Recently in Specialemøder Category
Jeg har efterhånden været til en hel del forskellige arrangementer omhandlende sikkerhed og serviceorienteret arkitektur. I dag var jeg så til en mere.
Det var "Rådet for it-sikkerhed" der arrangerede sit årlige dialogforum og it-sikkerhed og fremtiden. Hvis du sidder og tænker - hvad er "rådet for it-sikkerhed"? så er du sikkert ikke alene fordi jeg har selv haft svært ved at få øje på dem og det var der også mange i salen der havde. Men hvis jeg siger "NetSikker Nu!" kan det godt være at du er hjulpet lidt på vej!
Fremmødet var dog imponerende og illustreret en kraftig interesse omkring emnet. Det var dog mest it-professionelle der havde fundet vej men iblandt dem var der også en stor spredning fra IBM over IT-Brancheforeningen til den it-ansvarlige for Katrineskolen i Kbh.
6 oplægsholdere var blevet inviteret:
Kurt Westh Nielsen, Journalist ved Ingeniøren og ivrig blogger var blevet inviteret på baggrund af hans artikel i Ingeniøren kaldet Luk Rådet for it-sikkerhed (kræver registrering). Kurts indlæg var særdeles interessant og slog på mange måder hovedet på sømmet under anmærkningen at et råd med et så slapt kommissorium; utilstrækkelige ressourcer; og manglende ministeriel uafhængighed i bedste fald er spild af tid og penge. Beviset var da også tydeligt i det som Rådet har produceret indtil videre hvilket Kurt benævnte "Pjecer tilsat strøm". Kurt efterspurgte mere kant; mindre ærefrygt og et større miks af kompetencer i rådet (som vist hovedsageligt tæller jurister)
Anne Baastrup, Politiker for SF var den næste på podiet. Indlægget var en blandet fornøjelse og var lige så meget en skudsalve imod regeringens it-politik som det var et it-politisk indlæg. Anne havde dog nogle vigtige pointer med bl.a. virksomheders etik i sikkerhed - er det etisk forsvarligt at sælge WIFI routere uden at have sikret dem fra butikken. Indlægget blev udgangspunkt i en senere debat om man igennem lovgivning kan fastsætte at kræve at virksomheder skal prioritere højere men det faldt nu hurtigt til jorden.
Per B. Hansen, sikkerhedschef for Microworld havde det sidste indlæg før pausen og holdte i bedste konsulent-stil (med lidt for stort jakkesæt) et ok indlæg hvor han dog et par gange fik sig rodet ud i lidt for tekniske beskrivelser. Beskeden i indlægget var at det er gået hurtigt - siden 1995 hvor kun få havde internet - er afhængigheden af internettet nu vokset til at være næsten fuldstændig for mange virksomheder. Men spørgsmålet er, om sikkerhedsfundamentet har fulgt med i den samme periode? I en allerede velbenyttet analogi med et husbyggeri spurgte Per om det underliggende fundament nu også kunne holde til at vi blev ved med at bygge ovenpå. Et meget relevant spørgsmål!
Efter Pers indlæg blev det tid til debatten og der var mange fine indlæg fra den brogede gruppe. Generel var der stor tilslutning til Kurts besked om større indflydelse - både til Rådet, men også til Datatilsynet som Anne Baastrup også synes var underprioriteret. Anne Baatrup måtte som den eneste politikker også svare på flere spørgsmål til den absurde terrorpakke som hun nu også selv tog afstand fra.
Så var der kaffe og kage og jeg tog en interessant snak med deltager fra Kommunernes Rigsrevision som kunne fortælle mig endnu et par skrækhistorier fra føljetonen om Kommunernes forhold til it-sikkerhed.
Jane Eis Larsen, vicedirektør i IT-branceforeningen fortsatte diskussionen om Rådets rolle i et meget interessant indlæg. I et svar på hvordan rådet skal se ud, pegede hun til Rådet for større færdselssikkerhed opbygning, rolle og position i samfundet og debatten. Hun delte også meget klogt målgruppen op i tre grupper hvortil der kræves forskellige tilgange.
* indenfor den offentlige sektor er lovgivning på mange måder vejen frem. Mest fordi man kan - og det virker.
* overfor borgerne er det undervisning og information som bør træde frem - lovgivning vil ikke have nogen god effekt.
* overfor private virksomheder behøver man ikke at gøre noget. De kan klare det selv. Dette kommer jeg også frem til i mit speciale hvor jeg argumenterer at det bliver nødvendig for virksomheder at "gøre sig lækre" rent it-sikkerhedsmæssigt overfor konkurrenter fordi det i højere grad bliver et salgsargument.
Per Helge Sørensen, forfatter og bestyrelsesmedlem i Digital Rights havde rollen som den unge provocateur som stillede de frække spørgsmål uden noget svar og havde måske ikke så meget relevans i forhold til Rådets virke. Per har allerede skrevet et par opsigtsvækkende bøger som Mailstorm og SPIN og selv om hans oplæg ikke handlede om sikkerhed og SOA fik han det dog lige nævnt og det er jo altid rart at få bekræftet at man er på rette vej.
Pers oplæg var meget rettet imod identitetsstyring og nogle af nøglebudskaberne var at identitetsstyring er fremtiden indenfor it-sikkerhed, men denne sætter nogle begrænsninger på f.eks. ytringsfrihed og forsamlingsfrihed. Han brugte eksemplet med incestramte der nok sætter pris på deres anonymitet og sikkert ikke ville ytre sig på samme måde hvis de skulle identificere sig selv. Der er mange andre situationer og det er ikke uvæsentlige spørgsmål at bringe på banen fordi om vi vil det eller ej så bygger noget af internettets popularitet også på anonymiteten.
Dialogen sluttede af med endnu en paneldiskussion hvor alle 6 oplægsholdere tog plads og diskuterede om et væld af emner herunder omkring regulering af it-sikkerhed og borgertiltag som pc-kørekorts effekt på it-sikkerhed.
Til sidst kunne Rådets formand Allan Fischer-Madsen konkludere på dagen som vist havde været gavnligt for Rådets snarlige "kommission-forhandlinger". Personligt havde jeg også en givtig eftermiddag som bød på mange praktiske overvejelser på hvordan it-sikkerhed egentlig skal takles.
Det var "Rådet for it-sikkerhed" der arrangerede sit årlige dialogforum og it-sikkerhed og fremtiden. Hvis du sidder og tænker - hvad er "rådet for it-sikkerhed"? så er du sikkert ikke alene fordi jeg har selv haft svært ved at få øje på dem og det var der også mange i salen der havde. Men hvis jeg siger "NetSikker Nu!" kan det godt være at du er hjulpet lidt på vej!
Fremmødet var dog imponerende og illustreret en kraftig interesse omkring emnet. Det var dog mest it-professionelle der havde fundet vej men iblandt dem var der også en stor spredning fra IBM over IT-Brancheforeningen til den it-ansvarlige for Katrineskolen i Kbh.
6 oplægsholdere var blevet inviteret:
Kurt Westh Nielsen, Journalist ved Ingeniøren og ivrig blogger var blevet inviteret på baggrund af hans artikel i Ingeniøren kaldet Luk Rådet for it-sikkerhed (kræver registrering). Kurts indlæg var særdeles interessant og slog på mange måder hovedet på sømmet under anmærkningen at et råd med et så slapt kommissorium; utilstrækkelige ressourcer; og manglende ministeriel uafhængighed i bedste fald er spild af tid og penge. Beviset var da også tydeligt i det som Rådet har produceret indtil videre hvilket Kurt benævnte "Pjecer tilsat strøm". Kurt efterspurgte mere kant; mindre ærefrygt og et større miks af kompetencer i rådet (som vist hovedsageligt tæller jurister)
Anne Baastrup, Politiker for SF var den næste på podiet. Indlægget var en blandet fornøjelse og var lige så meget en skudsalve imod regeringens it-politik som det var et it-politisk indlæg. Anne havde dog nogle vigtige pointer med bl.a. virksomheders etik i sikkerhed - er det etisk forsvarligt at sælge WIFI routere uden at have sikret dem fra butikken. Indlægget blev udgangspunkt i en senere debat om man igennem lovgivning kan fastsætte at kræve at virksomheder skal prioritere højere men det faldt nu hurtigt til jorden.
Per B. Hansen, sikkerhedschef for Microworld havde det sidste indlæg før pausen og holdte i bedste konsulent-stil (med lidt for stort jakkesæt) et ok indlæg hvor han dog et par gange fik sig rodet ud i lidt for tekniske beskrivelser. Beskeden i indlægget var at det er gået hurtigt - siden 1995 hvor kun få havde internet - er afhængigheden af internettet nu vokset til at være næsten fuldstændig for mange virksomheder. Men spørgsmålet er, om sikkerhedsfundamentet har fulgt med i den samme periode? I en allerede velbenyttet analogi med et husbyggeri spurgte Per om det underliggende fundament nu også kunne holde til at vi blev ved med at bygge ovenpå. Et meget relevant spørgsmål!
Efter Pers indlæg blev det tid til debatten og der var mange fine indlæg fra den brogede gruppe. Generel var der stor tilslutning til Kurts besked om større indflydelse - både til Rådet, men også til Datatilsynet som Anne Baastrup også synes var underprioriteret. Anne Baatrup måtte som den eneste politikker også svare på flere spørgsmål til den absurde terrorpakke som hun nu også selv tog afstand fra.
Så var der kaffe og kage og jeg tog en interessant snak med deltager fra Kommunernes Rigsrevision som kunne fortælle mig endnu et par skrækhistorier fra føljetonen om Kommunernes forhold til it-sikkerhed.
Jane Eis Larsen, vicedirektør i IT-branceforeningen fortsatte diskussionen om Rådets rolle i et meget interessant indlæg. I et svar på hvordan rådet skal se ud, pegede hun til Rådet for større færdselssikkerhed opbygning, rolle og position i samfundet og debatten. Hun delte også meget klogt målgruppen op i tre grupper hvortil der kræves forskellige tilgange.
* indenfor den offentlige sektor er lovgivning på mange måder vejen frem. Mest fordi man kan - og det virker.
* overfor borgerne er det undervisning og information som bør træde frem - lovgivning vil ikke have nogen god effekt.
* overfor private virksomheder behøver man ikke at gøre noget. De kan klare det selv. Dette kommer jeg også frem til i mit speciale hvor jeg argumenterer at det bliver nødvendig for virksomheder at "gøre sig lækre" rent it-sikkerhedsmæssigt overfor konkurrenter fordi det i højere grad bliver et salgsargument.
Per Helge Sørensen, forfatter og bestyrelsesmedlem i Digital Rights havde rollen som den unge provocateur som stillede de frække spørgsmål uden noget svar og havde måske ikke så meget relevans i forhold til Rådets virke. Per har allerede skrevet et par opsigtsvækkende bøger som Mailstorm og SPIN og selv om hans oplæg ikke handlede om sikkerhed og SOA fik han det dog lige nævnt og det er jo altid rart at få bekræftet at man er på rette vej.
Pers oplæg var meget rettet imod identitetsstyring og nogle af nøglebudskaberne var at identitetsstyring er fremtiden indenfor it-sikkerhed, men denne sætter nogle begrænsninger på f.eks. ytringsfrihed og forsamlingsfrihed. Han brugte eksemplet med incestramte der nok sætter pris på deres anonymitet og sikkert ikke ville ytre sig på samme måde hvis de skulle identificere sig selv. Der er mange andre situationer og det er ikke uvæsentlige spørgsmål at bringe på banen fordi om vi vil det eller ej så bygger noget af internettets popularitet også på anonymiteten.
Dialogen sluttede af med endnu en paneldiskussion hvor alle 6 oplægsholdere tog plads og diskuterede om et væld af emner herunder omkring regulering af it-sikkerhed og borgertiltag som pc-kørekorts effekt på it-sikkerhed.
Til sidst kunne Rådets formand Allan Fischer-Madsen konkludere på dagen som vist havde været gavnligt for Rådets snarlige "kommission-forhandlinger". Personligt havde jeg også en givtig eftermiddag som bød på mange praktiske overvejelser på hvordan it-sikkerhed egentlig skal takles.
I dag fik jeg to nye interviews på plads.
I næste uge skal jeg snakke med Kåre Kjelstrøm om hans erfaringer i forbindelse med Sundhed.dk - med integration til CPR; medicin profil er sundhed.dk et glimrende eksempel på hvorledes man håndterer personfølsomme oplysninger i en arkitektur som er hen imod en SOA.
Men det er nu ikke så meget fortrolighedsspørgsmålet jeg vil tale med Kåre om. Min case omkring sundhed.dk kommer til at have brugerstyring som tema. Så vi kommer til at tale om motiver; Alternativer; Standarder; Identitetsstyring; Autentificering; Autorisation samt Brugerstyring.
Måske kan Kåre også lige fortælle hvorfor &/%%¤¤! at man ikke har kunne enes om række standardprincipper for sikkerhed. Den gamle CIA+A (confidentiality; Integrity; Availability+ Accountability) -Triade virker men er utilstrækkelig. Så hver gang den bliver nævnt er den blevet tillagt nye principper - men ikke på en standard måde så de skifter alt efter hvilken bog man læser.
Nå men tilbage til mit anden interview.
Om to uger skal jeg møde Henrik Pedersen - IT Chef i Gentofte Kommune og Steen Deth, Kommunens IT-arkitekt. Gentofte Kommune er en af de kommuner i Danmark som er længst fremme med it-arkitektur men det er nu ikke derfor jeg besøger dem. I et interview i computerworld i marts 2005 står Henrik Pedersen citeret for at tvivle KMDs motiver mht. ikke at ville indføre SOA i fbm. kommunalreformen - og det vil jeg da gerne høre mere om inden jeg tager ud og snakker med KMD.
Henrik Pedersen har efterfølgende sagt at han føler at kommentareren er grebet ud af kontekst, men ikke desto mindre vil hans indsigt kunne hjælpe mig i KMD interviewet - hvilket dog nok først bliver efter min EA eksamen d. 14. Juni.
Ud over KMD materiale er jeg også sikker på at Henrik og Steen kan give mig noget indsigt i en eventuel kommunal SOA-vision.
-----
Jeg ved at alle overnnævnte herrer er meget travle personer så jeg er virkelig glad for at de stiller op til et interview. I det hele taget synes jeg at det er utroligt at der endnu ikke er nogen som har sagt nej til et interview endnu.
Mht. til interviewene, så bliver de alle udsat for "meningskondensering" mindst 24 timer efter de er foretaget. Men jeg synes ikke helt jeg kan overkomme også at nedfælge det i en blog som jeg ellers gjorde i starten. Så skulle jeg nok have administreret min tid lidt bedre ;)
I næste uge skal jeg snakke med Kåre Kjelstrøm om hans erfaringer i forbindelse med Sundhed.dk - med integration til CPR; medicin profil er sundhed.dk et glimrende eksempel på hvorledes man håndterer personfølsomme oplysninger i en arkitektur som er hen imod en SOA.
Men det er nu ikke så meget fortrolighedsspørgsmålet jeg vil tale med Kåre om. Min case omkring sundhed.dk kommer til at have brugerstyring som tema. Så vi kommer til at tale om motiver; Alternativer; Standarder; Identitetsstyring; Autentificering; Autorisation samt Brugerstyring.
Måske kan Kåre også lige fortælle hvorfor &/%%¤¤! at man ikke har kunne enes om række standardprincipper for sikkerhed. Den gamle CIA+A (confidentiality; Integrity; Availability+ Accountability) -Triade virker men er utilstrækkelig. Så hver gang den bliver nævnt er den blevet tillagt nye principper - men ikke på en standard måde så de skifter alt efter hvilken bog man læser.
Nå men tilbage til mit anden interview.
Om to uger skal jeg møde Henrik Pedersen - IT Chef i Gentofte Kommune og Steen Deth, Kommunens IT-arkitekt. Gentofte Kommune er en af de kommuner i Danmark som er længst fremme med it-arkitektur men det er nu ikke derfor jeg besøger dem. I et interview i computerworld i marts 2005 står Henrik Pedersen citeret for at tvivle KMDs motiver mht. ikke at ville indføre SOA i fbm. kommunalreformen - og det vil jeg da gerne høre mere om inden jeg tager ud og snakker med KMD.
Henrik Pedersen har efterfølgende sagt at han føler at kommentareren er grebet ud af kontekst, men ikke desto mindre vil hans indsigt kunne hjælpe mig i KMD interviewet - hvilket dog nok først bliver efter min EA eksamen d. 14. Juni.
Ud over KMD materiale er jeg også sikker på at Henrik og Steen kan give mig noget indsigt i en eventuel kommunal SOA-vision.
-----
Jeg ved at alle overnnævnte herrer er meget travle personer så jeg er virkelig glad for at de stiller op til et interview. I det hele taget synes jeg at det er utroligt at der endnu ikke er nogen som har sagt nej til et interview endnu.
Mht. til interviewene, så bliver de alle udsat for "meningskondensering" mindst 24 timer efter de er foretaget. Men jeg synes ikke helt jeg kan overkomme også at nedfælge det i en blog som jeg ellers gjorde i starten. Så skulle jeg nok have administreret min tid lidt bedre ;)
I denne uge har jeg været to gange hos It & Telestyrelsens (ITST) sikkerhedskontor på Holsteinsgade i København. Onsdag var det et personligt møde med Torsten Møller Madsen som bl.a. har arbejdet meget med it-sikkerhed i forbindelse til Persondataloven (PDL).
I dag fredag blev jeg så igen inviteret ind til ITST for at deltage i et meget relevant oplæg holdt af Poul Markvardsen fra Allegro Consulting for en lille gruppe af sikkerhedsstaben.
Nedenfor følger et kort referat af de to møder.
Møde refereat: Møde med Torsten Møller Madsen (TMM)
TMM har en fortid i Kommunedata. Han kom til at arbejde med it-sikkerhed i forbindelse med transfusionen til PC'er fra mainframe miljø, hvor der var mange sikkerhedsspørgsmål som skulle opklares. Siden da har han haft større og mindre opgaver - mest indenfor it-policy, men også som leder af adskillige projekter.
TMM mener at der har været markant mangel på it-sikkerhedsmæssige overvejelser og at hans arbejde har fundet mange løse ender i deres arbejde med it-sikkerhed indenfor SOA. En uforbeholden tro på SOA kan kollidere med én af de fem arkitekturprincipper - sikkerhed.
CareMobil er navnet på et offentligt projekt hvor man forsøgte at udstyre hjemmehælpere og sundhedshjælpere med håndholdte enheder til at kommunikere on-site med de offentlige sundhedssystemer. Arkitekturen blev oprindeligt tænkt som en teknologisk specifik struktur. Men TMM og gruppen ønskede i stedet en 'frit valg' arkitektur, hvor hver enkelt service leverandør (kommune) kunne vælge deres egen leverandør af systemet. De fik i den forbindelse en pose penge, som de kunne give videre til den teknologiske leverandør af systemet. Grunden til at der blev valgt en 'frit valg' løsning var bl.a. på baggrund af viden om, at der allerede fandtes forskellige sådanne løsninger på markedet, som lettere modificeret ville kunne bruges. Hvis der først skulle opbygges en ny løsning fra bunden, ville det være meget tænkeligt, at man ville overskride de tidsmæssige og økonomiske grænser.
Til de seks test-kommuner blev der valgt fem forskellige systemer. På trods af den oprindelig tanke endte alle fem løsninger med at blive 100% ikke-standardiseret, ikke-kompatible og de kunne heller ikke kommunikere indbyrdes da nogle leverandører brugte Nokia Communicator imens andre brugte PDA'er og andre igen et helt tredje system.
Projektet blev støttet af Socialministeriet og KL som gave penge til 6 forskellige kommuner. For at understøtte frit-valg og give flere mulighed for at vise mobile løsninger. Derudover var der to konsulentfirmater - Devoteam og Connector. ITST kom op med en generisk kravspecifikation (standardiseret) - ét af kravene var at leverandøren skulle levere end-2-end security - og kørte løbende tilsyn og kontrol og forhandlede på vegne af kommunerne bedre priser og produkter.
Ansvarsfordelingen i projektet var delt imellem to parter - kommunerne og tekniske leverandører, men overordnet stod socialministeriet med det endelige ansvar hvilket var noget som de tekniske leverandører godt vidste.
Arkitekturen blev som udgangspunk ikke tænkt som serviceorienteret, men systemet endte op med at blive en arkitektur hvor der bl.a. var udveksling af data imellem KL og Socialministeriet (SM) samt imellem Kommunerne og SM. Det endelige resultat passer således godt med SOA tankegangen om heterogene projekter som bindes sammen via standarder i en fleksibel arkitektur. Denne standardiserede kommunikationsform skete dog først længere nede i arkitekturen nemlig i kommunikationen imellem Socialministeriet og den enkelte kommune.
Sikkerheden var noget som de enkelte virksomheder selv styrede og beskrev - og deres implementeringer blev ikke efterset af nogen kontrolinstans. Overordnet var det klart at målet for projektet var effektivitetsforbedringer, så selv om der var tale om følsomme data blev sikkerheden ikke højt prioriteret. Man var mest koncentreret omkring de succeskriterier som socialministeriet og KL havde. Der blev efterfølgende kørt effektmålinger på projektet.
Projektet bliver i det store hele betragtet som en succes. Den efterfølgende opmærksomhedsrapport blev udarbejdet med henblik på at belyse sårbarhederne i konstruktionerne. I efteråret 2004 blev fortaget en analyse af CareMobil projektet på baggrund af overholdelse af PDL og it-sikkerhed hvis indhold dog er fortroligt.
Ud over CareMobil projektet diskuterede vi også emner som digital logning og var flere gange inde over emnet med Persondataloven som er meget relevant i forhold til at opholde sikkerhedskrav i it-systemer.
-------------------------------------
Møde referat: Oplæg af Poul Markvardsen - Allegro Consulting
PM gav et uformelt oplæg omkring sit kendskab til sikkerheden indenfor Webservices.
PM har en lang og praktisk baggrund indenfor it-sikkerhed og web-udvikling hvor han igennem hans firma har været konsulent for adskillige virksomheder.
Umiddelbart bekræftede oplægget min holdning til at serviceorienteret arkitektur (SOA) og Webservices (WSI er noget som alle taler om og som alle kan blive enige om er en fantastisk arkitektur, og som bestemt vil vinde indpas i de kommende år, men samtidigt holder virksomheder sig tilbage fra rigtigt at implementere SOA og WS af forskellige grunde og jeg tror altså at én af grundene er it-sikkerhed. Formålet med mit speciale er ikke at gå ud og få af-/ bekræftet min antagelse, men i stedet at gøre det nemmere for organisationer at komme i gang med SOA og webservices med styr på it-sikkerheden.
Der var ikke meget nyt i oplægget for mig. PM gav en gennemgang af SOA og XML. Mest interessant var det at få PMs indsigt SOAs nuværende status indenfor branchen samt hans gennemgang af de store spillere på markedet.
Men langt fra en eftermiddag spildt.
I dag fredag blev jeg så igen inviteret ind til ITST for at deltage i et meget relevant oplæg holdt af Poul Markvardsen fra Allegro Consulting for en lille gruppe af sikkerhedsstaben.
Nedenfor følger et kort referat af de to møder.
Møde refereat: Møde med Torsten Møller Madsen (TMM)
TMM har en fortid i Kommunedata. Han kom til at arbejde med it-sikkerhed i forbindelse med transfusionen til PC'er fra mainframe miljø, hvor der var mange sikkerhedsspørgsmål som skulle opklares. Siden da har han haft større og mindre opgaver - mest indenfor it-policy, men også som leder af adskillige projekter.
TMM mener at der har været markant mangel på it-sikkerhedsmæssige overvejelser og at hans arbejde har fundet mange løse ender i deres arbejde med it-sikkerhed indenfor SOA. En uforbeholden tro på SOA kan kollidere med én af de fem arkitekturprincipper - sikkerhed.
CareMobil er navnet på et offentligt projekt hvor man forsøgte at udstyre hjemmehælpere og sundhedshjælpere med håndholdte enheder til at kommunikere on-site med de offentlige sundhedssystemer. Arkitekturen blev oprindeligt tænkt som en teknologisk specifik struktur. Men TMM og gruppen ønskede i stedet en 'frit valg' arkitektur, hvor hver enkelt service leverandør (kommune) kunne vælge deres egen leverandør af systemet. De fik i den forbindelse en pose penge, som de kunne give videre til den teknologiske leverandør af systemet. Grunden til at der blev valgt en 'frit valg' løsning var bl.a. på baggrund af viden om, at der allerede fandtes forskellige sådanne løsninger på markedet, som lettere modificeret ville kunne bruges. Hvis der først skulle opbygges en ny løsning fra bunden, ville det være meget tænkeligt, at man ville overskride de tidsmæssige og økonomiske grænser.
Til de seks test-kommuner blev der valgt fem forskellige systemer. På trods af den oprindelig tanke endte alle fem løsninger med at blive 100% ikke-standardiseret, ikke-kompatible og de kunne heller ikke kommunikere indbyrdes da nogle leverandører brugte Nokia Communicator imens andre brugte PDA'er og andre igen et helt tredje system.
Projektet blev støttet af Socialministeriet og KL som gave penge til 6 forskellige kommuner. For at understøtte frit-valg og give flere mulighed for at vise mobile løsninger. Derudover var der to konsulentfirmater - Devoteam og Connector. ITST kom op med en generisk kravspecifikation (standardiseret) - ét af kravene var at leverandøren skulle levere end-2-end security - og kørte løbende tilsyn og kontrol og forhandlede på vegne af kommunerne bedre priser og produkter.
Ansvarsfordelingen i projektet var delt imellem to parter - kommunerne og tekniske leverandører, men overordnet stod socialministeriet med det endelige ansvar hvilket var noget som de tekniske leverandører godt vidste.
Arkitekturen blev som udgangspunk ikke tænkt som serviceorienteret, men systemet endte op med at blive en arkitektur hvor der bl.a. var udveksling af data imellem KL og Socialministeriet (SM) samt imellem Kommunerne og SM. Det endelige resultat passer således godt med SOA tankegangen om heterogene projekter som bindes sammen via standarder i en fleksibel arkitektur. Denne standardiserede kommunikationsform skete dog først længere nede i arkitekturen nemlig i kommunikationen imellem Socialministeriet og den enkelte kommune.
Sikkerheden var noget som de enkelte virksomheder selv styrede og beskrev - og deres implementeringer blev ikke efterset af nogen kontrolinstans. Overordnet var det klart at målet for projektet var effektivitetsforbedringer, så selv om der var tale om følsomme data blev sikkerheden ikke højt prioriteret. Man var mest koncentreret omkring de succeskriterier som socialministeriet og KL havde. Der blev efterfølgende kørt effektmålinger på projektet.
Projektet bliver i det store hele betragtet som en succes. Den efterfølgende opmærksomhedsrapport blev udarbejdet med henblik på at belyse sårbarhederne i konstruktionerne. I efteråret 2004 blev fortaget en analyse af CareMobil projektet på baggrund af overholdelse af PDL og it-sikkerhed hvis indhold dog er fortroligt.
Ud over CareMobil projektet diskuterede vi også emner som digital logning og var flere gange inde over emnet med Persondataloven som er meget relevant i forhold til at opholde sikkerhedskrav i it-systemer.
-------------------------------------
Møde referat: Oplæg af Poul Markvardsen - Allegro Consulting
PM gav et uformelt oplæg omkring sit kendskab til sikkerheden indenfor Webservices.
PM har en lang og praktisk baggrund indenfor it-sikkerhed og web-udvikling hvor han igennem hans firma har været konsulent for adskillige virksomheder.
Umiddelbart bekræftede oplægget min holdning til at serviceorienteret arkitektur (SOA) og Webservices (WSI er noget som alle taler om og som alle kan blive enige om er en fantastisk arkitektur, og som bestemt vil vinde indpas i de kommende år, men samtidigt holder virksomheder sig tilbage fra rigtigt at implementere SOA og WS af forskellige grunde og jeg tror altså at én af grundene er it-sikkerhed. Formålet med mit speciale er ikke at gå ud og få af-/ bekræftet min antagelse, men i stedet at gøre det nemmere for organisationer at komme i gang med SOA og webservices med styr på it-sikkerheden.
Der var ikke meget nyt i oplægget for mig. PM gav en gennemgang af SOA og XML. Mest interessant var det at få PMs indsigt SOAs nuværende status indenfor branchen samt hans gennemgang af de store spillere på markedet.
Men langt fra en eftermiddag spildt.
