Identitet på nettet i et globalt perspektiv

Senest opdateret d. 26/3-2012
Alexandra Instituttet
Resultatkontrakt 2013-2015 under temaerne Informations- og Kommunikationsteknologi
Jakob I. Pagter
Områdechef, Software Technology

For at danske virksomheder kan ride med på den globale digitaliseringsbølge, er det nødvendigt for dem at indgå i økosystemer af tjenester. En vigtig forudsætning for dette er at de kan arbejde sammen med solide (nationale/internationale) identitetstjenester, og gøre dette under forståelse af brugsmæssige og juridiske udfordringer. Der udvikles rådgivningsydelser, softwarekomponenter som konkretiserer central viden og infrastruktur til test og integration mellem forskellige identity-providers.

Identitet på nettet i et globalt perspektiv
Institut: Alexandra Instituttet A/S
Kontaktperson: Jakob I. Pagter
 
Ny viden og serviceydelser
I denne aktivitet opbygges viden om og infrastruktur til sikker håndtering af identitet (og ”login”) på nettet, under hensyntagen til voksende bruger- og juridiske krav til dette. Dette udgør en forretningsmæssig risiko mod (særligt små) virksomheder som udbyder tjenester til private på internettet. Aktiviteten er bla. inspireret af IT og Telestyrelsens diskussionspapir om nye sikkerhedsmodeller på nettet[1].
Der udvikles forskellige softwarekomponenter samt viden som gør det lettere at håndtere problemstillinger relateret til identitetsstyring (”Identity Management”), rådgivning om dette, en testinfrastruktur samt en ID-provider som gør det muligt at levere sikker autentifikation ovenpå eksisterende ID-providers, uden at den bagvedliggende identitet nødvendigvis afsløres.
Udover opbygning af fundamentale byggeklodser for identifikation på nettet og specialistviden om disse, vil denne aktivitet også opbygge to infrastrukturkomponenter, som Alexandra Instituttet vil stille til rådighed for danske virksomheder og borgere. Indsatsen resulter således i:

  • Rådgivning om håndtering af brugeridentiteter for net-baserede tjenester, herunder viden omkring bruger- og juridiske krav, samt rådgivning om brug af de nedenfor nævnte softwarekomponenter og infrastrukturer.
  • Software-værktøjskasse til håndtering af identifikation og delegering af adgang på nettet. Dette inkluderer softwarekomponenter som gør det let at for danske virksomheder at supplere NemID med andre identitetsleverandører (både nationale som fx wayf.dk og internationale som Facebook og Twitter), og som gør det nemt at bruge standardiserede teknologier som OpenID og OAuth. Dertil vil der blive arbejdet med attribut-baserede akkreditiver ud fra teknologierne Microsoft U-Prove og IBM IdentityMixer. Der vil også blive udviklet komponenter som gør det let at bruge nedenstående ID provider. Endeligt vil der blive arbejdet med teknologier (fx Onion Routing), som kan forhindre at de underliggende tekniske niveauer ødelægger den etablerede sikkerhed.
  • Test-infrastruktur: Dette vil være en samling af online services, hvor udviklere af nettjenester  (fx en webshop) let kan testkøre deres løsning med forskellige typer af identity-strategier og providers.
  • Integrations-ID-Provider: Dette er en service som gør det muligt for en bruger at logge på en onlinetjeneste eller –butik med et ID fra en given ID-provider på en måde, så hverken denne tjeneste eller ID-provideren kan spore brugerens transaktioner, men som alligevel garanterer autenticiteten.

Centrale aktiviteter
For at kunne udvikle disse kompetencer og serviceydelser, er der behov for en indsats som tager afsæt i borger-/brugerpræferencer og juridiske krav og herudfra opbygger viden og teknologi som understøtter danske virksomheders behov for sikker håndtering af identitet på nettet. Det vil sige at der er behov både ”desktop research” og praktiske studier af brugeres adfærd ifht. identitet, kombineret med en grundig indsigt i de juridiske rammer. Med afsæt heri udvikles relevant teknologisk viden og værktøjer igennem konkrete cases i samarbejde med danske virksomheder. Sidstnævnte sikrer et fokus på forretningsmæssig relevans.
Indsatsen består af fire aktiviteter:

  • Kravsafdækning, som vil inkludere forståelse af

    • Brugsmæssige-/borgerkrav (udfra et økonomisk/forretningsmæssigt perspektiv!)
    • Juridiske krav, ikke mindst den kommende europæiske datalovgivning
    • Forretningsmæssige krav, dvs. forståelse af hvordan brugsmæssige og juridiske krav kan spille sammen med en virksomheds overordnede forretningsmæssige mål og ønsker på en måde så ”sikker identitet”  understøtter dette fremfor at virke som en hæmsko.
  • Videnhjemtagning, herunder analyse af forskellige nationale og internationale standarder, værktøjer, osv.
  • Softwareudvikling

    • Softwarekomponenter som gør det let at anvende anerkendte standarder og mønstre for håndtering af identitet.
    • Oversigt over eksterne komponenter.
    • Referenceeksempler som illustrerer anvendelse af ovenstående.
    • Udvikling af testinfrastruktur og Need-to-know Identity Provider.
  • Pilotdrift af testinfrastruktur og Need-to-know Identity Provider.
  • Videnspredning

    • Dokumentation af aktivitetens resultater.
    • Formidling via fagpresse, konferencer og lign.
    • Proof-of-concept anvendelser hos danske virksomheder.
    • Videnskabelige publikationer.

Rationale for indsatsen
En fundamental forudsætning for digitaliseringen af det danske samfund er at offentlige såvel som private tjenester har et niveau af vished for hvilken bruger de kommunikerer med. En række forhold gør at håndtering af identitet er på vej til at blive en tjeneste i stedet for en funktionalitet hver eneste netløsning selv bygger ind. Gode eksempler på dette er NemID og Facebook Connect. Denne trend vil forstærkes på grund af forskellige krav. Brugere vil forvente (og i et vist omfang betale for) sådan sikkerhed[2], der vil opstå øgede lovgivningsmæssige krav (udkastet til en ny EU-databeskyttelseslov[3] – som forventes at træde ikraft i 2014 – specificerer bla. bøder på op til 2% af en virksomheds omsætning), forretningsmæssige udfordringer ifbm. ansvar ved identitetstyveri mv. vil gøre det nødvendigt med strenge sikkerhedskrav ifht. identitet (noget som kan være svært for SMVer) og derudover vil den tekniske udvikling (cloud computing, smartphones, mv.) gøre dette attraktivt. Denne forretningsmæssige konsekvens af sidstnævnte tekniske forhold er, at de færreste danske it-baserede SMV’er vil kunne leve af isolerede produkter; de vil istedet levere produkter som benytter andres services og som leverer services til andre. De bliver derfor en del af et international økosystem af tjenester, og dette kræver i langt højere grad end idag solide (internationalt orienterede) identity-services. Dette har netop små danske virksomheder på egen hånd ikke har særlig gode muligheder for at etablere - derfor vil hjælp til dette gøre en forskel for deres evne til at deltage i den globale konkurrence
Kort sagt, danske virksomheder har et stort behov for håndtering af identitet på nettet hvis de vil ride med på digitaliseringsbølgen, men øgede sikkerhedstrusler og –krav risikerer at ødelægge den ”gode stemning”.
Formålet med denne aktivitet er at afhjælpe dette problem, med den bagvedliggende tese at virksomheder skal outsource en stor del af deres ID-håndtering og kun fokusere på deres kerneforretning.
Alle danske virksomheder som leverer online-tjenester som har brug for en eller anden for form autentifikation/identifikation af deres brugere er potentielle aftagere af de udviklede kompetencer og serviceydelser.
Relationer til andre projekter

  • ”Internet-of-things”, en del af Alexandra Instituttets resultatkontrakt 2010-2012, hvor der er arbejdet med relevante digitale infrastrukturer og platforme, blandt andet cloud computing og smartphone.
  • ABC4Trust – EU/FP7-projekt som arbejder med fremtidens teknologier til identitetsstyring og autentifikation på nettet (http://abc4trust.eu).

Mulige samarbejdspartnere
DI/ITEK, Aarhus Universitet (Datalogisk Institut), Aalborg Universitet (Juridisk Institut), IBM Research Zürich.

[1] http://digitaliser.dk/resource/781482

[2] http://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/monetising-privacy

[3] http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm

 

10 kommentarer

Herunder er indlæg og kommentarer fra interessenter på aktiviteter og aktivitetsforslag.

hbiering
Torsdag d. 26/4-12 kl. 23:39

Peercraft, tidligere Netamia har arbejdet med claimsbaseret usercentric identity management i en længere årrække og har derfor grundig erfaring med praktiske problemer og løsninger på disse.

Projektformuleringen er altovervejende i fin overensstemmelse med vores opfattelse af behovene og løsningsrummet, så jeg vil hermed tilkendegive vores interesse i et samarbejde.

Dog mener vi ikke man fremadrettet kan se identitymanagement som en isoleret tjeneste, men snarere i tæt forbindelse med interaktions-, kommunikations- og omdømmetjenester. Når det f.eks. anføres:

"En fundamental forudsætning for digitaliseringen af det danske samfund er at offentlige såvel som private tjenester har et niveau af vished for hvilken bruger de kommunikerer med."

vil vi snarere formulere det som:

En fundamental forudsætning for digitaliseringen af det globale samfund er at offentlige og private tjenester på den ene side og brugere på den anden side kan interagere trygt og på kontrolleret vis med hinanden og lære om hinandens relevante egenskaber og fremtidige behov uden at brugernes identitet iøvrigt er kendt for tjenesterne.

Et muligt samspil med projektet "Åbne data - digital lim" kunne også være interessant. Det er ikke kun "det offentliges" data der kan danne basis for ny tjenester, men i lige så høj grad (evt. aggregerede) data fra personer og virksomheder, se f.eks.:
http://www.weforum.org/issues/rethinking-personal-data (ny erkendelse)
http://blogs.law.harvard.edu/vrm/about/ (nyt handelsparadigme baseret herpå)
http://kantarainitiative.org/confluence/display/uma/Charter (eks. på relateret teknologi)
http://personaldataecosystem.org/ (eksempler på kommende tjenester)

Henrik Biering
CEO

PeerCraft ApS
Njalsgade 106, 2. sal
2300 Copenhagen S
DENMARK

https://www.peercraft.com
+45 46 96 56 36
hb@peercraft.com

pagter
Fredag d. 27/4-12 kl. 13:15

Hej Henrik

Tak for dine kommentarer - og godt at høre at I er interessede i at samarbejde.

Jeg er enig i at identitetstjenester ikke nødvendigvis bliver isolerede tjenester med det ene fokus (med ting som Facebook Connect som det åbenlyse eksempel). Som sådan vil det heller ikke blive betragtet i projektet.

Du har iøvrigt helt ret i at der kunne være en masse synergi med "Open data - digital lim"-projektet.

Mvh. Jakob

Henning Mortensen
Fredag d. 27/4-12 kl. 14:11

Vi mangler de fundamentale byggeklodser, som dels sikrer, at brugeren har kontrol med sin identitet på nettet, og som dels sikrer, at brugeren kan "logge ind" på tværs af tjenester rundt omkring i verden, som han ønsker at bruge.

Et projekt på dette område baseret på tankerne i "Nye Digitale Sikkerhedsmodeller" vil være meget velkommet.

Jeg er iøvrigt enig med hbiering i at det kunne være interessant at koble projektet sammen med med "Open Data - digital lim"-projektet.

Henning Mortensen
Chefkonsulent
DI ITEK

Thomas Gundel
Tirsdag d. 1/5-12 kl. 10:40

Jeg vil gerne udtrykke min uforbeholdne støtte til dette helt nødvendige projekt, som udover at støtte innovation indenfor digital identitet også er et fint modspil til det aktuelle fænomen, hvor globale virksomheder forsøger at monopolisere brugernes online identiteter, hvilket kan bremse innovation og konkurrence på internettet.

Der findes en lang række initiativer indenfor dette område, som man kunne lade sig inspirere af, specielt vil jeg gerne pege på "Respect Trust Framework". http://openidentityexchange.org/trust-frameworks/respect-trust-framework

Thomas Gundel
Partner
IT Crew

anderspall
Tirsdag d. 1/5-12 kl. 11:22

Hej Jakob
Spændende tanker. Vi vil gerne i Copenhagen Finance IT Region være med til at drøfte dem yderligere og præsentere dem for virksomhederne, der arbejder i krydsfeltet mellem finans og it. Fx kunne vi afholde et Get F'IT Finance IT Tuesday om emnet. Fx afholdt vi dette: http://www.cfir.dk/Arrangementer/GetFITarrangementer/GetFIT2011/GetFIT-J... og dette: http://www.cfir.dk/Arrangementer/GetFITarrangementer/GetFIT2010/GetFIT-A....

Der er både lovgivningsmæssige, brugermæssige og tekniske aspekter i emnet, og jeg tror det er vigtigt at tænke det offentlige og private sammen. Her tror jeg finans kunne være et nøgleord og en drivkraft i udviklingen.

Anders Pall Skött
Konsulent
Copenhagen Finance IT Region

pagter
Tirsdag d. 1/5-12 kl. 13:14

Hej Thomas

Tak for din kommentar.

En del af et projekt som dette vil bestemt være at få afdækket forskellige initiativer og frameworks som Respect Trust.

Mvh. Jakob

pagter
Tirsdag d. 1/5-12 kl. 13:17

Hej Anders

Det vil bestemt være interessant at trække på finanssektorens og CFIRs kompetencer i et projekt som dette.

Mvh. Jakob

mortenstorm
Onsdag d. 2/5-12 kl. 11:28

Hej Jakob.

Jeg synes I har lavet en god opgavebeskrivelse, som vi fra Signaturgruppen støtter.
Jeg kunne foreslå, at man indlægger en ambition i projektet om at afprøve tekniske signaturløsninger for NemID på mobilområdet, i forlængelse af det tidligere ITSCI projekt.
Jeg mener at det burde være muligt at lave en pilotdrift med et større antal interesserede brugere.
Tidsmæssigt ligger projektet godt i forhold til at give input til den kravsafdækning, som skal gå forud for den næste generation af digital signatur, som skal afløse NemID i 2017, når den nuværende kontrakt udløber.

Mvh Morten Storm Petersen

pagter
Torsdag d. 3/5-12 kl. 09:32

Tak for input, Morten.

Det vil bestemt være relevant at inddrage NemID og fremtidige løsninger i projektet.

Mvh. Jakob

sorenduus
Fredag d. 8/6-12 kl. 13:08

Projektet er lige i øjet. Dels kan det hjælpe med at bringe Danmark uyd af det sidespor, som NemID indtil videre har parkeret os i ved at gøre det muligt at samarbejde på tværs af landegrænser, dels er det helt klart en nødvendig forudsætning for en reel implementering af netværksorganisationer bestående af et mix af individere og virksomheder, der samarbejder om specifikke formål, uden nødvendigvis at åbne for deling af alle virksomhedens/deltagernes samlede data. Videreudvikling af Identity Mixer er for mig at se en klar forudsætning for at komme over et kæmpeadministrativt besvær, hvis det tilsvarende skal løses som en rollebaseret autorisationsmodel. Hvis identiteten ydermere kobles til mobilitet, kandet være medvirkende til helt nye typer af IT services. Glimrende projekt.

mvh

Søren Duus Østergaard
lektor eGovernment, IT Universitetet
senior eGovernment advisor