Dette indlæg er alene udtryk for skribentens egen holdning.

Brugerstyring - den skjulte fabrik

12 kommentarer.  Hop til debatten
Blogindlæg13. maj 2009 kl. 10:45
errorÆldre end 30 dage

I en stor og broget organisation som f.eks. en kommune er opgaven med at oprette og nedlægge brugere samt ikke mindst at foretage løbende justering af deres rettigheder typisk spredt ud over rigtig mange enheder og medarbejdere. Man skulle tro, at IT-afdelingen stod for den slags - men det gør den kun til dels. Fagsystemer, produktionssystemer, ledelsesinformationssystemer, økonomisystemer, dokumenthåndteringssystemer og you name it ..... ja de har stort set alle deres eget brugerstyringslag, som nogen rundt om i organisationen - og altså uden for IT-afdelingen - er sat til at administrere.

Der er sjældent nogen, der har et præcist overblik over omfanget af de ressourcer, som organisationen anvender til brugerstyring, og det glemmes stort set i alle business cases.

IT- og telestyrelsens udmelding om, at "brugerstyring i nyere IT-systemer som regel er eksternaliseret således at denne funktionalitet kan varetages af en fælles brugerstyringsløsning" ligger langt fra den verden, jeg til daglig færdes i og som jeg også præsenteres for af systemleverandørerne.

Hvordan kommer vi videre her?

12 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
1
13. maj 2009 kl. 23:19

Set fra et teknisk synspunkt er der masser af løsninger til authentication. Jeg nævner i flæng: OpenID, Active Directory, Digital Signatur, RADIUS, Kerberos, PAM, LDAP. Stil krav til leverandørerne om at deres systemer kan kobles på eksterne brugerstyringsløsninger.

Authorization er straks værre, for det er svært at styre centralt. Ud over de lovgivningsmæssige krav, som systemerne må formodes at overholde, og den helt simple adgang til at tilgå de enkelte systemer, bliver rettighedsstyring (tænkt som en afspejling af opgavefordelingen i organisationen) hurtigt meget systemspecifikt.

2
Indsendt af Anonym (ikke efterprøvet) den tor, 05/14/2009 - 07:59

Hvis man studerer det offentlige sikkerhedsproblem så er det mest åbenlyse aspekt et næsten totalt fravær af strategi, dvs. arbejden sig mod holdbare strukturer.

"Fælles brugerstyring" er et tiltag som vil skade udviklingen ved at fjerne sikkerheden fra det problemnære - hvor det kan sikres - til en model som ikke kan sikre noget.

Rolle-baserede adgange bør f.eks. ikke give adgang til persondata (f.eks. patientjurnaler), men kan give autorisation til funktioner (f.eks. at give medicin). Dvs. hele tilgangen i "fælles brugerstyring" er placebosikkerhed som forsøg på at skabe legal compliance uden sikkerhed og helt uden fremsynethed. Følgeinvesteringerne vil ikke bare være spildte men føre til morgendagens legacy og dårlig sikkerhed.

Der er efter min mening 4 aspekter som skal tænkes ind fra starten a) For gamle applikationer skal man "pakke applikationen ind" på samme måde som man XML-enablede og lavde grafiske brugergrænsefalder på gamle mainframe systemer. Det forudsætter man ved hvad de skal pakkes ind til.

b) Data skal sikres i bunden, dvs. via adskillelse mellem data og identifikaton (som højst må være tilgængelig for specifikt relaterede ansatte, men ikke for servere) og kryptering i databasen i stedet for at antage at "adgangskontrol" kan sikre.

Problemet er helt grundliggende at tanken om "offentlig koncern-it" både er en økonomisk fejl og en forældet sikkerhedstankegang. Perimetersikkerheden ryger og planøkonomi effektiviserer ineffektiviserer. Det offentlige er alt for stor en økonomisk aktivitetsenhed til at tankegangen overhovedet er gangbar. Finansminstierets styring viser sig som katastrofe efter katastrofe med desideret negative business cases fordi de ikke kan regne med offeromkostninger.

c) Semantisk interoperabilitet. Det største problem bliver hvordan vi undgår legacy, dvs. at påtvinge dårlige enhedsstandarder som derefter låser os i en dårlig sikkehredsmodel. Det vil være den største katastrofe og det problem som man meget sikkert er i færd med at maksimere.

d) Borgerkontrol. Det vigtigste og eneste langsigtede måde at sikre og effektivisere på er ved at flytte kontrollen til borgeren, så man sikre at data altid er opdaterede, at man selekterer og filtrerer i forhold til behovet og at man undgå sikkerhedskonstruktioner som ikke kan opretholdes. Borgeren skal eje henførbarheden af data, men kan så (kræves i nogen tilfælde) at delegere den til f.eks. egen læge eller sagsbehandler.

3
14. maj 2009 kl. 14:35

Hej Ole,

Borgerne skal vel ikke have direkte adgang i

Fagsystemer, produktionssystemer, ledelsesinformationssystemer, økonomisystemer, dokumenthåndteringssystemer og you name it

?

...og for en kommune er de laveste hængende frugter i forhold til NemLogin vel at kommunen ikke skal vedligeholde den del af infrastrukturen. Du kan få fastslået borgerensidentitet fra NemLogin.

4
Indsendt af Anonym (ikke efterprøvet) den tor, 05/14/2009 - 15:28

Rene

Vil du ikke mene at

Fagsystemer, produktionssystemer, ledelsesinformationssystemer, økonomisystemer, dokumenthåndteringssystemer og you name it

håndterer data som tilhører borgere?

5
14. maj 2009 kl. 15:48

Jow, men at borgeren har direkte adgang til de systemer er vel undtagelsen?

6
Indsendt af Anonym (ikke efterprøvet) den tor, 05/14/2009 - 16:19

Det drejer sig ikke om hvad borgeren har adgang til, men hvordan systemet fungerer.

For min skyld kan de bruge rollebaseret og SSO adgangskontrol til data som fra borgerens synspunkt lige så godt kan ligge i Google.

Rollebaseret adgang er også ok til autorisation af funktion, men ikke til data.

De andre data og adgange bør sikres.

7
15. maj 2009 kl. 09:48

@Rene: Jeg sigter til den interne fabrik - til alle de medarbejdere, der administerer adgange, roller og rettigheder for deres kolleger. Det er et rimeligt ustandardiseret virvar. Klart, at det så giver en ekstra udfordringsdimension, hvis der også skal opereres med en eksternt rettet adgang for borgere.

9
Indsendt af Anonym (ikke efterprøvet) den fre, 05/15/2009 - 10:53

@ Ole

Diktomien er forkert, fordi det er borgernes data du styrer adgangen til. Det drejer sig ikke kun om HVEM men i endnu højere grad om HVAD.

Sikkerhed i dag er kaos. Og det bliver ikke mindre kaos af at skabe en enhedsmodel som ikke kan håndtere virkeligheden.

Du kan tage et hardcore eksempel. Elektroniske patientjournaler (blot fordi det er et område hvor man er enige om at der faktisk bør være sikkerhed - det er altid så nemt at blive enige om at de andre bare skal stole på os).

HVILKE læger MÅ KUNNE få adgang til DIN patientjournal? Svaret er som udgangspunkt enkelt - kun din læge må kunne, dvs. lægers adgang afhænger af hvilke patienter, de har.

Rollen "Læge" (eller "Mediq") må i en nødsituation hvor man skal arbejde med en form for Emergency model - men det kan etableres ved siden af. Se f.eks. mit indlæg fra SHI2007.

Dvs. spørgsmålet er eksplicit - KUN de læger som der direkte involveret i din aktulle behandling MÅ KUNNE få adgang til DINE DATA. Alle læger har adgang til systemet og autorisation til at gennemføre de funktioner som kun læger må.

En rollebaseret adgangsmodel kan ikke håndtere datasikkerhed - det skal være eksplicit.

En udfordring er så at man i dag reelt er i en gammel opfattelse af at data tilhører it-afdelingen. Men universelle "Admin" adgange er som bekendt roden til alt ondt. Hvis "systemet" ejer data, går det galt - nøglerne til at åbne data skal distribueres, så kun dem der må se data har nøglerne hertil.

Løsningen er at skille spørgsmålet. På det overordende plan arbejder du med roller til systemadgange og funktionsautorisationer (det forudsætter ikke identifikation selvom jeg ikke er i tvivl om at man længe vil forfalde hertil).

Men på applikations/transaktionsniveau er nødt til at være væsentligt mere finegrained i forhold til de specifikke applikationer/data. Det KAN IKKE GØRES CENTRALT hverken administrativt eller sikkert, men skal isoleres til den enkelte applikation og vil i mange tilfælde være meget mere dynamisk end man er vant til at tænke sikkerhed i.

Det skal gøres model og policy-styret, men med eksplcitte distribuerede nøgler.

Selvom der er mange som gerne vil sælge "universtalløsningen", så eksisterer den ikke i dag - det fører enten til et manuelt registreringshelvede eller en så overordnet model at det ikke kan håndtere sikkerheden.

Vi er nødt til at arbejde os imod meget mere dynamiske sikkerhedsprocesser, så f.eks. en henvisning af en patient til en speciallæge ændrer må sikkerhedsopsætningen uden at nogen administrativ funktion er involveret.

Du ville gerne have et simpelt svar - svaret er at den simple løsning forværrer problemet.

10
15. maj 2009 kl. 11:56

@Stefan. Jeg er helt med på, at der også er - og specielt fremover vil komme - en borgervinkel på hele problematikken omkring brugerstyring. Men p.t. har jeg fokus på at optimere min egen organisations arbejde med den interne brugerstyring. Altså administrationen af adgange, roller og rettigheder til f.eks. et økonomisystem (hvor der iøvrigt næppe er borgere, der skal have adgang), til et ledelsesinformationssystem (hvor der næppe heller skal skabes borgeradgang), til diverse betalingssytemer (heller ikke borgere), til intranet, interne telefonbøger m.v.m.v.

11
Indsendt af Anonym (ikke efterprøvet) den fre, 05/15/2009 - 13:15

@ Ole

No problem. Men i praksis er det ofte slet ikke så nemt at lave den sondring - f.eks. er betalinger og bogføringer ofte relateret til eksterne relationer.

Jeg er ikke et sekund i tvivl om at det er et reelt behov (selvom det klart er et miniproblem i forhold til det tungere omkring organisationens basale funktioner). Men vi isolerer det jo ikke til disse interne problemstillinger, men tvinger den primitive løsning ud over mere komplekse problemer.

Det er derfor jeg altid vender tilbage til sundhedssektoren - kan en model ikke håndtere sundhedssektorens kompleksitet er det formentlig fordi den reducerer virkeligheden for meget.

12
27. maj 2009 kl. 14:13

Hej Ole

Jeg deltog for noget tid siden i Kbh.Universitets arbejdsgruppe for etablering af fælles Identitet. Nogen fra gruppen var ved leverandør udvælgelsen på besøg i Esbjerg kommune, da Esbjerg fra en leverandørs side blev promoveret som en succes historie.

Jeg vil foreslå dig at kontakte én dernede og høre om deres erfaringer.

8
15. maj 2009 kl. 10:53

Ok, det giver ingen mening! Dårlig rådgivning hvis det er tilfældet, men er du sikker på at det er sådan det forholder sig?