Det var vanskelig nok i «gamle dager» å vite hvem du kunne stole på, da du kunne ta folk i hånden og se vedkommende i øynene. Men hvordan skal vi håndtere tillit i digitaliseringens tidsalder?
Hva skal til for å ha tillit til datamaskinen i den andre enden av forbindelsen? Det trengs nye metoder for tillitsstyring i den digitale tidsalderen.
Tool supported methodology for the formalization, analysis and enforcement of policies within trust management (Enforce)
Prosjektleder: Sjefsforsker Ketil Stølen.
Doktorgradsstipendiater og postdoktorer: Tobias Mahler, Institutt for rettsinformatikk, Universitetet i Oslo, Bjørnar Solhaug, Institutt for informasjons- og medievitenskap, Universitetet i Bergen og Atle Refsdal, Sintef IKT
Viktige publiseringer:
Atle Refsdal, Ketil Stølen: Extending UML sequence diagrams to model trust-dependent behaviour with the aim to support risk analysis. Antatt for publikasjon i Science of Computer Programming.
Atle Refsdal, Bjørnar Solhaug, Ketil Stølen: A UML-based method for the development of policies to support trust management. Konferansepublikasjon, 2nd IFIP Conference on Trust Management, 2008.
Tobias Mahler, Jon Bing: Contractual risk management in an ICT context – Searching for a possible interface between legal methods and risk analysis. Scandinavian Studies in Law (ISSN 0085–5944), 2006.
– Vi trenger nye metoder for å analysere og vurdere tillit, sier Ketil Stølen, sjefsforsker ved Sintef IKTs Avdeling for samvirkende og tiltrodde systemer.
Derfor tok han initiativet til et prosjekt hvor det er blitt utviklet en metode for å analysere tillit i forhold til risiko i den digitale tidsalderen.
Det er også utviklet et språk for å dokumentere resultatene av en slik analyse, og språket kan brukes til å lage retningslinjer for håndteringen av digital tillit i organisasjoner.
Forskerne har dessuten vurdert hvordan risiko og tillit skal håndteres i forhold til kontrakter.
– Psykologer og filosofer har studert tillit i mange år, men i dag har vi fått behov for å vite hva det betyr at en datamaskin kan stole på en annen. Etter hvert som ulike datasystemer blir flinkere og flinkere til å samhandle, tar de stadig flere avgjørelser selv.
– Det har skapt et veldig behov for å forstå hvordan vi kan bygge systemer som kan gjøre dette på en sikker måte, sier Stølen.
Tillit er mer enn sikkerhet
– De fleste nettbankløsninger er laget på en veldig sikker måte, men samtidig vet vi at datasystemer aldri blir 100 prosent sikre.
– Derfor vil du sannsynligvis kreve noe mer enn datasikkerhet for å ha tillit til nettbanken, for eksempel i form av lover og regler som sikrer at sparepengene dine ikke blir borte selv om noen hacker seg inn i nettbanken. Eksemplet viser at tillit er et mer generelt begrep enn sikkerhet, sier Stølen.
Databehandleren Stølen inviterte derfor både juristen Jon Bing ved Universitetet i Oslo og filosofen Dag Elgesem ved Universitetet i Bergen med i prosjektet, som veiledere for to doktorgradsstipendiater.
– Eksemplet med nettbanken illustrerer behovet for juridisk kompetanse når vi skal jobbe med digital tillit.
– Filosofikompetansen var også viktig, fordi humanvitenskapene har studert tillitsbegrepet og bygd opp solide kunnskaper lenge før begrepet «tillitsstyring» (trust management) dukket opp i IKT-bransjen i 1996, forteller Stølen.
Validering av sertifikater
Den nye metoden blir nå anvendt i et prosjekt ved Det Norske Veritas (DnV), som er i ferd med å utvikle et dataprogram som skal kunne validere elektroniske sertifikater.
Sjefsforsker Ketil Stølen. (Foto: Sintef)
– Tenk deg at du skal kjøpe noe fra en netthandel i for eksempel Latvia og ønsker å sjekke kvaliteten på det elektroniske sertifikatet som er nødvendig for å gjennomføre handelen.
– Ideen er at man kan sende sertifikatet til DnVs valideringsprogram, som skal kunne avgjøre om sertifikatet er til å stole på. Prosjektet omfatter en stor analyse hvor DnV og Sintef bruker vår metodikk til å sammenlikne to alternative løsninger, forklarer Stølen.
Ketil Stølen påpeker at det alltid er viktig å analysere hvor komplekse dataløsninger som trengs i forhold til det målet som ønskes oppnådd.
– Det vi ser i praksis, er at systemer som gjøres for sikre, med for mye kompleksitet, kan føre til at mange begynner å lete etter måter å omgå systemet på.
Annonse
– Hvis IT-avdelingen for eksempel bytter passord for ofte og krever at de skal være for komplekse, ender det med at brukerne skriver passordet på en lapp, og da blir sikkerheten svekket istedenfor styrket.
– Derfor gjelder det alltid at man må velge rett løsning, med rett kompleksitetsnivå, ut fra den målsetningen man har, sier Stølen.
