Løsningen gjør at brukeren kan sette seg ved en hvilken som helst PC med moderne nettleser og Internett-aksess, taste inn en sikker nettadresse (begynner med "https" for "http secure") på nettleserens adresselinje, og logge seg på med et engangspassord fra en PIN-kodebeskyttet DigiPass-passordkalkulator.
Det gir tilgang til en Citrix-basert personlig arbeidsflate, med alt bedriften gir brukeren av IT-verktøy, over en 128 biters kryptert forbindelse. Ved avlogging finnes det ikke noe spor på den lokale PC-en om hva som er gjort. Også videre internettsurfing kan skje ved å åpne en ny nettleser i https-vinduet som har nøyaktig de samme egenskapene som en Windows-skjerm, med startknapp og det hele.
Det er ikke bare reisende som har glede av dette, heller ikke brukere i moderne miljøer uten faste arbeidsplasser. Mobilitet er en viktig gevinst, men behøver ikke være hovedmotivet for å velge denne løsningen.
_logo.svg.png){kind=logo}
- Det dreier seg om å gjøre driften rimeligere og mer pålitelig, styrke den helhetlige sikkerheten, og samtidig holde seg til utstyr som er enkelt å forstå og bruke for alle, forklarer Hans Peter Østrem, en av ekspertene i Eterra som har arbeidet med løsningen.
Eterra har gjort seg selv til forsøkskanin.
- Vi bruker det selv internt. Vi har redusert servertallet fra 130 til 40, redusert driftsutgiftene til det halve, og samtidig forbedret tilbudet til brukerne. Investeringen på 15 millioner kroner vil være tjent inn på 13,5 måneder.
Østrem sier at Eterra tilbyr systemet til kunder, som egendriftet installasjon, som fjerndriftet installasjon, eller på utleiebasis, der kunden nøyer seg med klienter og kjører alt på Eterras servere.
Et viktig poeng med løsningen er at brukeren bestandig får opp arbeidsflaten nøyaktig slik den var da ved siste avlogging. Et annet er at den gir fleksibilitet i valg av klienter, slik at superbrukere kan ta seg store friheter til personlig tilrettelegging av sin spesielle PC.
- Siden alle de sentrale systemene er sikret, kan brukere utstyres med PC-er som passer til deres ønsker og arbeidssituasjon. Utviklere kan trygt eksperimentere med nye verktøy og løsninger på sin klient, og laste ned for eksempel betaløsninger til test, fordi de aldri risikerer å gjøre skade på de sentrale innstillingene.
De som føler at de arbeider best med øretelefoner og musikk, står fritt til å installere hvilken som helst spiller lokalt. Løsningen åpner for sterkere privat tilrettelegging av klienten, samtidig som det trekkes et skarpere skille mellom det private og det felles.
For slike, har Eterra lagt inn spesielle finesser.
- Generelt sett er det ikke nødvendig med lokale data. Vi har likevel valgt og testet en diskkrypterer som passer inn i vårt konsept. Bærbare PC-er utstyres med sikkerhetsprogramvare fra Symantec, med Norton brannmur, antivirus, snokvarsling og automatisk selvoppdatering.
Personlig PC åpner for misbruk, for eksempel lokal lagring eller lokal utskrift av ømfindtlige dokumenter.
- Hver brukers rettigheter styres av en sentral katalog. Der kan man legge begrensninger på lokal lagring og lokal utskrift, og også på muligheten for klipping og liming mellom https-vinduet og ubeskyttede vinduer.
Forutsetningen for bruk av personlig tilrettelagt PC, er at det ikke gis support. Får man uoverstigelige problemer pålegges man et sentralt tilrettelagt "image". Da skal det ikke ta mer enn ti minutter før man har tilbake sin personlige sentralt tillatte arbeidsflate.
- Dette har gitt en vesentlig reduksjon i fikleproblemer.
Et interessant stykke utstyr som Eterra har funnet fram til, er en alarm for bærbare PC-er.
- Vi fant et opplegg fra Targus der alarmen bygges inn i den bærbare PC-en, og fjernstyres fra en knapp på et nøkkelknippe. Settes PC-en i bevegelse, utløses alarmen. Den samlede førsteårskostnaden for alt PC-sikkerhetsutstyret vi har samlet i pakken, er 2000 kroner. Og da er du ekstremt godt beskyttet.
Nok et forhold Eterra har tenkt på, er hvordan gjester skal tilbys internettilgang.
- Det ordnes gjennom en trådløs sone over hele huset, som ikke gir annet enn internett. Interne tjenester kan nås, men bare for registrerte brukere over https-forbindelsen. Gjester som skal ha Internett, får i utgangspunktet bare opp en påloggingsside der de registrerer seg med navn og mobilnummer. Passordet, som bare gjelder for denne ene oppkoplingen, får de per SMS.
Https-tilgangen til vanlige Office-applikasjoner lar brukere arbeide over smale forbindelser, gjerne med 56 kb/s modem. Grafikkprogrammer er mer krevende.
- Vi jobber over https-tilgangen internt og på alle avdelingskontorer. Ingen distriktskontorer har lokale servere lenger, og passordkalkulatoren gjør at ingen glemmer passordet sitt lenger. Sitter folk fast ved en applikasjon, kan den sentrale supportavdelingen få opp det vanskelige skjermbildet, og veilede trinn for trinn.
Løsningen omfatter også opplegg for selve implementeringsfasen. Hundrevis av klienter kan rulles ut samtidig.
Under utprøvingen av denne løsningen, opplevde digi.no et problem som var nytt for Eterra.
Vi skulle teste den ut på en av de nye og enkle Winterm-terminalene fra Wyse. Teoretisk sett skulle dette la seg gjøre. Selv om terminalen ikke kan laste ned Java-klienten, har den en egenh lokal ICA-klient som enkelt kan innstilles til å bære Eterra-løsningen.
Grunnen til at det ikke virket, var terminalens begrensede evne til å håndtere sertifikater. Den settes opp fra leverandøren - i Norge er dette Commaxx - til å håndtere fire sertifikater, og har ikke noe opplegg for å forholde seg til andre sertifikater enn de oppsatte.
Østrem opplyser at Eterra og Commaxx samarbeider om en løsning som vil sikre at disse terminalene kan brukes som Eterra-klient, og at denne vil være på plass innen en til to uker.
