5 Sikring og standardisering

Av St. meld. nr. 41 (1998-99) «Om elektronisk handel og forretningsdrift» fremgår det blant annet at:

«Regjeringen har som mål at elektronisk kommunikasjon og bruk av nett som infrastruktur for samhandling skal bli like akseptert, tillitsvekkende og ha samme juridiske holdbarhet som tradisjonell skriftlig kommunikasjon og dokumentasjon».

5.1 Sikring

Utvalget er av den oppfatning at tilstrekkelig sikkerhet/sikring av data benyttet i forbindelse med eHandel er av stor betydning for at man skal kunne ta i bruk internett til sitt fulle potensiale. Spørreundersøkelsen viser også at sikring er ansett som en av de største utfordringene ved eHandel.

Utvalget er videre av den oppfatning at den tekniske utvikling og myndighetenes arbeid med å legge til rette for eHandel, vil løse de fleste av de problemer vi ser i dag. Bruk av internett vil til tross for dette alltid være eksponert for illegale aktiviteter på lik linje med annen virksomhet.

Rådet for IT-sikkerhet gir i rapporten «Digitale signaturer gir tillit til elektronisk kommunikasjon» (30.11.1998) en gjennomgang av det de definerer som de viktigste sikkerhetstjenestene:

Integritet betyr at informasjon ikke blir endret under lagring eller transport. Dersom det er en fare for at skade kan oppstå ved at innholdet av en melding blir endret, vil det være behov for å benytte en integritetstjeneste.

Autentisering skal sikre at en enhet (person/prosess) virkelig er den som vedkommende gir seg ut for å være. I forbindelse med utveksling av elektroniske meldinger vil autentisering innebære å skaffe seg hensiktsmessig sikkerhet for at avsenderen av en melding er den vedkommende gir seg ut for å være og knytte avsenderen til meldingens innhold.

Sporbarhet skal sikre at viktige hendelser i systemet kan spores til ansvarlige personer eller prosesser. Autentiseringstjenester er ofte nødvendig for sporbarhet.

Ikke-benekting er den egenskap at mottakeren av et dokument har sikkerhet for (kan sannsynliggjøre) at den angitte avsender ikke senere kan nekte å ha sendt dokumentet. På samme måte må avsenderen av et dokument sikre seg mot at mottakeren på et senere tidspunkt kan nekte å ha mottatt dokumentet.

Autoriseringskal på sikker måte gi opplysninger om hvilke rettigheter en person har i tilknytning til et IT-system.

Tilgjengelighet skal sikre at informasjon og ressurser er tilgjengelig for brukere som har rettmessig adgang til informasjon når de har behov for det.

Konfidensialiteter den sikkerhetstjenesten som skal sikre at informasjon ikke blir gjort tilgjengelig for uvedkommende. Det betyr at informasjon er beskyttet mot innsyn under transport og lagring.

Realisering av sikkerhetstjenester skjer ved innføring av sikkerhetsmekanismer eller sikkerhetsteknikker som kan være av fysisk, organisatorisk eller logisk (systemteknisk) karakter.

En viktig sikkerhetsmekanisme er elektroniske signaturer. En underskrift sikrer integritet og autentisitet. Skal det være mulig med tilsvarende tillit til elektronisk kommunikasjon, må det finnes brukbare løsninger for elektronisk signatur. En lov om elektroniske signaturer ble fremmet for Stortinget i oktober 2000 og vedtatt i Lagtinget den 18.12.2000 (NOU 2001:10).

En annen viktig sikkerhetsmekanisme er kryptering. Når man krypterer en tekst, ønsker avsender å sikre at bare den rette mottakeren skal kunne lese dokumentet. Avsenderen kan kryptere teksten med mottakerens offentlige nøkkel. Den er tilgjengelig for alle slik at mange kan sende hemmelige meldinger til mottakeren. Men bare mottakeren har den tilsvarende private nøkkelen som gir mulighet til å «låse opp» dokumentet og få se innholdet.

5.2 Standardisering

5.2.1 Standardisering av dataformater

Elektronisk utveksling av informasjon mellom organisasjoner krever at avsender og mottaker bruker et sett avtalte meldinger og koder. Slik informasjonsutveksling omtales gjerne som EDI (Electronic Data Interchange)

EDIfact er et eksempel på en standard for slik informasjonsutveksling. Mange av dagens eHandelsløsninger benytter denne standarden. Utbredelsen har ikke gått så fort som først antatt, først og fremst fordi det har vist seg kostnadskrevende og fordi det krever bilaterale avtaler mellom hver enkelt kunde og leverandør.

Utbredelsen av internett og «world wide web» har gjort at mye av oppmerksomheten nå er knyttet til XML (eXtended Markup Language) som basis for elektronisk informasjons- og applikasjonsutvikling. De nettsidene vi ser på internett er tilrettelagt ved å bruke et standard språk HTML. XML er en videreutvikling av HTML. Disse teknologiene er omtalt nærmere i vedlegg 2.

Biztalk og cXML er eksempler på standardiseringsinitiativer basert på XML, tilrettelagt for eHandel. Ved å bruke en slik standard kan ulike typer data, som bestillinger, fakturaer, bankoverføringer, tekstdokumenter, regneark osv., utveksles mellom program uavhengig av hvilke operativsystem, programmeringsspråk og programmer som benyttes. De ulike programvareleverandørene kjemper om å få etablert sin løsning som standard i markedet. Standardisering av dataformater gjør at aktørene ikke behøver å etablere en-til-en-relasjoner (jf. figur 5.1).

5.2.2 Standardisering av produktkoder

Handelstransaksjoner innenfor olje- og gassindustrien er gjerne knyttet til behov for reservedeler eller tekniske innretninger som er mer komplekse å beskrive enn CDer, bøker, kulepenner og lignende. Kodifisering av disse produktene er en utfordring. I tillegg til forskjellige kodifiseringer/standarder mellom forskjellige bedrifter er et produkt ofte også ulikt beskrevet internt i den enkelte bedrift, for eksempel ved at ingeniørmiljøene bruker en type kodifisering mens innkjøpsmiljøene bruker en annen.

Når en bestiller en komponent identifisert med et partnummer/artikkelnummer via en eHandelsløsning, må identifikasjonen i tillegg kunne forstås av leverandørens system. Hvis ikke blir bestillingen «avvist» og alternative metoder som telefon/faks osv. må iverksettes.

Kjøperne er også opptatt av at produktkataloger skal kunne brukes uavhengig av hvilket innkjøpssystem en har og at produkter kan sammenlignes på tvers av leverandører. Leverandørene er opptatt av at de kan distribuere en og samme produktkatalog på flere markedsplasser uten å måtte beskrive og kode produktene på ny.

Det ligger store utfordringer og kostnader knyttet til å få ryddet i eksisterende data hos de ulike aktørene. Sannsynligheten for at dette vil kunne løses forskjellig hos de enkelte aktører er høy med mindre det kan etableres et felles rammeverk. En annen innfallsvinkel til problemstillingen presenteres av tjenesteleverandører som spesialiserer seg på å hjelpe bedrifter til å leve med ulike kodifiseringer. En slik tjeneste kan være å automatisk oversette mellom ulike produktkoder eller standarder.

Formater for beskrivelse av produktkoder varierer mellom bedrifter, mellom land og mellom bransjer. To av de mest relevante nasjonale og internasjonale standardiseringsinitiativene innenfor olje- og gassektoren er:

En standard gir ikke noen effekt før den tas i bruk. Det er derfor knyttet stor interesse til hvilke standarder markedsplassene velger å benytte. Innen olje- og gassindustrien er det etablert tre store B2B-markedsplasser, Trade-Ranger, PetroCosm og OFS Portal. Disse tre markedsplassene samarbeider om standardisering av produktspesifikasjonen gjennom en organisasjon som kalles Process Industry Data Exchange (PIDEX). PIDEX er knyttet til American Petroleum Institute (API) ved at utleid personell fra API utgjør hele den faste organisasjonen i PIDEX.

Selve standardiseringsarbeidet tar utgangspunkt i FN-standarden UNSPSC som opprinnelig ble utviklet for helsesektoren. Standarden er svært mangelfull innen petroleumsindustrien og det er her PIDEX kommer inn med sin klassifisering. I tillegg til de fem nivåene som brukes i UNSPSC, har PIDEX utviklet ytterligere nivåer for å definere produktene som brukes i industrien. UNSPSC standarden oppdateres med denne informasjonen relativt hyppig. Dette arbeidet er planlagt avsluttet i løpet av februar måned 2001. Etter den tid vil man primært benytte/tilpasse direkte den informasjonen som kommer fra leverandørene.

5.2.3 Andre løsninger

Produktdata er kjernen i enhver handel på internett. Fra web-butikkene som presenterer en enkel katalog man kan handle fra, til de store markedsplassene med prissammenligning og utveksling av katalog informasjon med ERP system og andre markedsplasser.

I dette bildet har det dukket opp leverandører som tilbyr tjenester som kvalitetssikring av kataloginformasjonen og kobling av denne type informasjon mellom handelspartene. Som leverandører av katalogtjenester finner vi bl.a. selskap som Requisite ( www.requisite.com) og i2 Technologies ( www.i2.com). I Norge er det to selskap som tilbyr lignende løsninger: Vendor og Tektonisk.

Vendor ( www.decodingtheworld.com) lager en database med koblinger mellom de enkelte kunder/leverandørers produktinformasjon. Som figur 5.2 viser kan samme produkt beskrives på mange forskjellige måter og informasjonen kan legges i forskjellige felt.

Kunden kan bestille fra sitt ERP-system basert på egne varenummer og beskrivelser, bestillingen går via Vendors portal som oversetter (mapper) til leverandørs koder før bestillingen sendes videre.

En annen norsk aktør som tilbyr verktøy og kompetanse rundt katalogproblematikk er Tektonisk ( www.tektonisk.no). Tektonisk har bygget opp en felles utstyrskatalog ShareCat ( www.sharecat.com) for olje- og gassindustrien på norsk sokkel. Katalogen inneholder klassifisert informasjon og dokumentasjon fra over 500 produsenter, som tilfredsstiller krav for hele livssyklusen til utstyret samt standarder som eksempelvis NORSOK og POSC/Caesar.

5.3 Standardisering innen bransjen

Norsk petroleumsindustri har vist evne til å samarbeide om felles standarder. I 1994 utviklet industrien i underkant av 90 bransjestandarder (NORSOK). Disse erstattet flere hundre standarder i hvert av de norske selskapene. Intensjonen var at innholdet i NORSOK-standardene etter hvert skulle overføres til ISO-standarder og dermed bidra til nødvendig internasjonalisering av teknologi og arbeidsmetoder. Flere av NORSOK-standardene beskrev hvordan anleggsinformasjonen skulle utveksles mellom aktørene i utviklingsprosjekter og i drift. NORSOKs arbeidsgruppe for informasjonsteknologi og dokumentasjon, anbefalte utvikling av løsninger som sikret informasjonsdeling mellom aktørene i industrien. Dette ville gi størst kostnadsreduksjon.

Norsk petroleumsindustri har også vist stor evne til å samarbeide om felles løsninger for informasjonsdeling. Tidlig på 90-tallet startet arbeidet med å utvikle en nasjonal database for undergrunnsinformasjon fra norsk sokkel (DISKOS) basert på industristandarden POSC. I nært samarbeid med de fleste andelseierne på norsk sokkel, har OD ledet arbeidet i DISKOS og det er nå bygget opp en seismikk-, loggdata- og produksjonsdatabase som er unik i global sammenheng. Denne felles løsningen er meget kostnadseffektiv for industrien.

Pålitelighetsinformasjon er et annet område hvor industrien har samarbeidet om å utvikle en internasjonal standard og bygge opp en felles database (Oreda) som har fått betydelig internasjonal oppmerksomhet.

LicenseWeb er en nylig etablert felles industriløsning for kommunikasjon og publisering av lisensinformasjon. Denne løsningen er koblet opp mot industriens eget ekstranett (SOIL). SOIL er en lukket nettverksløsning basert på standard internetteknologi med høy kapasitet og garantert sikkerhetsnivå. Alle de store aktørene i norsk offshoreindustri er i dag medlemmer av SOIL. Fram til nå har SOIL primært bidratt til å redusere medlemmenes totale telekommunikasjonskostnader, men prosessen med å etablere og bruke informasjonshoteller på SOIL er i ferd med å få økende betydning.

Operatøren av SOIL tilbyr nå en katalogtjeneste som inneholder navn, telefonnummer og ePostadresse til de ansatte i medlemsbedriftene. Denne informasjonen er tilgjengelig for alle brukerne. Statoil og Norsk Hydro har tatt i bruk personelltransportsystemet DaWinci for all transport av personell til rigger og plattformer.

OLF har i dag tre arbeidsgrupper som arbeider med å utvikle funksjonsspesifikasjoner for ytterligere tre system som skal etableres på SOIL. Disse vil bidra til økt og mer effektivt samarbeid mellom aktørene i norsk offshore-industri. SOIL har også samkjøringsavtaler med ekstranett i Nordsjøen og i Storbritannia. Disse har igjen avtaler med andre nettverksløsninger slik at en i prinsippet kan nå hele verden fra SOIL.

I forhold til standardisering av produktkoder er det initiativ på gang både fra kommersielle selskap og fra ikke-profittbaserte standardiseringsorganisasjoner.

Tektonisk arbeider utfra et kommersielt perspektiv for å få etablert en felles utstyrskatalog for den samlede norske olje og gass industri med operatører, kontraktører og produsenter/leverandører. En slik katalog er ment å kunne danne grunnlaget for en rekke former for samhandling mellom alle aktørene i leveransekjeden, samt å kunne bidra til økte internasjonale muligheter spesielt for leverandør-/produsentdelen av olje- gassindustrien. En felles utstyrskatalog for norsk olje- og gassindustri er ikke ment å konkurrere med eHandelsinitiativer som Trader-Ranger og andre, men være et supplement og en kilde for informasjon som skal benyttes av de enkelte handelsplasser. På denne måten kan industrien posisjonere seg mer effektivt i forhold til de markedsplasser som vil bli en suksess og unngå å binde seg for tett til de som ikke blir noen suksess.

POSC/Caesar arbeider med å få felles standarder i de verktøy og kataloger som markedsplasser og innholdsleverandører innen industrien benytter. POSC/Caesar har gjennom dialog med Trade-Ranger, PIDEX og PIEBASE fått tilgang til noe av klassifiseringsarbeidet som er gjort (se delkapittel 5.2.1). Foreløpige analyser viser at det er mulig å etablere relasjoner mellom POSC Caesar-standarden og den utvidede standarden til UNSPSC.

Utvalget er av den oppfatning at det skjer mye positivt samarbeid både internasjonalt og nasjonalt for å fremme standardisering. I tillegg viser den teknologiske utvikling at det framover kan anses som mulig å redusere standardiseringsutfordringen ytterligere. Utvalget finner det ikke nødvendig med ekstraordinære særnorske tiltak fra det offentlige for å fremme dette arbeidet, men at man fortsatt skal støtte det etablerte internasjonale standardiseringsarbeid.