Massiv kritikk mot korona-app
I media og på Twitter kritiseres den nye smittesporingsappen til Folkehelseinstituttet (FHI) og selskapet Simula, for å ikke ha åpen kildekode og lagre persondata sentralt.
Denne artikkelen er mer enn fire år gammel.
Kritikken hagler mot den nye korona-appen til FHI.
Kritikken går på at all personinformasjonen med bevegelsene til folk skal lagres sentralt og at kildekoden ikke deles åpent.
Advokat Jon Wessel Aas i Lund & Co DA skriver blant annet i en kronikk i VG at tillitt og sikkerhet er en forutsetning for å lykkes og at dette ofte ivaretas ved å gjøre kildekoden åpen, slik at andre programmerere kan avdekke feil og samtidig se hva programmet gjør med dataene.
Resonnementet fører til at det derfor kan bli vanskelig å skape tilliten som trengs for å få folk til å benytte applikasjonen – noe som er en forutsetning for at applikasjonen faktisk skal få oversikt – og kunne kartlegge smitte av Covid-19 i samfunnet.
Kritiske til app
Aas gikk så langt at han sier «ingen» bør installere appen til NRK.
Journalisten skriver torsdag at VG i foreløpige retningslinjer fraråder sine ansatte å installere appen.
Agenda Magasin skriver om flere tilfeller hvor apper har delt informasjon som er hypersensitivt som posisjonsdata og helseinformasjon – som at Bergen kommune hadde en applikasjon som feilaktig kan ha avslørt adressen til noen som skulle holdes skjult og at det var essensielt under andre verdenskrig at SSB «ikke satt på et nøyaktig register over jøder i Norge».
Fordi man aldri vet hvordan noen kan finne på å anvende slik informasjon, om den samles.
Diskusjonen går også på Twitter - les mer her:
Derfor er koden hemmelig
Selskapet Simula har på sine nettsider publisert to artikler, hvor de argumenterer for å ha hemmelig kildekode og skriver hvorfor de bør lagre informasjonen sentralt i en skyløsning.
Blant annet mener de å dele koden kan «øke risikoen for sikkerhetsbrudd». De skriver også at de i større grad kan følge med på utviklingen av tiltak ved at dataene er lagret sentralt.
Viseadministrerende direktør Kyrre Lekve i Simula, selskapet som utvikler den nye applikasjonen til Folkehelseinstituttet, forklarer fordelen med sentral lagring er at man nærmest kan følge tiltak live.
– La oss si at vi åpner barnehagene. Da kan man se hvor mange nærkontaktmøter det var dagen før, og følge hvordan dette utvikler seg. Slik kan vi lære og være bedre forberedt. Det vil også kun være mulig å ta ut data på flere personer om gangen, aggregert, hvor ingen kan identifiseres.
Viser til Singapore
Kritikere mot applikasjonen peker mot at det finnes en app i Singapore, som for eksempel lagrer dataene lokalt på telefonen, og ikke sentralt. Denne bruker dog kun Bluetooth for å undersøke hvem som har hvert i kontakt med hverandre, og ikke GPS som den norske appen skal bruke i tillegg til Bluetooth.
Flere husker nok også saken fra 2017, da NRK avdekket at utenlandske IT-arbeidere fikk tilgang til pasientinformasjon. Det var ikke en digital løsning som var sikkerhetsfeilen, men heller outsourcing av en arbeidsoppgave.
Den norske løsningen med sentral lagring, skal ligge i «skyen».
– Hvordan vil dere sikre at man ikke får uvedkommende i hende?
– Dette Lagres i Microsoft sin skyløsning. Informasjonen og kommunikasjonen vil være kryptert. Vi bruker kun europeiske servere, og følger norsk lov. Vi er ganske sikre på at dette er en solid løsning, sier Lekve.
– Det dypeste alvor
– Hva med muligheten for menneskelige feil, når all informasjonen er samlet på et sted?
– Vi tar sikkerhet på det dypeste alvor. Vi har fulgt alle standarder som man har brukt i helsenettet. Med de krav, og sikkerhetsrutiner og industristandarder som gjelder på dette feltet. Derfor er dette så sikkert som alle andre løsninger. Verken mer eller mindre.
Lekve medgir at dersom alt var lagret på hver enhet og kun benyttet bluetooth, så ville det ha vært mindre invaderende.
– Men grunnen til at man ønsker å bruke GPS og lagre alt sentralt, er for å få verktøyet å følge epidemien nå, og modellere langsiktig.
– Hvordan vil dere oppnå tillitt med lukket kildekode?
– På kort sikt, som denne appen skal ha, så er det viktigere for oss å beskytte kildekoden og ikke lette jobben til noen som vil oss vondt. Uavhengige eksperter vil kikke oss i kortene, og gjøre kvalitetssikring, uavhengig av oss.
Han peker på at på grunn av det korte tidsperspektivet, så har de i prosjektet med appen prioritert sikkerhet.
– Hvordan kan dere utelukke ukjente sikkerhetshull og feil i applikasjonen?
– Ingen kan det. Vi skal utsette applikasjonen for styrte innbruddsforsøk. Dettet er for å øke tilliten til programmet.
Lekve utelukker ikke at det ville ha vært styrkende for sikkerheten å ha åpen kildekode, men viser til at det tar forholdsvis lang tid. Noe myndighetene ikke har i bekjempelsen av Covid-19.
Han viser også til at de ikke ønsker å gjøre programvaren, som er et kraftig overvåkningsverktøy, åpen for alle.
– Mange tenker nok at Nord-Korea har like kraftige programmer. Men vi har ikke lyst til å bidra til verden med denne typen kraftig overvåkingsverktøy i åpen kildekode.
– Mange nordmenn er kritiske til hva de installerer på datamaskinene og telefonen sin. Hvordan vil dere få folk som er kritiske til å installere?
– Vi håper at måten vi er åpne på, måten dette er gjort med hjemmel i forskrift og at alt er gjort på en skikkelig måte, gjør at mange vil benytte appen. Vi tror denne appen er viktig og at det kan få samfunnet i gang igjen. Vi tar personvern og sikkerhet på det dypeste alvor.
Viser til industristandard
Gun Peggy Knudsen, områdedirektør på Folkehelseinstituttet sier til Dagens Medisin at de vil ivareta sikkerheten i løsningen.
– Krav til sikkerhet og sårbarhet fra myndighetene skal ivaretas, dette jobber vi intenst med. Sikkerhet har hatt høyeste prioritet i utviklingen og Simula har benyttet veletablerte industri- og krypteringsstandarder for å sikre appen.
Hun påpeker at det vil være sikkerhetsutfordringer i ulike deler av verdikjeden for enhver app og dette skal ivaretas både i selve app-en og i behandlingen av dataene.
Hun presiserer at brukerne skal kunne være sikre på at data ikke brukes til annet enn formålet, som er angitt i forskrift.
– Brukerne vil ha full mulighet til å slette personopplysninger ved å bruke slettefunksjonaliteten i app-en. Alle personopplysninger skal slettes når forskriften opphører å gjelde.
– Inngripende tiltak
Knudsen viser til at app-en vil samle data om hvor folk i Norge oppholder seg, og hvem de er i nærheten av.
– Dette er inngripende tiltak i folks liv. Åpen kildekode er et godt sikkerhetsprinsipp som kan avdekke sårbarheter, det er vi helt enige i. Men gitt de inngripende forholdene er vi spesielt bekymret for hvordan dette kan misbrukes dersom koden kommer i feil hender, sier hun.
– Vi må avklare slike forhold grundig før vi på sikt kanskje kan legge til rette for åpen kildekode. I mellomtiden ser vi på muligheten for å opprette et uavhengig utvalg som kan få tilgang til koden og gi tilbakemeldinger, og vi jobber intenst med å ivareta sikkerhet. Dette tar vi på stort alvor.
KRITISK: «Security by obscurity» fungerer ikke generelt sett og kan kun gjøres over korte tidsperioder, påpeker professor i informasjonssikkerhet, Stephen Wolthusen ved NTNU.
NTNU-professor: – Forstår hastverk
Professor Stephen Wolthusen ved Institutt for informasjonssikkerhet og kommunikasjonsteknologi ved NTNU påpeker at åpen eller ikke åpen kildekode, er en gammel debatt.
– Generelt, dersom du har mer granskning vil du lage programvaren mer robust. Men det er også sant at åpen kildekode vil gjøre bugs mer åpenbare for personer som ønsker å utnytte sikkerhetshull.
Han forstår avveiningen som myndighetene må gjøre med å rulle ut programvaren raskt.
Imidlertid peker han på at «security by obscurity» ikke fungerer generelt sett og at det kun kan gjøres over korte tidsperioder.
Han peker på at bruken av appen må være kortvarig.
– Mer invasivt
Wolthusen fremholder at alternativene til en app er mer invasivt, personværnmessig.
– I andre land blir telefonoperatører for eksempel bedt om å gi ut denne typen informasjon. Og i disse samfunnene blir dette ikke gjenstand for debatt i samme grad.
– For ordentlig sikkerhetsanalyse snakker vi om uker til måneder. Det tar en ekstraordinær mengde tid. Mye må gjøres manuelt.
Wolthusen peker på at man må se på appen i kontekst av å minimere korttidsrisiko for innbrudd.
– Under alle andre omstendigheter ville å holde kildekoden i en slik app hemmelig gjort applikasjonen uaktuell. Blant annet fordi man må tilfredstille GDPR.
Han peker på at koronaappen imidlertid søker å forhindre skade for å få ut muligheten til å gjøre kontaktsporing raskt.
– I disse dager strekker vi alle reglene. Under normale omstendigheter burde applikasjonen hatt nøye åpen gjennomgang og måtte sendt rapporter til Datatilsynet.
På spørsmål om kommentar på å lagre dataene sentralt I skyen, sier Wolthusen at han ikke kjenner til løsningen som skal brukes spesielt, men presiserer at all data må krypteres så godt som mulig.
– Data må anonymiseres eller pseudonymiseres, som et krav i GDPR og personopplysningsloven. Man må ha mekanismer for å styre tilgang og prosessere data kryptert, sier han.
Han påpeker også at all skylagring innebærer at dataene lagres på flere steder, for å bevare integriteten i nettverket, og opprettholde hastighet.