mypapers/drafts/friprog-itsikkerhet.txt

   1 Sikker IT-infrastruktur krever bruksrettigheter
   2 ===============================================
   3 av Petter Reinholdtsen, leder i foreningen NUUG
   4
   5 Den 15. desember lanserte regjeringen IKT-meldingen "Eit
   6 informasjonssamfunn for alle", der et helt kapittel er viet
   7 IT-sikkerhet.
   8
   9 For å ha IT-sikkerhet er det viktig at IT-brukeren har full råderett
  10 over over sitt utstyr.  Dvs.  brukerrettighetene er viktig og må
  11 styrkes.  I dag er det ikke alltid slik, og jeg vil bringe
  12 oppmerksomhet mot noen saker der leverandørrettighetene har
  13 demonstrert av brukerne ikke hadde rett
  14
  15 Alle kommuner må ha et regnskapssystem, og det er gjerne IT-basert.
  16 Når en kommune har betalt millioner for å kjøpe et regnskapssystem
  17 ville jeg jo tro at de har sikret seg retten til å bruke det inntil
  18 systemet ikke lenger fyller kommunens behov.  For Evenes og Tjeldsund
  19 kommune var det dermed en overraskelse da de i 2002 med en halvt års
  20 varsel fikk beskjed fra leverandøren av regnskapssystemet at kommunen
  21 ikke fikk lov til å fortsette å bruke regnskapssystemet sitt.
  22 Leverandøren trakk tilbake bruksretten, da de ikke lenger var
  23 interessert i å vedlikeholde det aktuelle systemet.  Kommunen kunne
  24 ikke velge en annen leverandør til å vedlikeholde kommunens
  25 regnskapssystem da Ergo Ephorma med opphavsrettsloven i hånd hadde
  26 monopol på vedlikehold av regnskapssystemet.  Kommunen fikk dermed en
  27 utgift på 1.75 millioner til å kjøpe nytt regnskapssystem, på tross av
  28 at det gamle fungerte utmerket.  De manglet enkelt å greit bruksretten
  29 til sitt eget regnskapsystem.
  30
  31 I fjor kom det to nye eksempler.  Et av dem er historien om et
  32 automatisert robotstyrt parkeringshus, et slik innkjøringsrampene er
  33 borte og bilene løftes på plass ved hjelp av robotteknologi.  Kommunen
  34 eide huset og hadde kjøpt inn kontrollsystemet fra en leverandør av
  35 slike.  Kommunen var ikke fornøyd med leverandøren og sa opp
  36 kontrakten, hvorpå leverandører trakk tilbake kommunens tillatelse til
  37 å bruke kontrollsystemet og hele parkeringshuset sluttet å fungere.
  38 En rekke biler ble ved dette holdt som gisler inntil kommunen etter
  39 XXX dager gikk med på vilkårene til leverandøren og parkeringshuset
  40 slapp bilene ut.  Det var ikke mulig for kommunen å fortsette å bruke
  41 kontrollsystemet da leverandøren hadde monopol på systemet og kunne
  42 sperre det av hvis de ikke var fornøyd med sin kunde.  Kommunen
  43 manglet rett og slett bruksretten til sitt eget parkeringshus, og var
  44 prisgitt godviljen til leverandøren av kontrollsystemet.
  45
  46 Et siste eksempel er diskusjonen rundt innkjøp av nye jagerfly til det
  47 norske forsvaret.  Mens en i Norge diskuterer hvor store
  48 gjenkjøpsavtaler norsk industri får glede av under utviklingen av
  49 Joint Strike Fighter, har Storbritannia derimot krevd fullt innsyn i
  50 datasystemene slik at de ikke blir avhengig av USAs godvilje og slik
  51 at de kan sikre full kontroll over flysystemene.  Britiske
  52 parlamentsmedlemmer besøkte Washington for å gjøre det klart at de
  53 ikke kunne godkjenne kjøp av fly der det britiske flyvåpenet hadde
  54 full kontroll over alle deler av kontrollsystemet til flyene.  Jeg kan
  55 jo forstå at det norske flyvåpenet ikke ser det som et stort problem
  56 om de norske flyene kan fjernstyres fra USA, all den tid den norske
  57 jagerflypilotutdanningen bygges ned og det kan være greit å kunne
  58 sette bort hele flyvåpenet til USA.  Men hvis vi ikke synes det er et
  59 greit alternativ, så bør vi også i Norge gjøre som Storbritannia, og
  60 kreve fullt innsyn i, og alle bruksrettigheter til, kontrollsystemet
  61 for neste generasjons jagerfly.  På samme måte som kommunene bør kreve
  62 fullt innsyn i og ikke-tidsbegrensede bruksrettigheter i sine
  63 regnskapssystemer og andre viktige infrastruktursystemer.
  64
  65 En måte å sikre slikt innsyn og fulle bruksrettigheter er å velge
  66 systemer basert på fri programvare, der hver bruker har rett til å se
  67 hvordan systemet er bygget opp, bruke det som en vil, distribuere
  68 systemet til hvem en vil, og også distribuere forbedringer og
  69 endringer.  Fri programvare sikrer brukerne disse rettighetene på
  70 bekostning av produsentens og leverandørens enerett til å kontrollere
  71 bruken av et IT-system, men en slik enerett kan som jeg har gitt et
  72 par eksempler på over gi uakseptable ulemper for det offentlige, og
  73 det offentlige bør derfor sikre at de ikke er avhengig av
  74 enkeltleverandørers godvilje for å kunne fungere optimalt.
  75
  76 Evenes og Tjeldsund mister retten til å bruke regnskapssystemet sitt i 2002
  77   https://init.linpro.no/pipermail/skolelinux.no/linuxiskolen/2002-December/007322.html
  78   http://www.fremover.no/lokale_nyheter/article255248.ece
  79
  80 Biler holdes som gissel i leverandørkrangel i Hoboken, New Jersey
  81   http://www.wired.com/news/technology/0,71554-0.html
  82
  83 Storbritania krever fullt innsyn i kontrollsystemene til JSF
  84   XXX URL?