I detta avsnitt sammanställs den datainsamling som har utförts, enligt de kriterier som definierades i metodkapitlet. Datainsamlingen baseras på intervjuer från ett antal respondenter och företag. Den mall för intervjufrågor som har använts beskrivs i en separat Bilaga B - Intervjufrågor.
5.1 Företag och respondenter
Här ges en sammanställning över de företag och respondenter som har intervjuats, tillsammans med bakgrund och kort beskrivning. Några respondenter valde att förbli anonyma. För att skapa ett likvärdigt underlag är därför alla företag och respondenter avidentifierade.
5.1.1 Företag A
Typ av företag Konsultföretag.
Bransch IT-Utveckling.
Antal anställda Ca 1000.
Beskrivning Inriktning Skandinavien.
Respondent A1
Beskrivning Arbetar som systemutvecklare sedan år 2002. Har tidigare arbetat i 3st IT-bolag.
5.1.2 Företag B
Typ av företag Konsultföretag.
Bransch Inbyggd mjukvara och Telekom.
Antal anställda Ca 16000 globalt.
Beskrivning Riktar sig inte direkt mot kund. Agerar som
underleverantör. Neutral (ej tekniksäljande) roll. Arbetar med det som kunden har.
Respondent B1
Beskrivning Senior Engineer, Arkitekt, ej implementering. 30 års erfarenhet.
Erfarenhet av säkerhet
Kontakt med säkerhet i samband med arbete i projekt där säkerhet har varit krav.
Erfarenhet av publish/subscribe system
Ja. Har byggt prototyp för en större
organisation/myndighet för utvärdering av flera andra organisationer. Syftet var att införa löst kopplade tjänster.
5.1.3 Företag C
Typ av företag Konsultföretag.
Bransch Konsulttjänster.
Antal anställda Ca 80000 globalt varav ca 1300 i Sverige.
Beskrivning Är en ledande leverantör av konsult-, teknik- och outsourcing-tjänster. Arbetar i partnerskap med kunder för att utveckla affärsstrategier och tekniker som anpassas efter deras unika behov.
Respondent C1
Beskrivning Managing Security Consultant. Head lead för alla
säkerhetskonsulter i Sverige. Sitter med i Global Security Group som Nordens representant. Driver olika
säkerhetsinitiativ globalt. Bland top 10 i Europa på PCI DSS, CISSP sedan 4 år.
Erfarenhet av säkerhet
10+ år. Drivit stora säkerhetsarkitektursimplementeringar globalt. Arbetat specifikt med PCI DSS i 3 år. Arbetat 5 år med Computer Forensics. Arbetat med Pentest i 3 år.
Specialiserad på säkerhetsarkitektur de sista 4 åren.
Erfarenhet av publish/subscribe system
Konceptuellt kunnig. Har hackat en del av dem.
Intresserad av dem i en SOA struktur.
5.1.4 Företag D
Typ av företag Uppstartsföretag inom datalagring.
Bransch IT. Har sedan tidigare 10 års erfarenhet av finansbranschen.
Antal anställda 2
Beskrivning Tillhandahållande av datainfrastruktur enligt konceptet
”Utility Computing” / ”Cloud Computing” även kallat
”IT på kran”, där kunderna köper dator- och
lagringskapacitet för att på så vis kunna bygga upp en egen serverhall virtuellt i ”moln”. Jämfört med
traditionell IT-drift så innebär detta att kunden minskar sina kostnader för IT-personal, aldrig behöver köpa på sig någon överkapacitet och inom någon sekund kan öka (eller minska) sin datorkapacitet efter behov.
Respondent D1
Beskrivning Systemarkitekt, systemutvecklare och utvecklingschef.
Erfarenhet av säkerhet
Har tidigare arbetet 10 år inom finansbranschen med distribution och handel av börs- och valuta-kurser med stor vikt på informationssäkerhet. Arbetar för närvarande med att certifiera nuvarande verksamhet enligt ISO 27000 (Ledningssystem för informationssäkerhet). Äger ett stort personligt intresse för säkerhet, kryptering och ”hacking”.
Erfarenhet av publish/subscribe system
Har byggt och designat publish/subscribe-system i många år inom tidigare verksamheter. Kommer inom nuvarande verksamhet att designa och implementera ett massivt distribuerat publish/subscribe system inom ett moln för tjänster, både utanför och innanför molnet
5.1.5 Företag E
Typ av företag Finansiell verksamhet.
Bransch Finans.
Antal anställda Ca 200.
Beskrivning Finansiell verksamhet av en institutionell och privatkunds karaktär med inriktning på olika typer av handel med bland annat värdepapper.
Respondent E1
Beskrivning Kommunikations och säkerhetstekniker. Arbetat med nätverk sedan 1992 och säkerhet sedan 1997.
Erfarenhet av
Antal anställda Ca 175000 globalt, varav ca 1000 i Sverige.
Beskrivning Tar gärna helhetslösningar, men är även resurs.
Plattforms och teknikoberoende. Kunden väljer, eller vi utreder vad som passar kunden bäst.
Respondent F1
Beskrivning Jobbat 7 år med utveckling av system i Java och .NET.
Mycket arbete med WEB. Jobbar nu med SOA.
Erfarenhet av säkerhet
Normal till hög nivå för utvecklare.
Erfarenhet av publish/subscribe system
Har varit med i ett kundprojekt då MF använts, just med publish/subscribe.
5.2 Sammanställning av empiri
I en PTMP lösning bildar MF en central punkt. Som flertalet av våra respondenter påtalat så är single point of failure aldrig bra. Dock så har respondenterna också påpekat att även om MF logiskt är en punkt, så kan MF fysiskt bestå av flera servrar i kluster och på andra sätt skapa en redundans. Digital signatur kan användas för att mottagaren skall kunna vara säker på att sändaren är den som den utger sig för att vara. Genom kryptering kan sändare försäkra sig om att endast avsedd mottagare kan läsa meddelandet. Enligt respondent D1 så sitter MF i mitten och kan ha accesskontroll, och därmed så har accesskontroll i praktiken införts. Majoriteten av våra respondenter anser att det sker en ansvarsförändring vid införandet av MF, och att hotbilden ökar när all trafik samlas genom en punkt.
Konsekvensen om denna punkt blir utslagen är också dramatiskt. Samtidigt anser respondenterna att det blir enklare att standardisera och renodla kring en punkt, samt att dimensionera och på andra sätt sätta in skydd. Det framkom att det finns stora arkitekturfördelar med MF, vilket medför att användningen kan öka i framtiden. Respondenterna förespråkar central administration för att det i praktiken blir enklare och säkrare, genom att det blir möjligt att säkerställa att policys och standarder följs. Spårbarheten ökar då det blir möjligt att kontrollera vad som skickas vart och hur. Dock skall MF implementeras så att MF är distribuerad, dvs. att det finns redundans.
Material från intervjuer finns samlat i Bilaga A - Empiri.