mypapers/drafts/friprog-itsikkerhet.txt

   1 Sikker IT-infrastruktur krever bruksrettigheter
   2 ===============================================
   3 av Petter Reinholdtsen, leder i foreningen NUUG
   4
   5 Den 15. desember lanserte regjeringen IKT-meldingen "Eit
   6 informasjonssamfunn for alle", der et helt kapittel er viet
   7 IT-sikkerhet.
   8
   9 For å ha IT-sikkerhet er det viktig at IT-brukeren har full råderett
  10 over sitt eget sitt utstyr.  Dvs.  brukerrettighetene er viktige og må
  11 styrkes.  I dag er det ikke alltid slik, og jeg vil peke på noen saker
  12 der leverandørrettighetene på utilbørlig vis har gått på bekostning av
  13 brukernes rettigheter.
  14
  15 Alle kommuner må ha et regnskapssystem, helst IT-basert. Når en
  16 kommune har betalt millioner for å kjøpe et regnskapssystem ville en i
  17 utgangspunktet tro at de har sikret seg retten til å bruke det til
  18 systemet ikke lenger fyller deres behov. For Evenes og Tjeldsund
  19 kommuner var det dermed en overraskelse da de i 2002 med en halvt års
  20 varsel ble fratatt retten til å bruke regnskapssystemet sitt.
  21 Leverandøren ville ikke lenger vedlikeholde det. Kommunene kunne ikke
  22 velge en annen leverandør til vedlikehold, da opphavsrettsloven gav
  23 leverandøren Ergo Ephorma monopol på dette. Kommunene måtte kjøpe nytt
  24 regnskapssystem for 1.75 millioner, selv om det gamle fungerte
  25 utmerket. De manglet enkelt og greit bruksrett til sitt eget
  26 regnskapsystem.
  27
  28 I fjor kom det to nye eksempler.  Et av dem er historien om et
  29 automatisert parkeringshus, der innkjøringsrampene er borte og bilene
  30 løftes på plass ved hjelp av robotteknologi.  Kommunen eide huset og
  31 hadde kjøpt inn kontrollsystemet fra en leverandør av slike.  Kommunen
  32 var ikke fornøyd med leverandøren og sa opp kontrakten, hvorpå
  33 leverandøren trakk tilbake kommunens tillatelse til å bruke
  34 kontrollsystemet og hele parkeringshuset sluttet å fungere.  En rekke
  35 biler ble ved dette holdt som gisler inntil kommunen etter noen dager
  36 gikk med på vilkårene til leverandøren og parkeringshuset slapp bilene
  37 ut.  Det var ikke mulig for kommunen å fortsette å bruke
  38 kontrollsystemet da leverandøren hadde monopol på systemet og kunne
  39 sperre det av hvis de ikke var fornøyd med sin kunde.  Kommunen
  40 manglet rett og slett bruksretten til sitt eget parkeringshus, og var
  41 prisgitt godviljen til leverandøren.
  42
  43 Et siste eksempel er diskusjonen rundt innkjøp av nye jagerfly til det
  44 norske forsvaret.  Mens en i Norge diskuterer hvor store
  45 gjenkjøpsavtaler norsk industri får glede av under utviklingen av
  46 Joint Strike Fighter,har Storbritannia krevd fullt innsyn i og
  47 råderett over datasystemene, slik at de ikke blir avhengige av USAs
  48 godvilj og har full kontroll over flyene.  Britiske
  49 parlamentsmedlemmer besøkte Washington for å gjøre det klart at de
  50 ikke kunne godkjenne kjøp av fly der det britiske flyvåpenet ikke
  51 hadde full kontroll over alle deler av kontrollsystemet til flyene.
  52 Jeg kan jo forstå at det norske flyvåpenet ikke ser det som et stort
  53 problem om de norske flyene kan fjernstyres fra USA, all den tid den
  54 norske jagerflypilotutdanningen bygges ned og det kan være greit å
  55 kunne sette bort hele flyvåpenet.  Men hvis vi ikke synes det er et
  56 greit alternativ, så bør vi også i Norge gjøre som Storbritannia, og
  57 kreve fullt innsyn i, og alle bruksrettigheter til, kontrollsystemet
  58 for neste generasjons jagerfly.  På samme måte som kommunene bør kreve
  59 fullt innsyn i og ikke-tidsbegrensede bruksrettigheter til sine
  60 regnskapssystemer og andre viktige infrastruktursystemer.
  61
  62 Det vil i mange tilfeller være mulig å sikre viktige bruksrettigheter
  63 gjennom kontraktsfesting, men dette er en krevende og kostbar øvelse.
  64 Å kartlegge og prioritere alle nåværende og fremtidige behov er i
  65 praksis ikke mulig, og selv det å forsøke er tidkrevende og dyrt.
  66 Leverandøren skal deretter ha betalt for å binde seg til å støttte
  67 kundens behov, i tillegg til at selve kontraktutformingen blir dyrere
  68 når flere eventualiteter skal dekkes. Og i endel tilfeller vil
  69 interessekonfliktene mellom leverandør og kunde gjøre det umulig å sikre
  70 essensielle rettigheter for kunden til en akseptabel pris.
  71
  72 En bedre måte å sikre slikt innsyn og fulle bruksrettigheter er å
  73 velge systemer basert på fri programvare, der hver bruker har rett til
  74 å se hvordan systemet er bygget opp, bruke det som en vil, distribuere
  75 systemet til hvem en vil, og også distribuere forbedringer og
  76 endringer.  Fri programvare sikrer brukerne disse rettighetene på
  77 bekostning av produsentens og leverandørens enerett til å kontrollere
  78 bruken av et IT-system, men en slik enerett kan som jeg har gitt et
  79 par eksempler på over gi uakseptable ulemper for det offentlige, og
  80 det offentlige bør derfor sikre at de ikke er avhengige av
  81 enkeltleverandørers godvilje for å kunne fungere.
  82
  83 Evenes og Tjeldsund mister retten til å bruke regnskapssystemet sitt i 2002
  84   https://init.linpro.no/pipermail/skolelinux.no/linuxiskolen/2002-December/007322.html
  85   http://www.fremover.no/lokale_nyheter/article255248.ece
  86   http://www.evenes.kommune.no/organization_map.aspx?topid=0&orgMapid=37&title=R%c3%a5dhuset
  87   http://rubyurl.com/8ZA  - snakk med AsbjÃ?rn Johansen
  88
  89 Biler holdes som gissel i leverandørkrangel i Hoboken, New Jersey
  90   http://www.wired.com/news/technology/0,71554-0.html
  91
  92 Storbritania krever fullt innsyn i kontrollsystemene til JSF
  93   XXX URL?
  94
  95 Stortingsmelding 17 "Eit informasjonssamfunn for alle"
  96   http://www.regjeringen.no/nb/dep/fad/dok/regpubl/stmeld/20062007/Stmeld-nr-17-2006-2007-.html?id=441497