Av
Xacml, extensive authorization control markup language, är ett beskrivningsspråk för system för behörighetskontroll. Det hanterar alltså vad användaren tillåts att göra efter att hon har loggat in. Xacml utvecklas inom branschorganisationen Oasis och har kommit i version två - version tre är på gång.
Version tre har så kallad attributbaserad behörighet. Det innebär att användarens rättigheter kan bestämmas av ett antal faktorer som namn, arbetsuppgift, avdelning, tid på dygnet, veckodag, vilken ip-adress hon loggar in från. Den som loggar in hemifrån klockan tre på natten mellan lördag och söndag har kanske inte samma rättigheter som när hon loggar på från sin arbetsplats klockan åtta en vardag.
Nyligen kom en dom mot en anställd i Landstingen i Gävleborg som gjort sig skyldig till intrång i patientjournaler. Den dömda kvinnan var dock inte medveten om att det hon gjorde var ett lagbrott, det enda hon ville åt var adresserna. Detta problem skulle kunna kringgås med bättre behörighetskontroller.
När landstingen inför elektroniska patientjournaler kommer behörighetsdelen att levereras av det lilla Stockholmsföretaget Axiomatics.
Behörigheterna kommer att hanteras i beskrivningsspråket xacml.
– Praktiskt, säger vd:n Babak Sadighi, eftersom det är min kollega Erik Rissanen som är redaktör för xacml-standarden.
Xacml beskriver vad som händer efter att du har loggat in i ett datorsystem. När du visat för datorsystemet att du är du genom att ange namn och lösenord återstår det för datorsystemet att ta reda på vad du får göra. Vilka program får du använda, vilka databaser får du komma åt, vad får du göra med informationen i databasen.
I sjukvården krävs en kombination av sekretess och flexibilitet. Å ena sidan ska informationen i patientjournaler skyddas mot obehöriga. Å andra sidan kan en sjuksköterska i Kiruna behöva komma åt patientjournalen för en patient från Skåne som kommer in medvetslös på akuten.
– Man talar om rollbaserad behörighet, säger Babak Sadighi, alltså att du kan logga in som jourhavande sjuksköterska och då har du de befogenheter som följer med den rollen. Men i xacml version 3 har vi utvidgat det till något som kallas för attributbaserad behörighet.
– Din behörighet kan då styras av många attribut, varav rollen, till exempel jourhavande sjuksköterska, bara är en. Andra attribut kan vara tid på dygnet, veckodag, vilken avdelning du loggar in från, om du loggar in hemifrån eller från jobbet.
Decentraliserad tilldelning av behörigheter är också viktigt, anser Babak Sadighi, så att inte en person behöva hantera alla behörigheter. Det bör göras av någon som känner den anställda som det gäller.
Babak Sadighi har intresserat sig för behörighet i säkerhetssystem sedan han studerade på Imperial College i London. Hans doktorsavhandling handlar om behörighetskontroll. Sedan 1999 forskar han på Swedish Institute of Computer Science, Sics, där han fortfarande har en deltidstjänst samtidigt som han leder Axiomatics.
– Jag tror inte att vi hade kunnat göra detta utan Sics som språngbräda.
På Sics träffade han Erik Rissanen, en annan entusiast för behörighetskontroll. Erik Rissanen är dock inte den som gör något halvhjärtat, utan han skrev in sig på Handelshögskolan i Stockholm och tog examen där för att förbereda sig för företagsvärlden – samtidigt som han forskade heltid på Sics.
Babak Sadighi och Erik Rissanen startade Axiomatics 2006 och företaget har nu åtta anställda.
Den första stora framgångenför Axiomatics är Carelinks upphandling av informationssystem för sjukvården. Logica (före detta WM-data) tog hem upphandlingen, men Logica har gett Axiomatics i uppdrag att leverera systemet för behörighetskontroll.
– Vi går redan med vinst, säger Babak Sadighi nöjt.
När landstingen inför elektroniska patientjournaler kommer behörighetsdelen att levereras av det lilla Stockholmsföretaget Axiomatics.
Behörigheterna kommer att hanteras i beskrivningsspråket xacml.
– Praktiskt, säger vd:n Babak Sadighi, eftersom det är min kollega Erik Rissanen som är redaktör för xacml-standarden.
Xacml beskriver vad som händer efter att du har loggat in i ett datorsystem. När du visat för datorsystemet att du är du genom att ange namn och lösenord återstår det för datorsystemet att ta reda på vad du får göra. Vilka program får du använda, vilka databaser får du komma åt, vad får du göra med informationen i databasen.
I sjukvården krävs en kombination av sekretess och flexibilitet. Å ena sidan ska informationen i patientjournaler skyddas mot obehöriga. Å andra sidan kan en sjuksköterska i Kiruna behöva komma åt patientjournalen för en patient från Skåne som kommer in medvetslös på akuten.
– Man talar om rollbaserad behörighet, säger Babak Sadighi, alltså att du kan logga in som jourhavande sjuksköterska och då har du de befogenheter som följer med den rollen. Men i xacml version 3 har vi utvidgat det till något som kallas för attributbaserad behörighet.
– Din behörighet kan då styras av många attribut, varav rollen, till exempel jourhavande sjuksköterska, bara är en. Andra attribut kan vara tid på dygnet, veckodag, vilken avdelning du loggar in från, om du loggar in hemifrån eller från jobbet.
Decentraliserad tilldelning av behörigheter är också viktigt, anser Babak Sadighi, så att inte en person behöva hantera alla behörigheter. Det bör göras av någon som känner den anställda som det gäller.
Babak Sadighi har intresserat sig för behörighet i säkerhetssystem sedan han studerade på Imperial College i London. Hans doktorsavhandling handlar om behörighetskontroll. Sedan 1999 forskar han på Swedish Institute of Computer Science, Sics, där han fortfarande har en deltidstjänst samtidigt som han leder Axiomatics.
– Jag tror inte att vi hade kunnat göra detta utan Sics som språngbräda.
På Sics träffade han Erik Rissanen, en annan entusiast för behörighetskontroll. Erik Rissanen är dock inte den som gör något halvhjärtat, utan han skrev in sig på Handelshögskolan i Stockholm och tog examen där för att förbereda sig för företagsvärlden – samtidigt som han forskade heltid på Sics.
Babak Sadighi och Erik Rissanen startade Axiomatics 2006 och företaget har nu åtta anställda.
Den första stora framgångenför Axiomatics är Carelinks upphandling av informationssystem för sjukvården. Logica (före detta WM-data) tog hem upphandlingen, men Logica har gett Axiomatics i uppdrag att leverera systemet för behörighetskontroll.
– Vi går redan med vinst, säger Babak Sadighi nöjt.
(
Den här artikeln har 0 kommentarer:
