Sikker IT-infrastruktur krever bruksrettigheter =============================================== av Petter Reinholdtsen, leder i foreningen NUUG Den 15. desember lanserte regjeringen IKT-meldingen "Eit informasjonssamfunn for alle", der et helt kapittel er viet IT-sikkerhet. For å ha IT-sikkerhet er det viktig at IT-brukeren har full råderett over over sitt utstyr. Dvs. brukerrettighetene er viktig og må styrkes. I dag er det ikke alltid slik, og jeg vil bringe oppmerksomhet mot noen saker der leverandørrettighetene har demonstrert av brukerne ikke hadde rett Alle kommuner må ha et regnskapssystem, og det er gjerne IT-basert. Når en kommune har betalt millioner for å kjøpe et regnskapssystem ville jeg jo tro at de har sikret seg retten til å bruke det inntil systemet ikke lenger fyller kommunens behov. For Evenes og Tjeldsund kommune var det dermed en overraskelse da de i 2002 med en halvt års varsel fikk beskjed fra leverandøren av regnskapssystemet at kommunen ikke fikk lov til å fortsette å bruke regnskapssystemet sitt. Leverandøren trakk tilbake bruksretten, da de ikke lenger var interessert i å vedlikeholde det aktuelle systemet. Kommunen kunne ikke velge en annen leverandør til å vedlikeholde kommunens regnskapssystem da Ergo Ephorma med opphavsrettsloven i hånd hadde monopol på vedlikehold av regnskapssystemet. Kommunen fikk dermed en utgift på 1.75 millioner til å kjøpe nytt regnskapssystem, på tross av at det gamle fungerte utmerket. De manglet enkelt å greit bruksretten til sitt eget regnskapsystem. I fjor kom det to nye eksempler. Et av dem er historien om et automatisert robotstyrt parkeringshus, et slik innkjøringsrampene er borte og bilene løftes på plass ved hjelp av robotteknologi. Kommunen eide huset og hadde kjøpt inn kontrollsystemet fra en leverandør av slike. Kommunen var ikke fornøyd med leverandøren og sa opp kontrakten, hvorpå leverandører trakk tilbake kommunens tillatelse til å bruke kontrollsystemet og hele parkeringshuset sluttet å fungere. En rekke biler ble ved dette holdt som gisler inntil kommunen etter noen dager gikk med på vilkårene til leverandøren og parkeringshuset slapp bilene ut. Det var ikke mulig for kommunen å fortsette å bruke kontrollsystemet da leverandøren hadde monopol på systemet og kunne sperre det av hvis de ikke var fornøyd med sin kunde. Kommunen manglet rett og slett bruksretten til sitt eget parkeringshus, og var prisgitt godviljen til leverandøren av kontrollsystemet. Et siste eksempel er diskusjonen rundt innkjøp av nye jagerfly til det norske forsvaret. Mens en i Norge diskuterer hvor store gjenkjøpsavtaler norsk industri får glede av under utviklingen av Joint Strike Fighter, har Storbritannia derimot krevd fullt innsyn i datasystemene slik at de ikke blir avhengig av USAs godvilje og slik at de kan sikre full kontroll over flysystemene. Britiske parlamentsmedlemmer besøkte Washington for å gjøre det klart at de ikke kunne godkjenne kjøp av fly der det britiske flyvåpenet hadde full kontroll over alle deler av kontrollsystemet til flyene. Jeg kan jo forstå at det norske flyvåpenet ikke ser det som et stort problem om de norske flyene kan fjernstyres fra USA, all den tid den norske jagerflypilotutdanningen bygges ned og det kan være greit å kunne sette bort hele flyvåpenet til USA. Men hvis vi ikke synes det er et greit alternativ, så bør vi også i Norge gjøre som Storbritannia, og kreve fullt innsyn i, og alle bruksrettigheter til, kontrollsystemet for neste generasjons jagerfly. På samme måte som kommunene bør kreve fullt innsyn i og ikke-tidsbegrensede bruksrettigheter i sine regnskapssystemer og andre viktige infrastruktursystemer. En måte å sikre slikt innsyn og fulle bruksrettigheter er å velge systemer basert på fri programvare, der hver bruker har rett til å se hvordan systemet er bygget opp, bruke det som en vil, distribuere systemet til hvem en vil, og også distribuere forbedringer og endringer. Fri programvare sikrer brukerne disse rettighetene på bekostning av produsentens og leverandørens enerett til å kontrollere bruken av et IT-system, men en slik enerett kan som jeg har gitt et par eksempler på over gi uakseptable ulemper for det offentlige, og det offentlige bør derfor sikre at de ikke er avhengig av enkeltleverandørers godvilje for å kunne fungere optimalt. Evenes og Tjeldsund mister retten til å bruke regnskapssystemet sitt i 2002 https://init.linpro.no/pipermail/skolelinux.no/linuxiskolen/2002-December/007322.html http://www.fremover.no/lokale_nyheter/article255248.ece http://www.evenes.kommune.no/organization_map.aspx?topid=0&orgMapid=37&title=R%c3%a5dhuset http://rubyurl.com/8ZA - snakk med AsbjÃ?rn Johansen Biler holdes som gissel i leverandørkrangel i Hoboken, New Jersey http://www.wired.com/news/technology/0,71554-0.html Storbritania krever fullt innsyn i kontrollsystemene til JSF XXX URL? Stortingsmelding 17 "Eit informasjonssamfunn for alle" http://www.regjeringen.no/nb/dep/fad/dok/regpubl/stmeld/20062007/Stmeld-nr-17-2006-2007-.html?id=441497