Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 3. december 2004.
De første brugere af Giritechs teknologi til sikker fjernadgang roser teknologien, men den skal ses i funktion.
Det danske iværsætterfirma Giritech har et stort problem, og det er ikke penge. Problemet er, at teknologien bag firmaets it-sikkerhedsprodukt er svær at forklare.
- Men når man ser teknologien i funktion og ved, hvordan det fungerer, så er det uovertruffent!
Udsagnet lyder som en reklametekst fra en brochure, men det kommer ikke fra Giritech. Bag ordene står it-chef Anders Mohlin fra det svenske advokatfirma Lindahl. Advokatfirmaet er blandt de allerførste brugere af den danske sikkerhedsteknologi.
Forklaringsproblemet gjorde, at Giritech-forhandleren MainConnect måtte argumentere for sin sag i to måneder, før Anders Mohlin åbnede sine døre. Mohlin formodede nemlig, at der blot var tale om endnu en VPN-teknologi (Virtual Private Network), der skaber en sikker kanal for fjernadgang via internettet.
Omend Giritechs teknologi Emcad (Encrypted Multipurpose Content Delivery System) også står for sikker adgang fra hjemmet, hotellet eller et helt tredje sted, så er der en stor forskel. Med Emcad skal der ikke installeres særligt software på "klienten" - på pc'en, hvilket ellers er en forudsætning for VPN. Dertil kommer, at skulle hjemme-pc'en eller den bærbare være inficeret med orm eller spyware, så eliminerer den danske teknologi risikoen for, at smitten føres videre, oplyser Giritechs marketingansvarlige Christopher Lind Arlaud.
Mindsket administration og mindre sikkerhedsrisici udgør ifølge it-chef Anders Mohlin den største fordel ved teknologien.
Giritech-løsningen ser groft skitseret således ud: Den, der skal på internettet, har selv en lille sikkerhedsdims - det er en særlig USB-nøgle. Den stikkes i USB-porten på den pc, der skal bruges. USB-nøglens software kommunikerer med "moderskibet", og det er serversoftwaren fra det danske firma.
USB-nøglens lille program kører selvstændigt, uafhængigt af pc'ens styresystem og browser. Når pc'en er koblet på internettet, ringer USB-nøglens program selv op til "moderskibet", der undersøger om "barnet" er "ægte". Derefter kvitterer moderskibet med at sende en indlognings-side ud til "nøglen", der smækker siden op på pc'ens skærm.
Når moderskibet modtager brugernavn og password retur kontrolleres informationerne mod den "directory", der fortæller, hvem der har ret til adgang og til hvad. (Foreløbig er Giritech-teknologien begrænset til Microsoft Active Directory.) Er alt o.k., gives grønt lys for kommunikation til de områder, hvor den pågældende har ret til at henvende sig til.
For brugeren er det ikke nødvendigt at forstå andet end, at "døren" til systemerne åbnes ved, at man stikker USB-nøglen i pc'ens USB-port. Og når man er færdig, "låser" man døren efter sig ved at trække nøglen ud. Samtidig slettes al registrering om, hvad man har foretaget sig, på pc'en, så uvedkommende ikke efterfølgende kan tjekke det.
Advokatfirmaet sagde farvel til en IPSec (Internet Protocol Security) VPN-løsning.
- Den var ret dyr og krævede meget administrationstid, siger Mohlin.
Emcad-teknologien blev installeret i februar i år, og ifølge Mohlin har den sparet afdelingen for meget arbejde omkring vedligeholdelse af software på hjemmepc'er og på de bærbare. Hvor kun ti advokater på Stockholmskontoret tidligere havde fjernadgang, er det nu 50, og der er overvejelser om at bruge teknologien på flere kontorer.
Korsør Kommune er også blandt pionerbrugerne, og her hilses enkeltheden også velkommen.
- Vi fik flere og flere mobile medarbejdere blandt andet i skatteafdelingen, så vi havde behov for en let administrerbar løsning, fortæller Michael Andersen, it-chef for Korsør Kommune.
Teknologien blev først installeret som et pilotprojekt, og i stedet for at lade de mere it-garvede folk fra de meniges rækker være testpiloter, valgte man nogle relativt højt placerede personer.
- En af disse var kommunaldirektøren, og han blev meget begejstret over, hvor enkelt det var. Kommunaldirektøren arbejder jo på meget skiftende tider, så han har behov for at kunne komme på, hvornår og hvor han end har behov for det, siger Michael Andersen.
Også borgmesteren har en "nøgle", og den brugte han for nylig fra en hotel-pc i USA uden problemer. Pilotprojektet er nu gået over i almindelig drift.
I Korsør trækker Emcad på Windows Terminal Server, men teknologien understøtter også Citrix Mainframe og Lotus Notes. På printsiden er der dog et udestående.
- Printere står jo rundt omkring i folks hjem, på netcafeer, og hvor folk ellers er. Men terminalserveren skal kunne genkende printeren, som udskriften sendes til, så vi skal selv have defineret standarder for, hvilke printere, der understøttes, siger Michael Andersen.
Også i relation til eksterne partnere udgør Emcad-teknologien en fordel. Unisys administrerer kommunens ESDH-servere (Elektronisk Sags- og Dokumenthåndtering) og har derfor også fået nøgler, der giver dem adgang til de involverede servere.
Billedtekst:
besparelser - Teknologien sparer os for megen tid. Vi sparer for eksempel kørsel, for vi skal ikke længere ud på "redningstjenester" hos vores politikere og andre, siger Michael Andersen, it-chef i Korsør Kommune.
Foto: Jens Nielsen
Boks:
EMCAD-teknologien
Emcad (Encrypted Multipurpose Content Delivery System)-teknologien henvender sig til alle typer virksomheder - små som store - og med tiden også til privatbrugerne.
Serversoftwaren, der fylder fem megabyte, installeres på en server bag firmaets firewall eller i DMZ ("Demilitarized Zone" - en slags ingenmandsland) eller direkte på netværket. Serversoftwaren forbindes til de applikationer og databaser, der må bruges via fjernadgang, og til den aktuelle directory, der afgør, hvem der må hvad.
Emcad-baseret adgang vil også kunne tilbydes af telekoncerner, banker og andre, der giver deres kunder sikker adgang til tjenester.
Brugeren skal være i besiddelse af en særlig USB-nøgle, der rummer et program på maksimum en megabyte, et brugernavn og password.
På længere sigt vil nøglen også kunne udgøres af en mobiltelefon eller en hånd-pc med Bluetooth-kommunikation. Desuden kan sensorer og andre elektroniske enheder, der på egen hånd skal kommunikere, få teknologien i sig indlejret i en chip.
Server-softwaren signalerer ikke "her er jeg", som serversoftware typisk gør, og påkalder sig dermed ikke hackernes opmærksomhed. Den afventer signalerne fra USB-nøglen.
Emcad-arbejder bruger som standard AES 256 bit, der også anvendes af det amerikanske militær. De krypterede data sendes over internettet ledsaget af en checksum til kontrol-formål.
