[Olug-list] Debattinnlegg: Sikker it-infrastruktur krever bruksrettigheter

[medlemmer@nuug.no]

I dagens Computerworld Norge har jeg f=F8lgende debattinnlegg p=E5 trykk.
Her er teksten for de av dere som ikke mottar papirutgaven.


Sikker it-infrastruktur krever bruksrettigheter
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D
av Petter Reinholdtsen, leder i foreningen NUUG

Den 15. desember 2006 lanserte regjeringen IKT-meldingen "Eit
informasjonssamfunn for alle", der et helt kapittel er viet
IT-sikkerhet. IT-sikkerhet har mange fasetter, men en av dem blir ofte
oversett.

For =E5 ha IT-sikkerhet er det viktig at IT-brukeren har full r=E5derett
over sitt eget sitt utstyr. Kontrollen over utstyret m=E5 ligge hos den
som eier og skal bruke utstyret, ikke hos leverand=F8ren eller
produsenten for =E5 sikre at infrastrukturen fortsetter =E5 fungere
uavhengig av enkeltleverand=F8rer. I dag er det ikke alltid slik, og jeg
vil peke p=E5 noen saker der leverand=F8rrettighetene p=E5 utilb=F8rlig v=
is
har g=E5tt p=E5 bekostning av brukernes rettigheter.

Alle kommuner m=E5 ha et regnskapssystem, helst IT-basert. N=E5r en
kommune har betalt millioner for =E5 kj=F8pe et regnskapssystem ville en =
i
utgangspunktet tro at de har sikret seg retten til =E5 bruke det til
systemet ikke lenger fyller deres behov. For kommunene Evenes og
Tjeldsund var det dermed en overraskelse da de i 2002 med en halvt =E5rs
varsel ble fratatt retten til =E5 bruke regnskapssystemet sitt.
Leverand=F8ren Ergo Ephorma ville ikke lenger vedlikeholde det.
Kommunene kunne ikke velge en annen leverand=F8r til vedlikehold, da
opphavsrettsloven gav leverand=F8ren monopol p=E5 dette. Kommunene m=E5tt=
e
kj=F8pe nytt regnskapssystem for 1.75 millioner, selv om det gamle
fungerte utmerket. De ble fratatt bruksretten til sitt eget
regnskapsystem.

I fjor kom det to nye eksempler. Et av dem er historien om et
automatisert parkeringshus, der innkj=F8ringsrampene er borte og bilene
l=F8ftes p=E5 plass ved hjelp av robotteknologi. Kommunen i Hoboken, New
Jersey, eide huset og hadde kj=F8pt inn kontrollsystemet fra en
leverand=F8r av slike. Kommunen var ikke forn=F8yd med leverand=F8ren og =
sa
opp kontrakten, hvorp=E5 leverand=F8ren trakk tilbake kommunens tillatels=
e
til =E5 bruke kontrollsystemet. Hele parkeringshuset sluttet ved dette =E5
fungere. En rekke biler ble holdt som gisler inntil kommunen etter
noen dager gikk med p=E5 vilk=E5rene til leverand=F8ren og parkeringshuse=
t
slapp bilene ut. Det var ikke mulig for kommunen =E5 fortsette =E5 bruke
kontrollsystemet uten avtale med leverand=F8ren da leverand=F8ren hadde
monopol p=E5 systemet og kunne sperre det av hvis de ikke var forn=F8yd
med sin kunde. Kommunen manglet rett og slett bruksretten til sitt
eget parkeringshus, og var prisgitt godviljen til leverand=F8ren.

Et siste eksempel fra i fjor er diskusjonen rundt innkj=F8p av nye
jagerfly til det norske forsvaret. Mens en i Norge diskuterer hvor
store gjenkj=F8psavtaler norsk industri f=E5r glede av under utviklingen
av Joint Strike Fighter, har Storbritannia krevd fullt innsyn i og
r=E5derett over datasystemene, slik at de ikke blir avhengige av USAs
godvilje for =E5 ha full kontroll over flyene. Lord Drayson,
innkj=F8psminister for det britiske forsvaret, slo fast at hvis de ikke
f=E5r tilgang til kildekoden vil britene ikke kunne kj=F8pe Joint Strike
Fighter, mens britiske parlamentsmedlemmer bes=F8kte Washington for =E5
gj=F8re det klart at de ikke kunne godkjenne kj=F8p av fly der det
britiske flyv=E5penet ikke hadde full kontroll over alle deler av
flyenes kontrollsystem. Hvis en ikke mener det er en god ide at det
norske flyv=E5pnet kan fjernstyres fra USA, b=F8r vi i Norge gj=F8res som
Storbritannia, og kreve fullt innsyn i, og alle bruksrettigheter til,
kontrollsystemet for neste generasjons jagerfly. P=E5 samme m=E5te som
kommunene b=F8r kreve fullt innsyn i og ikke-tidsbegrensede
bruksrettigheter til sine regnskapssystemer og andre viktige
infrastruktursystemer.

Det vil i mange tilfeller v=E6re mulig =E5 sikre viktige bruksrettigheter
gjennom kontraktsfesting, men dette er en krevende og kostbar =F8velse.
=C5 kartlegge og prioritere alle n=E5v=E6rende og fremtidige behov er i
praksis ikke mulig, og selv det =E5 fors=F8ke er tidkrevende og dyrt.
Leverand=F8ren skal deretter ha betalt for =E5 binde seg til =E5 st=F8ttt=
e
kundens behov, i tillegg til at selve kontraktutformingen blir dyrere
n=E5r flere eventualiteter skal dekkes. Og i endel tilfeller vil
interessekonfliktene mellom leverand=F8r og kunde gj=F8re det umulig =E5
sikre essensielle rettigheter for kunden til en akseptabel pris.

En bedre m=E5te =E5 sikre slikt innsyn og fulle bruksrettigheter er =E5
velge systemer basert p=E5 fri programvare, der hver bruker og
systemeier har rett til =E5 se hvordan systemet er bygget opp, bruke det
som en vil, distribuere systemet til hvem en vil, og ogs=E5 distribuere
forbedringer og endringer. Fri programvare sikrer brukerne disse
rettighetene p=E5 bekostning av produsentens og leverand=F8rens enerett
til =E5 kontrollere bruken av et IT-system. En slik enerett kan som jeg
har gitt noen eksempler p=E5 gi uakseptable ulemper for det offentlige,
og det offentlige b=F8r sikre at de ikke er avhengige av
enkeltleverand=F8rers godvilje for =E5 kunne fungere.


Innlegget er tilgjengelig fra
<URL:http://www.nuug.no/dokumenter/kronikk-friprog-itsikkerhet.shtml>.

Vennlig hilsen,
--=20
Petter Reinholdtsen
Leder i NUUG