Agile Security

Heterogenious logging

Thu, 19 Jun 2008 22:54:12 +0100

Interconnecting systems in a service oriented architecture (SOA) pose no solution to security auditors. Quite the contrary.

System logging is a very important mechanism for documenting what has actually happened – also called non-repudiation. In the old days when an application exclusively handled a particular task without much integration to other systems, it was sufficient to examine that system’s log.

Now, let’s consider an Intranet portal. The portal consists of, say, 5 portlets which collects data from various backend systems such as HR, mail, corporate news, education etc. This means that logs will be spread on all the visited systems thus making it very difficult to resolve the audit trail of a suspected user and determining what the user actually did on the systems.

Recently I’ve been on two engagements with customers who had identified the need for such a clear audit trail. IBM’s solution for this is called Tivoli Compliance Insight Manager (TCIM) and is basically a system that consolidates logs from various systems (windows, unix, z/OS, etc.) as well as applications and network boxes.

TCIM is a step in the right direction and can be used within the internal perimeter. In an external SOA we once again stumble upon the need for standard ways to communicate logs. A standard approach is important because otherwise the cost of integrating would be too high, and probably not all information would be made available.

… and when that information is there we need to consider which info to share.

On the right path

Sun, 13 Apr 2008 19:27:42 +0100

From the first of April I've transferred to IBM's Tivoli Security Sales department. My role will be highly technical as I'll be implementing most of our security products. I.e.
Tivoli Access Manager
Tivoli Identity Manager
Tivoli Compliance Insight Manager
Tivoli Federated Identity Manager

Combined, as well as separate system components, these products supports end-to-end security in a service oriented architecture and, especially in the identity field, ensuring effective provisioning of user profiles and roles.

In the past two years I've been working as an It-architect and despite the changed focus in this new role, my long term aim is still to become a security architect with a focus in SOA Security.

Finished migrating

Sun, 07 Oct 2007 00:58:32 +0100

I've finally finished migrating the old blog-posts from Xoops system to MT... This will hopefully minimize the harrasment of evil blog-spammers.

I'm quoting the script-code if anybody should need to migrate. Use it on your own risc.

xoops2mt.txt

I just finished installing Movable Type 4.01!

Sun, 30 Sep 2007 23:59:21 +0100

Welcome to my new blog powered by Movable Type. This is the first post on my blog and was created for me automatically when I finished the installation process. But that is ok, because I will soon be creating posts of my own!

Secure SOA presentation at IBM - The thesis lives on

Fri, 12 May 2006 11:28:01 +0100

Well it seems that my thesis gets to live on a bit longer. Last thursday I presented my work to the security-community at IBM. Despite early forecasts of 50 people attending the presentaion not alot turned up but I actually think that helped the discussion.

Because the ones that did turn up were very dedicated and the community had a lot of good discussions about some of the topics I chose to present.

Hot topics were especially: Semantic model; Perimeter model; and to what extend we should expect to see a "real time" SOA.

I learned something and I'm sure they also did!

You can get the presentation Here

Manage your own identity

Mon, 27 Feb 2006 13:26:10 +0100

Having dispersed pieces of information stored around the internet is one thing, but having crucial information like address and telephone numbers is another one. How should we make sure that these are always true? Also as systems become integrated companies start facing a problem: Who keeps the master of identity data? - as long as data is kept within the company's control they can throw it into one single address-repository... but what happens when e.g. HR wants to communicate with Unions? - who has the correct data then?

The answer is pretty clear - you and I do... That is why good news today appeared that IBM, along with Novell, IBM, Parity Communications and Harvard University's Berkman Center for Internet & Society had come up with a possible solution which can enable us to manage our own identity. Higgins isn't an application, nor is it a service or a protocol. Rather, it's a description of an architecture - a framework - that, if implemented would provide an abstraction layer to make it easy to manage identity information (including rich profiles, presence, etc.) and social networks across multiple heterogeneous (new or existing) computer mediated "contexts." This allows interested parties to tap into every individual's identity profile to gather updated information. This way we change our identity management situation from a PUSH to a PULL situation, we also regain control of which information we want to retain control over.

There are a few drawbacks though - one is the need for critical mass - we really need to have people. as well as software suppliers backing this thing to make it work. Another is the illusion that this will give us total control over our identity information. This information can still be aggregated on the web and it only takes one dubious company to get your updated information before it's spread to a all it's affiliated - knowing the behaviour-pattern related to phishing this is not an unlikely idea.

IBM

Wed, 07 Dec 2005 01:33:21 +0100

Så blev det min tur til at annoncere at være kommet i arbejde.

Jeg er blevet ansat af IBM med start i januar - hvilket vil sige straks efter at være kommet hjem fra Thailand (hvor jeg er nede på et, synes jeg selv, 70% arbejds og 30% ferie ophold).

Jeg har brugt en del tid på at overveje min beslutning da begge de virksomheder jeg var i kontakt med, sidder med meget interessante opgaver, som ligger i forlængelse af mit speciale. Det som jeg dog har lagt vægt på ved IBM er de langsigtede karrieremuligheder og dét faktum at processen bliver fuldt lidt mere til dørs hos IBM samt at IBM har en enddog meget overbevisende position indenfor føderal identitet ligesom jeg kan lide deres holdning indenfor åbne standarder og open source.

Jeg glæder mig enormt meget til at komme i gang og jeg regner stadig med at holde liv i denne BLOG dog med nogle få ændringer - mere om det senere.

Færdig!

Wed, 16 Nov 2005 16:21:02 +0100

I dag var jeg oppe til eksamen hvor mit speciale blev evalueret med en karakter på 10.

Det er jeg søreme godt tilfreds med! Og jeg jeg ikke mindst glad for at specialet er afsluttet og jeg nu kan kalde mig candidatus informationis technologiae (e-buss) :-D . Hvorvidt arbejdet med specialet stopper her eller om jeg tager det videre, vil jeg bruge den næste tid til at beslutte.

At området er interessant og relevant fremgår ret tydeligt af den interesse mit speciale allerede har opnået. To firmaer har rettet henvendelse efter at være blevet gjort opmærksom på specialet og min situation (tak Signe og John!).

Det gode er at som det ser ud nu, så er der gode muligheder for at jeg kan fortsætte med at arbejde indenfor netop det samme område som specialet behandler. Det er netop det jeg ønsker så jeg er fortrøstningsfuld for fremtiden.

Næsten færdig

Wed, 02 Nov 2005 19:47:16 +0100

Ja - så nåede jeg et godt stykke nærmere vejs ende for dette speciale. Det har været en hård, men utrolig lærerig proces og jeg glæder mig faktisk lidt til at gå op og forsvare opgaven og få noget feedback på den.

Nu skal jeg bare finde et job hvor jeg kan fortsætte med samme emne, men den type niche hænger desværre ikke på træerne. Men jeg vil i hvert fald forsøge.

Specialet er frit tilgængeligt - og kan hentes via linket i venste kolonne. Jeg har dog frivilligt valgt at censurere begrebsafklaringerne fra mine interviews af respekt for mine interviewpersoner.

Konklusionen som er bragt nedenfor skulle give et hurtigt, men forenklet, overblik over opgavens fund.

Konklusion
I dette afsnit opsummeres resultaterne af analysen og diskussionen, som blev udarbejdet i et svar på følgende problemformulering:
Hvorledes sker den gensidige påvirkning mellem serviceorienteret arkitektur og it-sikkerhed?

Tidligt i opgaven blev det klarlagt, at it-sikkerhed typisk indgår som et element i it-arkitekturen. Derfor er det grundlæggende arkitekturvalget, som påvirker it-sikkerhed og ikke omvendt. Samtidig blev der påvist et klart mønster, hvor it-arkitekturen bestemmer it-sikkerhedsforanstaltningerne, som dog reflekterer tilbage på it-strategien og efterfølgende påvirker it-arkitekturen, hvorved der opstår en evolutionær cyklus, som langsomt tilpasser og modner de to områder.

Fire vanskeligheder fra Frederick P. Brooks' klassiske essay, No Silver Bullet, blev anvendt til at analysere den nærmere påvirkning imellem it-sikkerhed og SOA. Af disse essentielle vanskeligheder blev kompleksitet fundet som et centralt element i og med at kompleksitet kan være en væsentlig selvforstærkende sikkerhedstrussel samt fordi kompleksitet er et symptom på Brooks' tre resterende vanskeligheder. SOA blev i den forbindelse identificeret som en katalysator til at nedbringe kompleksitet primært gennem genbrug; standarder, abstraktion og gradvis tilbygning af ny funktionalitet. Da kompleksitet blev identificeret som en it-sikkerhedsmæssig risiko, kunne det derfor konkluderes at SOA, under forudsætning af styring, vil styrke it-sikkerheden.

Den mest grundlæggende påvirkning, som SOA har på it-sikkerhed, er kravet om interoperabel it-sikkerhed, som kan støtte SOA på et overordnet niveau. Til dette blev især standarder og politikker og kontrakter fundet altafgørende. Servicekontrakten blev især fremhævet som det serviceelement, der gør det muligt at implementere it-sikkerhed i SOA, uden at bryde den løse kobling. Kontrakterne besidder den fordel, at de kan aggregeres og nedbrydes på samme måde som services og derfor er fleksible til at indgå i alle servicens led. Kontrakten skal være udgangspunktet for servicen for at sikre en så løs kobling som mulig. Det er vigtigt, da kontrakten således også indgår i en top-down styring, som tager udgangspunkt i overordnede politikker og igennem større og større specialisering sætter rammerne for servicepolitikken.

Usynlighed blev identificeret som en essentiel vanskelighed, hvor SOA vil påvirke it-sikkerhed i en markant anderledes retning. SOA vil således i væsentligt grad forøge usynligheden i it-systemer, hvilket understreger nødvendigheden af en ny tilgang til it-sikkerhed, risikoanalyse og ikke mindst brugerstyring. Derfor blev en markant anderledes brugerstyringsmodel fremlagt - i opgaven præsenteret som 'referencemodellen for agil it-sikkerhed', der understøtter eksternalisering af sikkerhedsservices i et føderalt netværk, hvor der ikke er forskel på interne og eksterne brugere. Særligt tilføjer den nye model sikkerhedselementer såsom tillid og eksterne efterretninger.

Den agile model er oppe imod den traditionelle perimetermodel, som blev fundet fast forankret iblandt danske organisationer herunder også Sundhedsportalen. På baggrund af perimetermodellens infleksibilitet i håndteringen af især meget moden SOA vurderes det at skiftet imod den agile model vil ske evolutionært, men næppe hurtigt. Derfor forventes det, at den perimeterbaserede model i overgangsperioden vil påvirke SOA negativt ved at opstille for restriktive regler. Denne påstand underbygges bl.a. af et eksempel fra statens kommende it-sikkerhedsstandard DS484, der krævede perimetermodellen indført.

På trods af dette påvirker it-sikkerhed, i skikkelse af DS484, også SOA i en positiv retning. Dette sker bl.a. i kraft af DS484's status som kommende it-sikkerhedsstandard for staten, hvilket vurderes at skabe bedre sammenhæng og interoperabilitet igennem en ensartet tilgang til it-sikkerhed. Dog blev fremhævet nødvendigheden af en større bredde, der inkluderer alle offentlige forvaltninger i aftalen og ikke mindst en større konsekvens ved brud på, eller useriøs optagelse af standarden. Sundhedsportalens krav om overholdelse af DS484 overfor sine leverandører blev fremhævet som en god løsning til at udbrede sikkerhedsstandarden, og udgør, på sigt, en mulighed for at it-sikkerhed kan lægge til grund for en større udbredelse af SOA.

Sundhedsportalens rolle i opgaven var at fremstå som en praktisk pendant til den megen teori, der blev behandlet. Vurderingen af Sundhedsportalens brugerstyringstilgang og sikkerhedsmodel endte med at konkludere, at Sundhedsportalens brugerstyringsmodel har hvad der skal til for at kunne indgå i en større sammenhæng, men at den har lavet et kraftigt lock-in på Sundhedsdatanettet, hvilket betyder væsentligt mindre fleksibilitet. Sundhedsportalen blev også identificeret til at være en klar perimetermodel i kraft af en stærk mur udadtil og få interne sikkerhedsforanstaltninger, hvilket blev fremhævet som havende betydning for fleksibilitet og ikke mindst kompleksitet, hvis disse skal tilføjes efterfølgende. Således blev Sundhedsportalen et praktisk eksempel på et scenario, hvor it-sikkerhed kan være med til at påvirke SOA i en negativ retning.

Opgaven afsluttede med konstruktionen af en referencemodel for agil it-sikkerhed. Modellen opstiller syv principper, som blev fundet vigtige i forhold til at understøtte den agile it-sikkerhed. Selve referencemodellen blev opstillet som en udbygning af den traditionelle brugerstyringsmodel, men med den klare distinktion at den agile model vil skulle kunne operere i et føderalt netværk og således ikke være afhængig af en perimeter.

I hvad der kan betegnes som opgavens egen perimeter, blev spørgsmålet omkring borgerens retsstilling i en SOA kort diskuteret. Diskussionen fremhævede at it-arkitekter og jurister bør finde en middelvej hvor borgerens retsstilling ikke lider skade i et it-arkitekturarbejde der stadig har til mål at skabe en så sammenhængende it-arkitektur som muligt. Det blev vurderet at med den rette omtanke, kan det der nu virker som kompleksitetsforøgende faktorer, anvendes til fordel for it-arkitekturarbejdet såvel indenfor det offentlige som det private.

Sidst fandt opgaven en gennemgående forhindring, som er af allerstørste vigtighed. Uden en holdningsændring i processen fra den traditionelle perimeterbaserede, kontrolfikserede model til en tankegang med fuld forståelse for, hvorledes it-sikkerhed skal fungere side om side med SOA, ender man ikke blot op med en SOA's uden agilitet og deraf en række mistede forretningsmuligheder; men også en it-sikkerhedsmodel, som fortsat vil være reaktiv, ufleksibel og usikker. Derfor vurderes oplysning og uddannelse som nøgleelementer i at få spredt viden om, hvad der kræves for at få en sikker tilgang til SOA og en agil tilgang til it-sikkerhed.

TV2 - breaking news

Thu, 13 Oct 2005 17:17:06 +0100

TV2 slog nærmest benene væk under mig her til aftes med Top Historien:
Et eksperiment, som it-eksperten Peter Kruse har udført for TV 2, gav ham mulighed for at se alle danskeres medicinoplysninger ved at stjæle lægen Lars Kensmarks digitale signatur. Tyveriet foregik via en forfalsket email med TDC som afsender, der sendte Kensmark til en kopi af TDCs hjemmeside.

Her gik man egentligt og troede at agurketiden var overstået, men det lader til at journalister stadig keder sig så meget, at de er nødt til at ty til gammelkendte phising-historier.

Hvis der ikke er nogen der engang har udtalt at:
"De farligste journalister er de der keder sig" vil jeg gerne melde mig som den første!

Dog lader det også til at VTU har en kommunikations-opgave foran dem.
Ikke bare skal de nu forklare, at det er altså pokkers svært at dæmme op for phishing angreb.
Men de skal også blive bedre til at kommunikere at der ikke er noget 100% sikkert - heller ikke den digitale signatur! Man har nok forsøgt for meget at berolige os danskere ved at overdrive sikkerheden i OCES.

Den agile sikkerhedsmodel

Tue, 04 Oct 2005 04:47:54 +0100

Tiden nærmer sig. Der er mindre end een måned tilbage og jeg er så småt begyndt at kunne se lyset for enden af tunnelen alt imens jeg mærker afleveringens klamme hånd på min skulder :)

Sideløbende med at min analyse udarbejdes, har jeg opstillet hvad der skal ende med at udgøre nogle principper for den agile sikkerhedsmodel - en sikkerhedsmodel der ikke står i vejen for SOA.
Jeg vil her dele mit første BETA - udkast med Jer og I skal være mere end velkommen til at komme med kommentarer, forslag og rettelser.

Princip 1: Tidstro
Fundamentet for den agile sikkerhedsmodel er, at den bygger på (tæt på) tidstro information og beslutningsværktøjer der giver overblik over et kompleks heterogent miljø. For at informationen skal være brugbar må modellen være platforms og applikations -neutral.

En sådan sikkerhedsmodel vil give organisationer mulighed for med præcision, at vurdere risici forholde sig proaktivt til dem. Sikkerhedsmodellen selv skal være agil som SOA, og ikke nødvendigvis fordre nyindkøb af specialiserede hardware eller software. Modellen skal i høj grad kunne sammensættes af eksisterende efterretningsværktøjer som organisationer besidder samt udbygge dem efterhånden som nye teknologier som f.eks. VoIP vinder frem.

Princip 2: Altomfattende
Den agile sikkerhedsmodel handler ikke kun om perimetersikkerhed såsom firewalls og intrusion protection. Modellen tager et mere fingranuleret syn på sikkerheden, hvor der indsamles informationer og udøves kontrol af sikkerhedsproblemer fra det tekniske niveau (netværk; applikations og transport) til det menneskelige niveau som phising og bedrag.

Den agile sikkerhedsmodel kræver at brugere (medarbejderne, partnere og kunder) håndteres radikalt anderledes. Der skal være fokus på efterretning og kontrol af brugernes gøren og færden i systemet ligesom systemet skal kunne håndtere, at brugere ofte vil udgøre applikationer og maskinel. Logning (ansvarsstillelse) og entydig autentificering er vigtige.

Princip 3: Efterretningsbaseret
Den agile sikkerhedsmodel skal operere i et miljø der strækker sig ud over en organisations egne perimetre. Derfor må efterretningen i høj grad også basere sig på eksterne efterretningskilder hvis den skal forholde sig proaktivt til udefra kommende trusler. Eksterne services vil formodentlig resultere i en større, mere specialiseret, hurtigere og billigere form for efterretning, end hvis organisationen selv står for det.

En forudsætning for en agil sikkerhedmodel er, at efterretninger kan indhentes omkring andre organisationers overholdelse af it-sikkerhedsstandarder. Disse efterretninger kan være leveret af organisationerne selv; ske som følge af en formalisering af den nuværende it-revision; eller evt. indsamlet af en overordnet instans.

Princip 4: Handlingskonsekvent
I sidste ende har it-sikkerhed altid en økonomisk konsekvens. En konsekvent handling baseret på korrekt efterretning er en måde at minimere konsekvensen. Der skal således foreligge klare modeller for risikovurdering og mulighed for at kunne estimere tab baseret på mulige trusselsscenarier samt løbende opbygges en konsekvenshistorik. Uden disse handlingsplaner, er det svært at vurdere sikkerhedsbehovet og styre ressourcer til hvor de gør mest gavn.

IT-sikkerhed stadig lavt prioriteret

Tue, 13 Sep 2005 04:22:41 +0100

Rigsrevisionen har i dag offentliggjort beretning om Finanstilsynets virksomhed ud fra hvilket det må erkendes at it-sikkerhed stadig ikke får den fornødne opmærksomhed.

Finanstilsynet fører tilsyn med, om de finansielle virksomheder overholder lovgivningen. Hovedaktiviteterne omfatter bl.a. løbende overvågning, inspektioner og generelle tilsynssager.

Rigsrevisionen har undersøgt, om Finanstilsynet har udmøntet sine formål i konkrete aktiviteter, og om dækningsgraden på inspektionsområdet samt kvaliteten af Finanstilsynets sagsbehandling på inspektionsområdet er tilfredsstillende.

Resultatet af revisionen var bl.a. at Finanstilsynet ikke i stor grad inddrager it-sikkerhed i dens evaluering som det ellers er påkrævet.

73. På pengeinstitutområdet blev det først fra 2004 kontrolleret, om virksomheden har en it-sikkerhedspolitik og en it-beredskabsplan. Rigsrevisionens gennemgang af inspektionerne viste, at flere finansielle virksomheder ikke levede op til lovgivningens krav på it-området. Der er ikke i fagkontorets gennemgang eksempler på, at Finanstilsynet har vurderet hensigtsmæssigheden af virksomhedernes it-politikker eller it-beredskabsplaner.
Før 2004 indgik it-området ikke i de ordinære inspektioner.

Med banker som en gruppe der går forrest når det gælder anvendelsen af IT kan meldingen virke meget overraskende. Måske har Danmark virkelig brug for en VISA-skandale før der rigtig sker noget!

Måske ville en offentliggørelse og rangering af finansielle institutters niveau af it-sikkerhed - i stil med den man har lavet for skoler - hjælpe på motivationen...

rapporten kan hentes her http://www.rigsrevisionen.dk/media(93,0)/Beretning_om_Finanstilsynets_virksomhed.pdf

Back online

Sun, 11 Sep 2005 16:12:05 +0100

Toget kører igen..

Arbejder disse dage intensivt på at beskrive hvorledes kompleksitet hænger sammen med SOA - og hvilken påvirkning det har på it-sikkerhed.

Rådet for STØRRE it-sikkerhed

Thu, 01 Sep 2005 15:39:26 +0100

Jeg har efterhånden været til en hel del forskellige arrangementer omhandlende sikkerhed og serviceorienteret arkitektur. I dag var jeg så til en mere.

Det var "Rådet for it-sikkerhed" der arrangerede sit årlige dialogforum og it-sikkerhed og fremtiden. Hvis du sidder og tænker - hvad er "rådet for it-sikkerhed"? så er du sikkert ikke alene fordi jeg har selv haft svært ved at få øje på dem og det var der også mange i salen der havde. Men hvis jeg siger "NetSikker Nu!" kan det godt være at du er hjulpet lidt på vej!

Fremmødet var dog imponerende og illustreret en kraftig interesse omkring emnet. Det var dog mest it-professionelle der havde fundet vej men iblandt dem var der også en stor spredning fra IBM over IT-Brancheforeningen til den it-ansvarlige for Katrineskolen i Kbh.

6 oplægsholdere var blevet inviteret:

Kurt Westh Nielsen, Journalist ved Ingeniøren og ivrig blogger var blevet inviteret på baggrund af hans artikel i Ingeniøren kaldet Luk Rådet for it-sikkerhed (kræver registrering). Kurts indlæg var særdeles interessant og slog på mange måder hovedet på sømmet under anmærkningen at et råd med et så slapt kommissorium; utilstrækkelige ressourcer; og manglende ministeriel uafhængighed i bedste fald er spild af tid og penge. Beviset var da også tydeligt i det som Rådet har produceret indtil videre hvilket Kurt benævnte "Pjecer tilsat strøm". Kurt efterspurgte mere kant; mindre ærefrygt og et større miks af kompetencer i rådet (som vist hovedsageligt tæller jurister)

Anne Baastrup, Politiker for SF var den næste på podiet. Indlægget var en blandet fornøjelse og var lige så meget en skudsalve imod regeringens it-politik som det var et it-politisk indlæg. Anne havde dog nogle vigtige pointer med bl.a. virksomheders etik i sikkerhed - er det etisk forsvarligt at sælge WIFI routere uden at have sikret dem fra butikken. Indlægget blev udgangspunkt i en senere debat om man igennem lovgivning kan fastsætte at kræve at virksomheder skal prioritere højere men det faldt nu hurtigt til jorden.

Per B. Hansen, sikkerhedschef for Microworld havde det sidste indlæg før pausen og holdte i bedste konsulent-stil (med lidt for stort jakkesæt) et ok indlæg hvor han dog et par gange fik sig rodet ud i lidt for tekniske beskrivelser. Beskeden i indlægget var at det er gået hurtigt - siden 1995 hvor kun få havde internet - er afhængigheden af internettet nu vokset til at være næsten fuldstændig for mange virksomheder. Men spørgsmålet er, om sikkerhedsfundamentet har fulgt med i den samme periode? I en allerede velbenyttet analogi med et husbyggeri spurgte Per om det underliggende fundament nu også kunne holde til at vi blev ved med at bygge ovenpå. Et meget relevant spørgsmål!

Efter Pers indlæg blev det tid til debatten og der var mange fine indlæg fra den brogede gruppe. Generel var der stor tilslutning til Kurts besked om større indflydelse - både til Rådet, men også til Datatilsynet som Anne Baastrup også synes var underprioriteret. Anne Baatrup måtte som den eneste politikker også svare på flere spørgsmål til den absurde terrorpakke som hun nu også selv tog afstand fra.

Så var der kaffe og kage og jeg tog en interessant snak med deltager fra Kommunernes Rigsrevision som kunne fortælle mig endnu et par skrækhistorier fra føljetonen om Kommunernes forhold til it-sikkerhed.

Jane Eis Larsen, vicedirektør i IT-branceforeningen fortsatte diskussionen om Rådets rolle i et meget interessant indlæg. I et svar på hvordan rådet skal se ud, pegede hun til Rådet for større færdselssikkerhed opbygning, rolle og position i samfundet og debatten. Hun delte også meget klogt målgruppen op i tre grupper hvortil der kræves forskellige tilgange.
* indenfor den offentlige sektor er lovgivning på mange måder vejen frem. Mest fordi man kan - og det virker.
* overfor borgerne er det undervisning og information som bør træde frem - lovgivning vil ikke have nogen god effekt.
* overfor private virksomheder behøver man ikke at gøre noget. De kan klare det selv. Dette kommer jeg også frem til i mit speciale hvor jeg argumenterer at det bliver nødvendig for virksomheder at "gøre sig lækre" rent it-sikkerhedsmæssigt overfor konkurrenter fordi det i højere grad bliver et salgsargument.

Per Helge Sørensen, forfatter og bestyrelsesmedlem i Digital Rights havde rollen som den unge provocateur som stillede de frække spørgsmål uden noget svar og havde måske ikke så meget relevans i forhold til Rådets virke. Per har allerede skrevet et par opsigtsvækkende bøger som Mailstorm og SPIN og selv om hans oplæg ikke handlede om sikkerhed og SOA fik han det dog lige nævnt og det er jo altid rart at få bekræftet at man er på rette vej.
Pers oplæg var meget rettet imod identitetsstyring og nogle af nøglebudskaberne var at identitetsstyring er fremtiden indenfor it-sikkerhed, men denne sætter nogle begrænsninger på f.eks. ytringsfrihed og forsamlingsfrihed. Han brugte eksemplet med incestramte der nok sætter pris på deres anonymitet og sikkert ikke ville ytre sig på samme måde hvis de skulle identificere sig selv. Der er mange andre situationer og det er ikke uvæsentlige spørgsmål at bringe på banen fordi om vi vil det eller ej så bygger noget af internettets popularitet også på anonymiteten.

Dialogen sluttede af med endnu en paneldiskussion hvor alle 6 oplægsholdere tog plads og diskuterede om et væld af emner herunder omkring regulering af it-sikkerhed og borgertiltag som pc-kørekorts effekt på it-sikkerhed.
Til sidst kunne Rådets formand Allan Fischer-Madsen konkludere på dagen som vist havde været gavnligt for Rådets snarlige "kommission-forhandlinger". Personligt havde jeg også en givtig eftermiddag som bød på mange praktiske overvejelser på hvordan it-sikkerhed egentlig skal takles.

Bedre it-sikkerhed sparer 100 arbejdsdage

Mon, 29 Aug 2005 07:30:38 +0100

En økonomisk case omkring Digital Identity:

Med den Digitale Signatur skal hver medarbejder hos psykiatrien i Århus Amt nu kun logge sig på én gang. Med 2300 medarbejdere løber det, der for den enkelte medarbejder virker som en lille ting, op. Og amtet anslår således at have sparet 100 arbejdsdage på den nye løsning, samtidig med at sikkerheden er blevet bedre.

Med 1300 pc'er brugte it-afdelingen tidligere en masse tid på at administrere log-on's med videre. Med et centralt log-in system bliver der nu frigivet en stor del tid. Det skriver Berlingske Tidende.
http://www.comon.dk/index.php/news/show/id=23371