Einzelheiten zu den Zug-Wrack, das war Australiens 2016 online Volkszählung entstanden sind, ZDNet hat beobachtet, wie es war ein Zusammenfluss des Scheiterns, in der Tat, ein omnishambles der fabelhaften Proportionen. Es war unentschuldbar.
Am Donnerstag, obwohl, kamen zwei Berichte, die nicht nur ein weiterer Beweis von Inkompetenz bei den Australian Bureau of Statistics (ABS), sondern Sie waren auch die offiziellen. Ihr Untertitel sagt alles.
Man, der Bericht des Senats Ständigen Ausschüsse der Wirtschafts-Untersuchung in der Volkszählung, war der Untertitel “Fragen des Vertrauens”.
Zwei, die Überprüfung der Ereignisse rund um die 2016 eCensus [PDF] von der Sonderberater des Ministerpräsidenten auf die Cyber-Sicherheit Alastair MacGibbon, war der Untertitel “Verbesserung der institutionellen cyber-security-Kultur und-Praktiken durch die Australische Regierung”.
Es gibt eine Menge überschneidungen zwischen den beiden berichten. Vieles wussten wir schon, zumindest in groben Zügen.
“Es scheint erhebliche und offensichtliche Versäumnisse in der Vorbereitung der eCensus”, sagte die Senats-Berichts (Abschnitt 6.82), ein Meisterwerk des understatement.
Wir wussten zum Beispiel, dass die eCensus Anwendung fiel in das Gesicht der winzigen, verteilten denial-of-service (DDoS) – Angriffe, obwohl Generalunternehmer IBM hatte versichert, das ABS, dass alles gut war.
Nun kennen wir die timeline im detail, und wie wenig die Prüfung wurde durchgeführt, auf der “Insel Australien” Strategie für DDoS-mitigation-das ist, einfach blockiert den gesamten Datenverkehr von außerhalb des Landes.
“Die Prüfung war begrenzt-IBM einfach aktiviert “Insel Australien” für 10 Minuten und überwacht das system auch für den internationalen Verkehr, während IBM versucht, Zugriff auf das system aus übersee,” die MacGibbon Bericht sagte.
“IBM und der ABS-Dokumente deuten auf ein Missverhältnis zwischen dem Risiko, die beabsichtigten Klimaschutz und die Umsetzung der “Insel Australien’ – Strategie.”
Die ABS und IBM sind immer noch darüber zu streiten, wessen Schuld das war. In der Tat, es scheint das zentrale Problem, wir halten die Anwälte beschäftigt.
Wir wussten, dass, während die eCensus Anwendung stürzte der Volkszählung Nacht, die ABS-Strategie für die Kommunikation brach zusammen mit ihm. Twitter war überflutet mit Beschwerden, zum Beispiel, das ABS weiter zu twittern, dass die Dinge waren läuft “reibungslos, wie erwartet”.
Wir wissen jetzt, dass die Kommunikationsstrategie, die sich ausschließlich auf die Aufklärung, war zum scheitern verurteilt von Anfang an.
“Das ABS versagt Anpassung der Medien-und Kommunikationsbranche in Reaktion auf die PR-storm, war das brauen in den Wochen vor der Volkszählung in Bezug auf Datenschutz und-Sicherheit sowohl in mainstream-und sozialen Medien. Stattdessen werden die ABS klebte starr an Ihre Pläne, vorstehenden wichtige Chancen, Einfluss zu nehmen und fahren die Konversation rund um die Volkszählung,” MacGibbon schrieb.
Die ABS’ “social-media-Krise Eskalation matrix” hatte zwei wesentliche Mängel. Die meisten kritischen “roten Ebene Szenario” für eine negative Gespräch wurde erlassen, nur wenn jemand 10.000 oder mehr follower, oder ein post hatte über 30 engagements. Und die Reaktion auf ein solches Szenario war einfach zu halten, alle social-media-Kommunikation.
Das ABS hatte auch beschlossen, dass die “erst-Fahrzeug” für den Eingriff mit der öffentlichkeit über den erweiterten plan zu halten die Namen und Adressen der Datenschutz-Folgenabschätzung (PIA), ein bürokratisches Dokument, mit öffentlichen Anhörung beschränkt sich auf nur vier Wochen vor Weihnachten 2015.
Wie der Senats-Bericht (Abschnitt 4.76), “Es ist offensichtlich dem Ausschuss, dass die Ebene der Konsultation, die von der ABS in der Blei-bis zu dieser Entscheidung [zum behalten von Namen und Adressen] war offenkundig unzulänglich, insbesondere im Hinblick auf die änderungen betreffen jeden australischen Haushalt. Mindestens die PIA sollte durchgeführt wurden, durch eine unabhängige Stelle.”
Der Senat auch darauf hingewiesen (Abschnitt 4.36) , ein 2005 PIA sah Probleme mit der Privatsphäre, die mit Namen, Adresse und retention, so dass die ABS-beschlossen, den link nur 5 Prozent der Namen und Adressen.
Für das Jahr 2015 PIA für die 2016 Volkszählung, jedoch, beschlossen, dass die Verknüpfung 100 Prozent der Namen und Adressen wäre OK (Abschnitt 4.34), da die Wahrscheinlichkeit, dass die “kleine Zahl der potenziellen Risiken für die persönliche Privatsphäre und die öffentliche Wahrnehmung der ABS” eintretenden wäre “sehr gering”.
“Die ABS erschienen nicht in der Lage zu erklären, warum die Ergebnisse der 2005 PIA waren signifikant Verschieden von den 2015 PIA,” der Senat darauf hingewiesen (Abschnitt 4.36).
Zusammen genommen, die Berichte dokumentieren ein umfassendes Versagen der ABS-Geschäftsleitung. Der ABS-Fehler beim verstehen und verwalten die IT-Aspekte der wichtigsten Projekt auf seiner agenda. Und die ABS versäumt zu bemerken, dass die Welt außerhalb bewegt hatte, sowohl in seinem Verständnis von Risiken für die Privatsphäre, und in der Nutzung der sozialen Medien in der Meinungsbildung.
Wie so viele organisatorische Fehler, alles ruhte auf kulturelle Probleme.
MacGibbon Bericht, zum Beispiel, zitiert eine vernichtende 2014 Bewertung durch unabhängige Beratung CapDA der ABS-Kapazitäten und die Fähigkeit zum ausführen der Volkszählung.
Strenge Projekt-management war “nicht stark eingebettet” in der ABS-Kultur, und wie die organisation den Ansatz der agilen Entwicklung bedeutete “Sicherheit, hohe performance und Erreichbarkeit [war] als in den späten Zyklus”.
“Es gab keine Beweise, dass jede Anwendung oder Datacenter-performance-überwachung ist an Ort und Stelle,” CapDA schrieb.
“Es war unklar, wo und bei wem die Verantwortung und die Autorität verfügt, die für die Herstellung von wichtigen Entscheidungen zur Architektur.”
MacGibbon beobachtet, dass die Vorbereitungen für die Volkszählung stattfand, während eine “komplexe Zeit” für den ABS. Die position des Führers, der Australische Statistiker, war vakant, für die meisten 2014. Für mich, dass die Punkte, um ein weiteres scheitern-eine der Nachfolgeplanung.
“Es ist jedoch klar, dass der ABS-Kultur deutlich dazu beigetragen, die Auswirkungen auf die Volkszählung Nacht. Die ABS-Maßnahmen, da nur unterstreicht die Bedeutung der Kultur: Sie hat sich standhaft geweigert, selbst das Thema und erkennen die Verantwortung für die Faktoren, die die Ereignisse und Mängel in der Handhabung der Ereignisse in der Nacht,” MacGibbon schrieb.
Der Senat Bericht enthält 14 Empfehlungen, die meisten von Ihnen offensichtlich aus den Problemen aufgedeckt: Beratung erfordern das aktive engagement mit nicht-staatlichen und den privaten Sektor, nicht nur Behörden; offene Ausschreibung proceses, nicht den vendor-lock-in mit IBM; strengere Prüfung der eCensus Anwendung; PIAs durchgeführt werden, äußerlich nicht von der ABS selbst; und so weiter.
Empfehlung 11 hatte mich leicht verwirrt, aber.
“Der Ausschuss empfiehlt, die zuständigen Minister suchen sechs-Monats-briefings über den Fortschritt der Volkszählung Vorbereitungen. Diese briefings sollten Fragen behandeln, einschließlich, aber nicht beschränkt auf, cybersecurity, Redundanz der Systeme, die Prozesse des Beschaffungswesens, und die Kapazität des ABS zum verwalten von Risiken im Zusammenhang mit der Volkszählung”, heißt es.
Wie der Minister gemeint sind, diese zu verstehen, briefings, wenn ein minister gar nicht verstehen, wie Dezimalzahlen arbeiten, bleibt ein Rätsel.
Für mich ist die zentrale Frage dieser ganzen übung kommt einmal mehr aus der CapDA abgeben, dieses mal, wie zitiert in Abschnitt 6.70 dem Senat Bericht.
“CapDA Bericht unterstreicht die Professionalität und das Engagement der Mitarbeiter bei der ABS, aber am Ende empfiehlt, dass die ABS nicht über die internen Kapazitäten für die Entwicklung und Bereitstellung einer eCensus. Wenn Sie nicht die Fähigkeit haben, eine Lösung zu entwickeln, sich selbst, es steht auf Grund, dass Sie nur eine begrenzte Kapazität, um die Frage und Herausforderung, einen Auftragnehmer beschäftigt, zu entwickeln, wie eine Lösung.”
Wenn niemand in Ihrer organisation versteht, die Technik, dann kann man nicht managen-Technologie-Projekte, ob Sie ausgeführt werden durch interne Mitarbeiter oder externe Auftragnehmer.