Dersom du trenger garantier for en nett-tjeneste, for eksempel relatert til oppetid, pris, sikkerhet og personvern, er du avhengig av at dette blir spesifisert i en eller annen form for avtale eller kontrakt. Dette blir som regel betegnet som Service Level Agreements (SLAer) på nynorsk, og er spesielt i vinden for nettskytjenester der vi overlater ansvaret for verdifulle data til noen vi egentlig ikke har så mye forhold til (se tidligere innlegg om Ansvarlighet i skyen).
I dag skrives slike avtaler i naturlig språk, altså relativt ustrukturert prosa som kan være åpen for flere tolkninger av rettigheter og vilkår, og som også gjør det vanskelig å sammenligne kontraktstilbud fra ulike leverandører. Ved å benytte seg av et digitalt kontraktspråk med veldefinert innhold kan man forenkle arbeidet med slike avtaler og gjøre det mer overkommelige for lekmenn å forstå hva som egentlig skjuler seg bak paragrafene. En slik overgang vil nok fremdeles ta en del tid, selv om digitale kontrakter langt ifra er noe ny tanke. Det eksisterer allerede mange konkurrerende initiativer, men ingen av dem har klart å innta en ledende posisjon. Vi kan for eksempel nevne SLAng, P3P, RBSLA, Common Policy (RFC 4745), XACML, WS-Agreement, Business Contract Language og LegalXML eContracts som alle har sine ulike styrker og svakheter, men som fremdeles er fint lite brukt i praksis. Standardiseringsorganer som OMG og ETSI jobber aktivt med å få på plass teknologien for å representere digitale kontrakter, men siden dette er et felt i grenseland mellom juss, teknologi og økonomi vil det nok ta en god stund før dette går seg til ordentlig. Likevel er det også velvilje i industrien for å få dette på plass. Det viktigste grunnene til det er nok at tydelighet blir sett på som et konkurransefortrinn i et presset market, samt press fra myndigheter. Det er altså all grunn til å tro at vi får på plass standarder for digitale kontrakter, selv om en del grunnarbeid fremdeles står igjen.
I vår faggruppe fokuserer vi særlig på hvordan sikkerhet skal representeres i slike kontrakter, noe som ofte er oversett i dag. Sammen med blant annet Telenor har vi sett på hvordan dette skal oppnås i praksis, og noen av resultatene kommer nå på trykk i en ledende journal innenfor Cloud Computing [1]. Videre skal vi delta på en sesjon dedikert til tjenestesikkerhet i kontrakter i forbindelse med Cyber Security & Privacy EU Forum 2013, som foregår i Brüssel 18-19 april i år. Ta gjerne kontakt med oss for mer informasjon eller om du har tenkt deg til CSP EU Forum.
- Expressing Cloud Security Requirements for SLAs in Deontic Contract Languages for Cloud Brokers, International Journal of Cloud Computing, Special Issue on Security Governance and SLAs in Cloud Computing, ISSN online: 2043-9997, 2013. Forfattere er Per Håkon Meland, Karin Bernsmed og Martin Gilje Jaatun fra SINTEF ICT, Humberto Nicolás Castejón og Astrid Undheim fra Telenor Research and Future Studies.