1 Sikker IT-infrastruktur krever bruksrettigheter
2 ===============================================
3 av Petter Reinholdtsen, leder i foreningen NUUG
5 Den 15. desember 2006 lanserte regjeringen IKT-meldingen "Eit
6 informasjonssamfunn for alle", der et helt kapittel er viet
7 IT-sikkerhet. IT-sikkerhet har mange fasetter, men en av dem blir
10 For å ha IT-sikkerhet er det viktig at IT-brukeren har full råderett
11 over sitt eget sitt utstyr. Kontrollen over utstyret må ligge hos den
12 som skal bruke utstyret, ikke hos leverandøren eller produsenten. I
13 dag er det ikke alltid slik, og jeg vil peke på noen saker der
14 leverandørrettighetene på utilbørlig vis har gått på bekostning av
15 brukernes rettigheter.
17 Alle kommuner må ha et regnskapssystem, helst IT-basert. Når en
18 kommune har betalt millioner for å kjøpe et regnskapssystem ville en i
19 utgangspunktet tro at de har sikret seg retten til å bruke det til
20 systemet ikke lenger fyller deres behov. For kommunene Evenes og
21 Tjeldsund var det dermed en overraskelse da de i 2002 med en halvt års
22 varsel ble fratatt retten til å bruke regnskapssystemet sitt.
23 Leverandøren Ergo Ephorma ville ikke lenger vedlikeholde
24 det. Kommunene kunne ikke velge en annen leverandør til vedlikehold,
25 da opphavsrettsloven gav leverandøren monopol på dette. Kommunene
26 måtte kjøpe nytt regnskapssystem for 1.75 millioner, selv om det gamle
27 fungerte utmerket. De manglet enkelt og greit bruksrett til sitt eget
30 I fjor kom det to nye eksempler. Et av dem er historien om et
31 automatisert parkeringshus, der innkjøringsrampene er borte og bilene
32 løftes på plass ved hjelp av robotteknologi. Kommunen i Hoboken, New
33 Jersey, eide huset og hadde kjøpt inn kontrollsystemet fra en
34 leverandør av slike. Kommunen var ikke fornøyd med leverandøren og sa
35 opp kontrakten, hvorpå leverandøren trakk tilbake kommunens tillatelse
36 til å bruke kontrollsystemet og hele parkeringshuset sluttet å
37 fungere. En rekke biler ble ved dette holdt som gisler inntil
38 kommunen etter noen dager gikk med på vilkårene til leverandøren og
39 parkeringshuset slapp bilene ut. Det var ikke mulig for kommunen å
40 fortsette å bruke kontrollsystemet da leverandøren hadde monopol på
41 systemet og kunne sperre det av hvis de ikke var fornøyd med sin
42 kunde. Kommunen manglet rett og slett bruksretten til sitt eget
43 parkeringshus, og var prisgitt godviljen til leverandøren.
45 Et siste eksempel er diskusjonen rundt innkjøp av nye jagerfly til det
46 norske forsvaret. Mens en i Norge diskuterer hvor store
47 gjenkjøpsavtaler norsk industri får glede av under utviklingen av
48 Joint Strike Fighter, har Storbritannia krevd fullt innsyn i og
49 råderett over datasystemene, slik at de ikke blir avhengige av USAs
50 godvilje og har full kontroll over flyene. Lord Drayson,
51 innkjøpsminister for det britiske forsvaret, har slått fast at hvis de
52 ikke får tilgang til kildekoden vil britene ikke kunne kjøpe Joint
53 Strike Fighter, mens britiske parlamentsmedlemmer besøkte Washington
54 for å gjøre det klart at de ikke kunne godkjenne kjøp av fly der det
55 britiske flyvåpenet ikke hadde full kontroll over alle deler av
56 flyenes kontrollsystem. Jeg kan jo forstå at det norske flyvåpenet
57 ikke ser det som et stort problem om de norske flyene kan fjernstyres
58 fra USA, all den tid den norske jagerflypilotutdanningen bygges ned og
59 det kan være greit å kunne sette bort hele flyvåpenet. Men hvis vi
60 ikke synes det er et greit alternativ, så bør vi også i Norge gjøre
61 som Storbritannia, og kreve fullt innsyn i, og alle bruksrettigheter
62 til, kontrollsystemet for neste generasjons jagerfly. På samme måte
63 som kommunene bør kreve fullt innsyn i og ikke-tidsbegrensede
64 bruksrettigheter til sine regnskapssystemer og andre viktige
65 infrastruktursystemer.
67 Det vil i mange tilfeller være mulig å sikre viktige bruksrettigheter
68 gjennom kontraktsfesting, men dette er en krevende og kostbar øvelse.
69 Å kartlegge og prioritere alle nåværende og fremtidige behov er i
70 praksis ikke mulig, og selv det å forsøke er tidkrevende og dyrt.
71 Leverandøren skal deretter ha betalt for å binde seg til å støttte
72 kundens behov, i tillegg til at selve kontraktutformingen blir dyrere
73 når flere eventualiteter skal dekkes. Og i endel tilfeller vil
74 interessekonfliktene mellom leverandør og kunde gjøre det umulig å sikre
75 essensielle rettigheter for kunden til en akseptabel pris.
77 En bedre måte å sikre slikt innsyn og fulle bruksrettigheter er å
78 velge systemer basert på fri programvare, der hver bruker har rett til
79 å se hvordan systemet er bygget opp, bruke det som en vil, distribuere
80 systemet til hvem en vil, og også distribuere forbedringer og
81 endringer. Fri programvare sikrer brukerne disse rettighetene på
82 bekostning av produsentens og leverandørens enerett til å kontrollere
83 bruken av et IT-system, men en slik enerett kan som jeg har gitt et
84 par eksempler på over gi uakseptable ulemper for det offentlige, og
85 det offentlige bør derfor sikre at de ikke er avhengige av
86 enkeltleverandørers godvilje for å kunne fungere.
88 Evenes og Tjeldsund mister retten til å bruke regnskapssystemet sitt i 2002
89 http://www.fremover.no/lokale_nyheter/article255248.ece
90 https://init.linpro.no/pipermail/skolelinux.no/linuxiskolen/2002-December/007322.html
91 http://www.evenes.kommune.no/organization_map.aspx?topid=0&orgMapid=37&title=R%c3%a5dhuset
92 http://rubyurl.com/8ZA - snakk med AsbjÃ?rn Johansen
94 Biler holdes som gissel i leverandørkrangel i Hoboken, New Jersey
95 http://www.wired.com/news/technology/0,71554-0.html
97 Storbritannia krever fullt innsyn i kontrollsystemene til JSF
98 http://www.vg.no/pub/vgart.hbs?artid=237687
99 http://www.digi.no/art296245.html
101 Stortingsmelding 17 "Eit informasjonssamfunn for alle"
102 http://www.regjeringen.no/nb/dep/fad/dok/regpubl/stmeld/20062007/Stmeld-nr-17-2006-2007-.html?id=441497
projects / homepage.git / blob