrekking hebben op kwesties met inbegrip van, maar niet beperkt tot, cybersecurity, systeem redundantie, procurement processen en de capaciteit van het ABS-systeem voor het beheren van risico ‘ s in verband met de Volkstelling,” het zegt.
Hoe ministers zijn bedoeld om juist deze briefings wanneer een minister niet eens begrijpen hoe decimalen werk blijft een mysterie.
Voor mij is echter het belangrijkste probleem is deze hele oefening komt eens te meer uit de CapDA review, deze tijd, zoals aangehaald in sectie 6.70 van de Senaat verslag.
“CapDA het verslag van de hoogtepunten van de professionaliteit en toewijding van het personeel bij de ABS, maar in het einde beveelt aan dat het ABS niet de interne capaciteit voor het ontwikkelen en implementeren van een eCensus. Als ze niet de mogelijkheid tot het ontwikkelen van een oplossing op zichzelf is, is het logisch dat zij zou slechts een beperkte capaciteit om vraag en de uitdaging van een onderaannemer om het ontwikkelen van een dergelijke oplossing.”
Als niemand in uw organisatie begrijpt de technologie, dan kun je niet beheren technologie projecten, of ze nu uitgevoerd door interne medewerkers of externe aannemers.