bloghoved rene løhde

Følg eller forklar

Der er mange gode arrangementer rundt om i landet, som jeg gerne vil deltage i. Da tiden er knap er det rart at jeg kan sidde og kigge lidt på screencast, webcasts og præsentationer fra de spændende arrangementer som jeg ikke komme til. Her forleden var turen kommet til min yndlingsaversion ? B103.

Den 3. og 10. December havde IT og Telestyrelsen inviteret til informationsmøde om den pratiske udmøntning af de gode intentioner i beslutningsforslaget.
 

Jeg kan se af præsentationerne at 'forklar' i 'Følg eller forklar'-paradigmet er blevet scopet. Det er lykkedes IT og Telestyrelsen at angive et udfaldsrum for hvilke mulige afvigelser, som kan finde sted hvis man ikke bruger de obligatoriske standarder:
 

Offentlige myndigheder kan undtage sig selv fra reglerne om at anvende obligatoriske, åbne standarder, hvis myndigheden dermed tvinges til en løsning, der enten:

·         er væsentligt fordyrende i forhold til anvendelse af andre standarder,

·         svækker sikkerhedsniveauet væsentligt i forhold til anvendelse af andre standarder,

·         medfører væsentlig funktionel forringelse, der er direkte forårsaget af, at den er baseret på de obligatoriske, åbne standarder,

·         øger implementeringstiden markant, eller

·         medfører konflikt med standarder, der på grund af internationale forpligtelser er gældende indenfor enkeltområder.

 

Jeg kan ikke se hvad dette skal gavne eller hvorfor man vil pålægge leverandørerne og deres kunder at forholde sig til et udfaldsrum, som ikke har en kinamandschance for at være fuldt repræsentativ og som giver indtryk af autoritær arrogance.
 

Someone please educate me!

Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Nørregaard Blogger

Formålet med at opstille en række undtagelser er vel klar nok: Der er ingen projekter som skal kuldsejle på grund af kravene, så derfor er der en kattelem.

Hvis du nærlæser præsentationen så er den kattelem alligevel godt barrikaderet, alle tænkelige forhindringer er lagt i vejen for at komme uden om at anvende de 7 åbne standarder – bortset fra ligefrem at kræve at IT og Telestyrelsen forhåndsgodkender de kontrakter hvor der er undtagelser: ”Forklar”-delen af Følg-eller-Forklar er ret omfattende, specielt for EU-udbud hvor det skal ske ved enten:
- at myndigheden sender begrundelserne til IT-og Telestyrelsen i forbindelse med underskrivelse af kontrakten, hvorefter IT-og Telestyrelsen vil sørge for offentliggørelse,
- at offentliggøre begrundelserne på myndighedens egen hjemmeside kort tid efter underskrivelse af kontrakten eller
- at offentliggøre begrundelserne i forbindelse med førstkommende regnskabsaflæggelse.

Så i praksis skal der meget til før en styrelse eller et ministerium har lyst til at benytte kattelemmen. OG DET ER HELT FAIR for ellers får vi ikke implementeret disse åbne standarder. Og nej, de er ikke perfekte og har diverse ulemper, men en udbredt, middelmådig standard er formodentlig bedre end ingen standard.

  • 0
  • 0
René Løhde

Hej Peter,

Jeg tror at du har ret i af "lysten" til at bruge kattelemmen ikke er udtalt.

Min anke går mere på udfaldsrummet af undtagelser - jeg forstår ikke hvordan man kan komme til de 5.

Specielt i en tid med buzzakronymer som EA og SOA (hey - det offentlige har sin egen EA metode!) så skulle man tro at der blev langt mere vægt på hensyn som dette!

F.eks kunne man forestille sig undtagelser begrundet med

"hvis myndigheden dermed tvinges til en løsning som er i strid med visioner og forretningsstrategi!"

eller

"hvis myndigheden dermed tvinges til en løsning som ikke kan forenes med etableringen af en arkitektur med løstkoblede, autonome komponenter, som hurtig kan omstilles til at honorere krav om ny forretningsunderstøttelse."

Ja, det er meget generelt - men det er vel i den ende man skal starte!?

  • 0
  • 0
Peter Nørregaard Blogger

Hej René,

det er en god pointe at man burde kunne fravælge disse standarder hvis fx. "hvis myndigheden dermed tvinges til en løsning som ikke kan forenes med etableringen af en arkitektur med løstkoblede, autonome komponenter, som hurtig kan omstilles til at honorere krav om ny forretningsunderstøttelse." som du skriver.

Men - og her skal jeg indrømme at jeg ikke har fulgt arbejdet med standarderne tæt nok (barsel = ammehjerne) - de spænder vel næppe ben for at gå den vej?

Og selv hvis de gjorde, så er det vel ok at forsøge at bringe lidt lov-og-orden ind i den Klondike-stemning som der er over de mange konkurrerende muligheder. Jeg mener, selvom vi måske kan diskutere fx rimeligheden af købeloven, skal du jo ikke som webshop have lov til at fravige købelovens paragraffer om fortrydelse fordi det ødelægger dit koncept med at sælge ... fx letfordærvelige, forvarmede kanapeer via pakkeposten. Næ, du må i stedet udtænke dit koncept lidt anderledes.

Der er jo et behov for at skabe synergi mellem alle de systemer som de offentlige myndigheder planlægger at indkøbe – guderne skal vide at der er tilstrækkelig silo-tænkning i forvejen i sektoren. Lidt standarder får ikke det hele til at lykkes, men det er da et skridt på vejen.

  • 0
  • 0
Anonym

Eftersom Digital Signatur ikke er international Standard complient, men låst til en dansk definition må det være legalt ikke at følge OCES?

Pointen er ikek at jeg er unit i princippet, men at VTU burde gøre en del mere for at være semantisk interoperabel inden man lavede den slags.

At skabe legacy for at skabe legacy er næppe befordrende for innnovation

  • 0
  • 0
René Løhde

Mit problem er at jeg tror at den investering som enten skal laves for at få de obligatoriske standarder passet ind i mit system - i min forretningsmodel eller den energi og ressourcer som går til at skulle "undgå" standarderne ikke står mål med gevinsten ved "Silo nedbrydning via åbne standarder".

Jeg kan forstå behovet for at sætte opstille et sæt af standarder for at tilfredsstille politikkernes B103 - man har valgt de standarder som krævede den mindste investering, men jeg er tror at "Følg eller forklar" udfaldsrummet gør mere skade end gavn - det skulle nok have være endnu mere generelt.

  • 0
  • 0
René Løhde

Stephan,

Jeg tror at VTU's svar på din kommentar om OCES kunne være at X.509 er standard compliant - det som gør den national (certifikatpolitikker f.eks med krav om CSP software som afkræver brugeren et "stærkt" password) og OCES kvalificeres i en B103 kontekst fordi "Følg eller forklar" tillader et højeresikkerhedsniveau.

...okay, det blev lidt teoretisk og indeholder et bootstrap problem :-)

Jeg lavede iøvrigt et "personligt høringssvar" til B103 udkastet for lang tid siden, som diskuterer de samme ting som du er inde på:

http://blogs.msdn.com/renel/archive/2007/03/19/mit-h-ringssvar.aspx

Hvad mener du i øvrigt med "semantisk interop" - er det i relation til attributter på OCES certifikatet?

  • 0
  • 0
Jørgen Elgaard Larsen

René,

Du mener, at der burde være mulighed for andre udfald, f.x. "hvis myndigheden dermed tvinges til en løsning som er i strid med visioner og forretningsstrategi!".

Jeg mener, at det er af afgørende betydning, at den slags undskyldninger ikke tillades. Hvis en myndighed har en vision og forretningsstrategi, som forhindrer åbne standarder, er det netop vigtigt, at denne strategi laves om hurtigst muligt!

Dine indvendinger lugter meget af, at du gerne ville have at en acceptabel forklaring var "Vi vil hellere bruge Microsoft"...

  • 0
  • 0
René Løhde

Jørgen,

Ja, nogle gange er det selvfølgelig lidt uklart hvornår jeg skriver som René eller som Microsoft evangelist. I dette tilfælde er jeg dog helt sikker på at min arbejdsgiver ikke vil støtte mig i mine udtalelser. Microsoft har alt mulig grund til at fremstå som samarbejdsvillige i forhold til B103 bl.a fordi MS platform og tools spiller fint med de obligatoriske standarder.

Mine meninger er skrevet for at give et input til et initiativ, som jeg ikke tror er den rigtige model for den offentlige sektor!

Jeg er uenig med dig i, at myndigheds forretnigsstrategi/mål/vision skal laves om fordi man ikke implementerer en eller flere af de 8 obligatoriske standarder. Kun hvis implementeringen af standarder er et organisatorik erklæret arkitektur princip, som direkte eller inddirekte understøtter principper i forretningsstrategien, kan det blive aktuelt.

  • 0
  • 0
Eskild Nielsen

Offentlige myndigheder kan undtage sig selv fra reglerne om at anvende obligatoriske, åbne standarder, hvis myndigheden dermed tvinges til en løsning, der enten:

(snip)

· medfører konflikt med standarder, der på grund af internationale forpligtelser er gældende indenfor enkeltområder.

Er der nogen der kan tolke den del af teksten, og gerne konstruere et eksempel?

/eskild

  • 0
  • 0
Jesper Lund Stocholm Blogger

Det behøver ikke nødvendigvis at være en myndighed, der er tvunget til at anvende en eller anden standard, der ikke er defineret som "åben" i dansk forstand. Som jeg har forstået det, de gange jeg har talt med Dansk Standard om det, så er ISO-standarder frivillige at følge, men hvis det drejer sig om en EU-standard, så er der et krav om anvendelsen af den, hvis man hører til i Europa.

Derfor kan der være situationer, hvor man ikke kan anvende standard X, men pga EU-regler skal anvende standard Y, selvom denne er "lukket" ... pga internationale forpligtelser.

:o)

  • 0
  • 0
Hans Schou

Folketinget pålægger regeringen B103:
http://www.folketinget.dk/doc.aspx?/Samling/20051/beslutningsforslag/B10...

I den står forskellige krav der skal opfyldt. Datoen er 2008-01-01 eller så snart det er teknisk. Jeg ved ikke om der er forhold hvor det ikke er teknisk muligt, men i så fald skal der vel forelægge en rapport om disse enkelte områder hvor der kan være vanskeligheder.

De fem punkter, som fx "væsentligt fordyrene" er ikke en lovlig grund til ikke at opfylde B103.

Hvis det offentlige ikke pr. 2008-01-01 opfylder B103, så har den daværende regering, og det vil så sige den samme som idag, blive nødt at komme med en meget god forklaring om hvorfor B103 ikke er opfyldt, samt en tidsplan for hvornår den er det.

Regeringen kan ikke undskylde sig med "væsentligt fordyrene", idet der i B103 ikke er lagt op til at det er en lovlig undskyldning.

  • 0
  • 0
Anonym

Rene,

Beklager jeg først responderer nu.

Ja, OCES fejler klart på krav om attributer som gør den til en nationalt lukket dikteret "standard" på samme måde som meget andet OIO og den digitale taskforce påtvinger samfunder fordi man ikke evner at udvikle noget som faktisk skaber værdi.

OCES kan IKKE være en del af et åbent interface, men kun en optionel attribut. Samtidig koncentrerer det risici centralt, hvor det ikke kan beskyttes.

Mål og midler hænger ganske enkelt ikke sammen.

Det ser man endnu mere klart ved OCES fase 2 som endda forværrer de problemer der gjorde fase 1 til en forudsigelig fiasko. I stedet for at erkende at setuppet er fejldesignet, så finaniseres og gennemtvinges det ved at sælge ejerskabet over borgerne til et kommercielt infrastrukturkartel som direkte vil misbruge til at reducere ikke bare sikkerheden, men enndnu vigtigtere konkurrencen og innovation.

Jeg er helt enig med PHK - der er reelt tale om et symbiotisk ny-feudalistisk tiltag på hele samfundets bekostning. Værdiskabelsen er lånte fjer som ignorerer de massive omkostninger ved centrale monopoler.

De store infrastruktur spillere sikrer at magten forankres i centraladministrationen mod at infrastrukturspillerne får lov til at profiterre på en lov-dikteret magtposition. Den eneste årsag er at VTU/ITST har fejlet groft i at sikre hensynet til samfundsudviklingen (blokerer for innovation i bred forstand), samfundsøkonomien (værdidestruktivt ødelægger magtbalancer mellem kunder og udbydere) og sikkerheden (underminerer datasikkerheden og Grundlovens principper).

At OCES samtidig fejler på at man kobler alt for mange aspekter ind i en identitetsnøgle som er alt for snærende og desideret uansvarlig for at kunne udgøre grundlaget for kritisk infrastruktur (og f.eks. ignorer neutrale self-issued certificates kombineret med andre mere fleksible credential metoder til at etablere sikkerhedsmæssige beviser) er også en grundliggende kritik af selve PKI tanken som det grundliggende element. X.509 ligger et sted midt imellem det makværk som OCES udgør og en semantisk interoperabel åben standard.

For at illustrere et parallelt eksempel - så var den første version af OIO brugerstyringen som byggede på SAML 1.0 ikke engang konsistent med SAML, hvilket efter lang tids konkret påvisning heldigvis har medført at man i det mindste teoretisk kan følge SAML 2.0 i det nye oplæg, selvom man sikkert - medmindre samfundet i bred forstand vågner op med retidig omhu - med magt vil gennemtvinge de destruktive modeller på anden vis.

Man skal være varsom og skelne mellem en åben standard og noget som blot er standardiseret i et pseudo-åbent forum. De fleste standarder er styret af interesser (som f.eks. MS dokument "standard" og GPL-licensen), desideret destruktive for udviklingen (f.eks. på sikkerheds/identitetsområder ICAO pas og biometrisk identifikation) og dårligt det papir værd, de er skrevet på (f.eks. DS 484).

SAML er officielt en "åben standard", men er en katastrofe omkring Identity Providers og Federated Identity. Derimod synes authentikeringsmekanismerne og interfaces faktisk ok, så derfor støtter jeg SAML i brugerstyringen og arbejdede for at sikre at den i Brugerstyring version 2 faktisk bliver overholdt i interfaces og reelt i attributkrav - specielt på portalerne der som risikoskabende flaskehalse er en alvorlig trussel mod både brugervenlighed, samfundsøkonomien og sikkerheden.

Omkring dit høringssvar.

Med forbehold for at jeg både er enig i megen af kritikken mod MS og samtidig anser GPL for en måske endnu større trussel mod samfundsøkonomien - det er ikke emner jeg igen gider gå ind på og slet ikke her fordi jeg ikke vil tages som gidsel i den debat.

Jeg er meget enig i stort set alle dine statements i Høringssvaret. Dit afsluttende PS var morsomt.
"Der ligger noget fornuft gemt der - et eller andet sted" - ligger (godt) gemt eller fornuft gemt ;-)

Omkring Semantisk Interoperability.

Stort og omfangsrigt emne som det er umuligt at gøre kort. Principielt går det ud på at strukturere den semantiske struktur af et givet område og så være åben for forskellige og endda ny e endnu ikke eksisterende måder at etablere og verificere viden omkring de enkelte aspekter.

Der er specielt svært omkring sikkerhed og identiet, fordi det er så centralt og tværgående. Men af samme årsag også ekstremt vigtigt for samfundet for at øge både interoperabiliteten og sikkerheden.

Eksempelvis ved vi at stort set alle kendte primitives lever på lånt tid og skal udskiftes indenfor ethvert igangværende offentligt projekts levetid - e.g. NIST call for ny hash.

Vi ved at ICAO Pas var fejldesignet fra starten, men opbygger ikke-interoeprable interfaces, dvs. man maler sig selv op i et ikke-interoperabelt og samtidig sikkerhedsmæssigt totalt uholdbart hjørne

Vi ved at så godt som alle eksisterende kommunikationsprotokoller er usikre og lækker information til højre og venstre.

Vi ved at applikationer er ekstremt dyre at vedligeholde fordi de hardkoder ikke-interoperable interfaces, lovkrav og andre politikker.

Alt dette eksploderer når vi taler Internet of Things, hvor man har reduceret spørgsmålet til at vælgt mellem interoperabilitet i kommercielle siloer eller sikkerhed - hvilket er en åbenlys loose-loose for alle.

Af disse og en lang række yderligere nærmest evident uholdbare problemstillinger gik vi ind i EU-forksningsprojektet HYDRA som netop laver Semantisk interoperabilitets-skabende middleware målrettet mod ambient devices. De første papers ligger online på projekets hjemmeside, men vi er langt videre end det fremgår deraf.

Jeg mener faktisk at vi har en model, der vil kunne koble alt med alt samtidig med at det åbner for at indbygge devices og applikationer med de basale krav til sikkerhed som vi står fast på at man må fastholde for at kunne understøtte samfundet og demokratiet.

Basalt set laver vi alt om til virtuelle devices, entiteter og applikationer som kan opgraderes uafhængigt. Det imponenrende er at det faktisk ser ud til at kunne gøres meget effektivt og bootstrape fra eksisterende desideret ringe standarder.

Det mest vigtige er identitet som skal dekomponeres i de forskellige sikkerhedsmæssige aspekter, som kan opfyldes med forskellige motoder og forskellige teknologier, dvs. hvor man logisk kan validere og sammenligne forskellige måder at etablere semantisk viden og beviser på.

Det bedste eksempel på hvad der IKKE er semantisk interoperabelt er biometri, hvor f.eks. brugen af fingeratryk til betalinger både er sikkerhedsmæssigt uforsvarligt (f.eks. bevidst spoofing, doppelgänger og eliminerer per definition datasikkerheden uden nogen former for meningsfult fallback) og samtidig ikke-interoperabel og legacy-skabende.

Behøver jeg at sige at man selvfølgelig ikke laver interoperabilitetsskabende middleware baseret på lukkede interfaces, men selvfølgelig samtidig ikke forsøger at diktere forretningsmodellerne.

  • 0
  • 0
Stig Johansen

Om OCES.
Oces/x509 var ikke et proaktivt valg, men resultatet af et udbud, hvor 'finalisterne' var Bankerne og TDC.
Det blev hvad det blev fordi TDC 'vandt'.

Om elektronisk handel.
Lige siden etableringen af DOIP (2001/2002?) har man haft muligheden for elektroniske ordrer/følgesedler/fakturaer m.v. Det var en del at udbudet, og jeg ved de eksisterede, for det var mig der godkendte systemet. Jeg ved dog ikke hvorfor man ikke udnyttede systemet.

Om ISB.
ISB'en var resultatet af en projektkonkurrence, hvor Accenture+MS vandt. De fik derfor muligheden for at påvirke trend's. Jeg vil tro verden ville se anderledes ud hvis det var WMData+Software AG, der vandt.

Om OIOXML.
KMD havde webserviceificeret deres CICS transktioner med 1-1 mapning. Deres problem var, at de måtte opkræve et ikke uanseeligt beløb for at tilføje endnu et lag, der gør transaktionerne 'OIOXML compliant'.

Om eFaktura.
Man glemmer, at man ved kun at have eet I/O format påtvinger samtlige leverandører at tilpasse deres system. Man burde nok selv have afholdt den, i mine øjne, marginalomkostning det ville have været at lave nogle centrale mapningsfunktioner. EDI x.400 osv.
Jeg har selv anbefalet kunder at pålægge et eFakturagebyr på handler med det offentlige.

Om WS-*.
Jeg har personligt hørt fra MS, at udviklingen foregik i parløb med IBM. Man ønskede ikke Sun med fordi '3 var for mange, så det ville tage længere tid at blive enige'.

Om diverse 'beskrivelser'.
Husk altid på, at de er udfærdiget af politikere og ikke IT fagfolk.

Godt nytår til alle.

  • 0
  • 0
Log ind eller Opret konto for at kommentere