Referat fra møtet i Standardiseringsrådet september 2011

Transkript

1 Referat fra møtet i Standardiseringsrådet september 2011 Tid: 14. september 2011, kl Sted: Grev Wedelsplass 9 Møteleder: Olaf Østensen, Statens kartverk Referent: Standardiseringssekretariatet (Difi) Tilstede: Olaf Østensen, Statens kartverk (leder av Standardiseringsrådet) Morten Brekk, Brønnøysundregistrene Per Kjetil Grotnes, Oslo kommune Knut Lindelien, Standard Norge Line Richardsen, KS (fra lunsj) Bent Vangli, Riksarkivet Stig Hornnes, FAD Trygve Falch, SSB Rune Kjørlaug, Difi Steinar Carlsen, Bergen kommune Terje André Olsen, NAV Martin Hauge, Møre og Romsdal fylkeskommune Camilla Roark, SKD Thomas Rosenlund, Kith Kristian Bergem, Difi Marit Grønntun, Difi Endre Grøtnes, Difi Raja Mehran, Difi Helge Bang, Difi Steinar Skagemo, Difi Forfall: Håkon Styri, Post- og teletilsynet Johan Skutle, Justisdepartementet Arild Haraldsen, NorStella Agenda 1. Godkjenning agenda (beslutningssak) 2. Forslag til prioritering av standarder for åpne data (beslutningssak) 3. Standarder for språkkoder (Beslutningssak) 4. Forprosjekt rapport om standardisering av krypto (beslutningssak) 5. Arbeidet i sekretariatet (informasjonssak) 6. Deltakere i rådet (Diskusjonssak) 7. Nasjonal strategi for metadata (diskusjonssak) 1

2 1 Godkjenning av agenda (Beslutningssak) Agenda ble godkjent uten merknader. Ingen innspill til eventuelt. 2 Forslag til prioritering av standarder for åpne data (beslutningssak) Steinar Skagemo presenterte forslaget. Det foreslås å utrede standarder innenfor et nytt anvendelsesområde, «Publisering av åpne data». Innenfor anvendelsesområdet kan det standardiseres på bl.a. protokoller, formater, struktur og metadata. Tema engasjerte og det ble en lengre debatt. 2.1 Metadata Det ble fremhevet at det å legge ut metadata sammen med dataene gir bedre og mer presis bruk av dataene, og dermed gir grunnlag for god kvalitet på viderebruk. Dårlig viderebruk kan gi offentlig sektor et dårlig rykte selv om vi tar forbehold ved tilgjengeliggjøringen av dataene. Det ble også sagt at enkelte fagområder krever at metadata skal være på plass for og i det hele tatt godkjenne tilgjengeliggjøring. Geodataloven stiller krav om at det skal etableres metadata for alle dataene, og strukturen for disse er gitt i lov. Det skal lages web baserte tjenester som tilgjengeliggjør data og metadata iht. standardene. Disse tjenestene skal også ha metadata iht. gitte standarder. 2.2 Hvilke data skal publiseres eller hvordan? Mange var opptatt av hva slags type data som skal tilgjengeliggjøres i henhold til kravet i rundskriv P5/2010. Etatene får mange forespørsler og det ble hevdet at ikke alle åpne data er like godt egnet for fri distribusjon. Åpne data er derimot åpne og skal kunne brukes av de som ber om det og ønsker det. Det er da viktig at vi gjør vårt beste for at dette kan gjøres på en så god måte som mulig, for å unngå feil bruk og missforståelser. Enkelte rådsmedlemmer mente at det viktigste er å få på plass en standard, som beskriver hvilke typer data som bør tilgjengeliggjøres. Andre mente at dette måtte være opp til virksomheten og eventuelle interessenter å vurdere. Det ble fremhevet at Etatene skal gjøre egnede og eksisterende rådata tilgjengelige i maskinlesbare formater. Dette gjelder informasjon som har samfunnsmessig verdi, som kan viderebrukes, som ikke er taushetsbelagte og der kostnadene ved tilgjengeliggjøring antas å være beskjedne. 1 I tillegg skal etatene ved innsending av satsingsforslag fylle ut et selvdeklarasjonsskjema hvor de blant annet skal spesifisere hvilke data som er aktuelle å tilgjengeliggjøre i forbindelse med prosjektet. Det er ingen umiddelbare planer fra FAD sin side om å komme med nye sterkere krav på området. Det ble konkludert med at uenigheten på dette punktet kunne beskrives nærmere og tas ned i et mandat for arbeidet. 1 P5/2010, se: html?id=

3 Det ble også diskutert hva som er rådata, hva som er foredlede data og hva som skal tilgjengeliggjøres. Er det for eksempel de direkte dataene fra ekkoloddet som skal legges ut eller er det sjøkartene. Det er avhengig av hva man har mulighet til å legge ut enkelt og hva de der ute ser mulighet til å bygge verdiøkende tjenester på eller drive forskning på. Noen påpekte at hvordan tilgjengeliggjøring skal skje må være avhengig av type data og bruken av dem. Derfor er det viktigste å få på plass klare retningslinjer for hva som skal tilgjengeliggjøres og kartlegge hvilke data det utgjør. Andre fremmet at hele meningen med å tilgjengeliggjøre data er at etaten på forhånd ikke vet hvilke data man kan benytte og hvordan dataene eventuelt vil bli benyttet. Det må derimot være mulig å tilgjengeliggjøre data på ulike måter etter avtale på bakgrunn av ønsket bruk. Hovedpoenget er en generell kulturendring der fokus er tilgjengeliggjøring av alle mulige data. Det er ikke need to know som skal stå i fokus, men hvilken informasjon jeg kan tilgjengeliggjøre for at andre kan fatte riktige beslutninger på en mer effektiv og informert måte eller levere verdiøkende tjenester. På noen områder er det forsterkede krav til tilgjengeliggjøring gjennom lovverk. Geodataloven gir delingsplikt på alle geografiske data. Det ble tatt opp at det er viktig at vi legger ut helhetlig informasjon og ikke små brokker som kan gi et feil inntrykk av virkeligheten. Får de som skal benytte dataene et helhetlig bilde blir det også lettere å lage gode verdiøkende tjenester. 2.3 Bruksbetingelser (lisens/forhåndsavtale) Det må også tilgjengeliggjøres metadata, som beskriver hvilke betingelser som ligger til grunn for tilgang og bruk av dataene. Det ble presisert at det er fri tilgjengeliggjøring av data, selv om det kreves en avtale for å få tilgangen, så lenge muligheten til å inngå avtale skjer på en ikkediskriminerende måte. Dette kan for eksempel være viktig for å sikre skalering og tilfredsstillende oppetider på de data som er tilgjengeliggjort. Viktig at man legger opp tilgangen til data på en måte som ikke bruker opp den kapasiteten etaten har på sine løsninger. Dette er lettere å løse hvis det er krav til å inngå avtale før data kan brukes. Men her kan det også tas inn veiledning for å redusere de tekniske utfordringene som kan oppstå hvis et datasett blir veldig populært. Eksempler på virkemidler kan være krav om å sjekke om det er endringer før hele datasett lastes ned, krav til inkrementelle oppdateringer, krav til å «cache» data en viss tid før nye spørringer etc. 2.4 Argumenter for standardisering NAV har mange data som kan tilgjengeliggjøres, men få av disse er enkelt å tilgjengeliggjøre uten store hindringer. Gode standarder for hvordan dette skal gjøres vil gjøre det enklere å tilgjengeliggjøre dataene for offentlige virksomheter, og i tillegg vil det være en stor fordel for de som skal viderebruke dataene, både fordi det forenkler tilgangen til dataene og fordi dataene blir tilgjengeliggjort på lik måte fra de ulike virksomhetene. 3

4 Best praksis på hvordan man kan tilgjengeliggjøre data kunne vært nyttig. For eksempel kan man se på hvordan drevne datatilbydere som metrologisk institutt løser dette i forbindelse med yr.no. 2.5 Prioritering Den videre diskusjonen gikk på hvor høyt arbeidet burde prioriteres. Det var enighet om at det er viktig å prioritere utredninger på områder som er aktuelle og viktige her og nå. Rådsmedlemmene oppfatter dette til å være et slikt område. Det å velge slike aktuelle områder gjør at rådets arbeid får den betydningen for god samhandling som var ment fra starten av. I tillegg kan det å peke på dagsaktuelle tema bidra til bedre kunnskap ute i forvaltningen om andre anbefalte og obligatoriske standarder som er viktige for samhandlingen i offentlig sektor, men som ikke er like dagsaktuelt og derfor mindre kjent. Det ble kommentert at det var viktig å bli enig om standarder i fellesskap gjennom den åpne prosessen vi har i Standardiseringsrådet. På den måten kan data.norge.no få gode føringer, som tilfredsstiller datatilbydernes og viderebrukernes behov. Det er viktig at de rundt oss ser verdien i standardiseringsarbeidet. Når noen da faktisk ser muligheten til bruke standarder på en positiv måte for å oppnå bedre samhandling er det viktig at rådet og Difi agerer og møter behovene. Det forespørres om hvordan man skal tilgjengeliggjøre data og per dato har vi ikke klare nok svar. Derfor bør dette prioriteres. Det var enighet om at arbeidet burde prioriteres, men at vi må få på plass et mandat som klargjør, fokuserer og detaljerer hva som skal gjøres. 2.6 Beslutning Difi går videre med arbeidet og avholder en workshop for å finne frem til hvilke behov standardiseringen bør dekke, og legger deretter frem et mandat for en utredningen, som fremlegges rådet for kommentarer. Mandatet bør ta opp innspillene som har kommet i diskusjonen i dette møtet. Både i workshop og i en referansegruppe for utredningen bør det være representanter for de som bruker dataene i tillegg til de som skal publisere. 3 Standarder for språkkoder (Beslutningssak) Marit Grønntun presenterte utredningen om bruk av standarder for koding av språk på offentlige nettsider, samt tre ulike kommentarer som har kommet inn i høringsperioden. Marit forklarte at utredningen konkluderer med at ISO 639 bør gjøres til en anbefalt forvaltningsstandard og at denne brukes på en hierarkisk måte, slik det også er beskrevet i best praksis dokumentet til IETF, RFC5646. Språkkoder engasjerte og det ble en god diskusjon i rådet på området. Noen mente at vi ikke burde bruke standarden hierarkisk, men at vi bare burde bruke 3 bokstavkoder i alle 4

5 sammenhenger, slik at det ble spesifikt hver gang, og at man slapp å gjøre tilpasninger avhengig av hva som brukes. Flere andre mente at man burde bruke standarden på en hierarkisk måte. Dette fordi man ønsker å ta høyde for eldre løsninger som allerede er implementert, fordi det er den gjeldende beste praksis på tvers av landegrenser og fordi standarden er under revisjon og det ser ut til at standarden i neste versjon vil få et supersett som inneholder alle de ulike delene i et sett. I noen av kommentarene som kom inn i høringen ble det presisert at det er flere anvendelsesområder for språkkoder, og på andre områder kan det hende at man ønsker en annen type bruk av språkkodene. Det ble diskutert om andre områder burde vært prioritert utredet. Det ble derimot ikke beskrevet et konkret område som burde foreslås prioritert, men det vil være opp til de som eventuelt ønsker å spille inn nye forslag. Det ble deretter presisert betydningen av at det er mulig og at man bør kode de ulike delene av et dokument/ nettside med ulike språkkoder dersom siden er skrevet med flere språk. I tillegg ble det fremhevet at foreslått anbefaling også er en viktig del av å tilfredsstille kravene i WCAG 2.0, som nå har blitt en anbefalt standard i referansekatalogen v3.0 Det ble spilt inn at Difi burde ha en dialog med språkrådet på området, og høre hva de tenker rundt dette. Det ble et spørsmål rundt hvordan man praktisk kan understøtte alle disse tegnene med de begrensinger man har i dagens tastatur. Kartverket forklarte hvordan de har laget et eget skjermtastatur som kommer opp, slik at man kan velge ytterligere tegn. Denne løsningen er mest sannsynlig åpen for gjenbruk. 3.1 Konklusjon Standardiseringsrådet stiller seg bak konklusjonen i utredningen, og vil råde Difi til å gjøre ISO 639 til en anbefalt standard for koding av språk i offentlige nettsider. Bruken skal være basert på en hierarkisk tilnærming, der du benytter koder med to bokstaver om mulig og deretter går videre til tre bokstavers koder ved behov. 4 Forprosjekt rapport om standardisering av krypto (beslutningssak) Mehran Raja presenterte utredningen og dens konklusjoner, samt kommentaren på saken som har kommet inn fra NSM. Det ble kommentert at rapporten ikke sier noe om hvor raskt en slik veileder kan utvikles og forankres. Det ble spilt inn at miljøet man peker på burde være bredere. Det er mange andre miljø som også har kompetanse på området i Norge. Det ble blant annet vist til Høgskolen på Gjøvik, Norsk Tipping miljøet, Selmer senteret ved Universitetet i Bergen. Men også aktører fra privat sektor kan være aktuelt å trekke inn i arbeidet, her kan blant annet banker og enkelte konsulentmiljøer være aktuelle. Accenture for eksempel skal ha kompetanse på området på 5

6 bakgrunn av arbeid utført mot helsesektoren. Rådet var enig i at man bør se på hvordan en slik veileder burde forankres enda bredere enn det som foreløpig er skissert i rapporten. Det er viktig at dette miljøet er knyttet til ISO, BSI, og andre organisasjoner som sender ut melding umiddelbart når en krypteringsalgoritme blir kompromittert. Standard Norge har et bredt kontaktnett på krypto-området og vil spille inn aktuelle miljøer til Difi. Det ble en diskusjon om avgrensning av en slik veileder. Skal den bare gjelde krypto til bruk i elektronisk kommunikasjon eller også bredere. Det ble da presisert at hver etat selv har ansvar for sine løsninger og den elektroniske kommunikasjonen de bedriver. I tillegg til at etaten selv må vurdere risikoen for at de kan bli påført forretningsmessige skader, må virksomhetene også vurdere om informasjonen som behandles er sensitiv eller ikke (gjelder bare ugradert informasjon). Veilederen skal derfor kun gi innsikt i kryptoalgoritmer med anbefalte nøkkellengder som skal brukes hvis det er identifisert behov for skjerming av informasjon gjennom en risikovurdering, samt tilliggende metoder som nøkkelutvekslingsprotokoller og lignende. Veilederen skal derfor ikke si hvilket nivå man bør legge seg på, men beskrive hvilken sikkerhet ulike algoritmer og nøkkellengder gir, slik at etaten selv kan velge egnet nivå. I tillegg skal veilederen bidra til å normere bruken av krypto i offentlig sektor. Vurdering av nivået på de krypteringsmekanismer man velger å ta i bruk er avhengig av en helhetsvurdering av ulike sårbarheter virksomheten står overfor. Det er ikke nødvendigvis noe poeng i å benytte et høyt krypteringsnivå, hvis det finnes andre sårbarheter som enkelt kan utnyttes. Slike sårbarheter kan for eksempel være dårlige rutiner ved nøkkeldistribusjon. 4.1 Konklusjon Standardiseringsrådet støtter anbefalingen om å be NSM utvikle og forvalte en veileder som gjør det enkelt å forholde seg til et område, hvor det ellers er altfor mye informasjon tilgjengelig på et til dels avansert nivå. Rådet la derimot vekt på at flere miljøer måtte trekes inn i arbeidet og at Difi også må være del av dette. Rådet sluttet seg ikke til NSM sin oppfordring om å legge utredningen av kryptoprotokoller til samme dokument. Når det gjelder oversikt over sikkerheten i krypteringsalgoritmer, ulike nøkkellengder og protokoller for nøkkelutveksling er dette sterkt knyttet til kompetanse på kryptografi, som NSM besitter. Når det gjelder protokoller for bruk av eid, som TLS, IPSEC, S/MIME, PADES, XADES, PKCS#7, etc. så er valg av slike protokoller avhengig av brukerbehov og dermed nærmere Difi sitt fagområde. Det anbefales at NSM også er med og utarbeider utredninger på dette området, men at Difi leder dette arbeidet. 5 Arbeidet i sekretariatet (informasjonssak) Kristian Bergem informerte om det arbeidet Difi sin faggruppe for standardisering og interoperabilitet bedriver. Rådet ser at det er mange oppgaver, kanskje for mange og at det krever en stadig sterkere prioritering på hvilke områder som skal prioriteres utredet. 6

7 6 Deltakere i rådet (Diskusjonssak) Helge Bang presenterte et diskusjonsgrunnlag, der han la frem hvilke sektorer som kunne vært bedre representert i rådet og potensielle offentlige virksomheter i de ulike sektorene. Rådet kommenterte og diskuterte hvilke sektorer og offentlige virksomheter de mente ville bidra mest positivt i forhold til å skape et råd som kan representere offentlig sektors behov på en enda bedre måte, bidra med kompetanse og erfaring på de områder der det er størst behov for standarder og på den måten komplettere rådet ytterligere. 7 Nasjonal strategi for metadata (diskusjonssak) Steinar Skagemo presenterte utkastet til Nasjonal strategi for metadata, som Difi har oversendte FAD før sommeren, se egne foiler. Tema fenget rådet og det var mange engasjerte innlegg. Rådet var enig i at dette er et viktig område som bør prioriteres. Flere gikk så langt som å si at det er tvingende nødvendig å få på plass fellesføringer på dette området for å skape et godt grunnlag for elektronisk samhandling. Rådsmedlemmene mente at vi har mye å lære av hverandre og at det er gjort mye arbeid på ulikt nivå som man kan ta utgangspunkt i, for å finne felles måter å løse ting på. Det er også enighet om at ikke nødvendigvis alt trenger å være likt i alle etater. Rådet var opptatt av å kunne vise både den økonomiske og den kvalitative nytten av metadataarbeid, noe som foreløpig har vist seg vanskelig i mange virksomheter. Ledelsen i offentlige virksomheter og Finansdepartementet må få forklart hvilken nytte slikt arbeid kan gi på et språk de forstår, slik at det kan settes av midler til å gjennomføre koordineringstiltak på området. Et forslag til hvordan man kan synliggjøre verdien av metadata er å se på konsekvensen/kostnaden når noe går galt som følge av mangelen på gode metadata, og mangelen på gjenbruk av eksisterende definisjoner. Et mulig eksempel på det siste kan være arealmåling av boliger. Med en annen definisjon av areal kunne data om areal fra eiendomsregisteret vært gjenbrukt, fremfor at alle måtte måle opp selv. Viktig å få i gang forankringsprosesser, der dette blir kommunisert på en god måte til ledelsen. Forankringsprosesser sentralt vil foregå ved at Difi og Brreg tar det opp i Skate, men det er viktig at hver etat også jobber for at egen ledelse skal forstå betydningen av dette når de stiller i sentrale fora og når etatens satsinger beskrives i forbindelse med for eksempel satsingsforslag. 7