[NUUG logo]
Førstesiden
Nyheter [rss]
Bli medlem
Kontakt
Informasjon
Medlemsfordeler
Undergrupper
Kalender
NUUG/HIO prisen
Dokumenter
Mailinglister
Wiki
Linker
Om de aktive
Kart
NUUG i media
Planet NUUG
Mapit
FiksGataMi

Sist endret [an error occurred while processing this directive]
webmaster@nuug.no

Trykket i Computerworld Norge 2007-04-13 side 30

Sikker it-infrastruktur krever bruksrettigheter

av Petter Reinholdtsen, leder i foreningen NUUG

Den 15. desember 2006 lanserte regjeringen IKT-meldingen "Eit informasjonssamfunn for alle", der et helt kapittel er viet IT-sikkerhet. IT-sikkerhet har mange fasetter, men en av dem blir ofte oversett.

For å ha IT-sikkerhet er det viktig at IT-brukeren har full råderett over sitt eget sitt utstyr. Kontrollen over utstyret må ligge hos den som eier og skal bruke utstyret, ikke hos leverandøren eller produsenten for å sikre at infrastrukturen fortsetter å fungere uavhengig av enkeltleverandører. I dag er det ikke alltid slik, og jeg vil peke på noen saker der leverandørrettighetene på utilbørlig vis har gått på bekostning av brukernes rettigheter.

Alle kommuner må ha et regnskapssystem, helst IT-basert. Når en kommune har betalt millioner for å kjøpe et regnskapssystem ville en i utgangspunktet tro at de har sikret seg retten til å bruke det til systemet ikke lenger fyller deres behov. For kommunene Evenes og Tjeldsund var det dermed en overraskelse da de i 2002 med en halvt års varsel ble fratatt retten til å bruke regnskapssystemet sitt. Leverandøren Ergo Ephorma ville ikke lenger vedlikeholde det. Kommunene kunne ikke velge en annen leverandør til vedlikehold, da opphavsrettsloven gav leverandøren monopol på dette. Kommunene måtte kjøpe nytt regnskapssystem for 1.75 millioner, selv om det gamle fungerte utmerket. De ble fratatt bruksretten til sitt eget regnskapsystem.

I fjor kom det to nye eksempler. Et av dem er historien om et automatisert parkeringshus, der innkjøringsrampene er borte og bilene løftes på plass ved hjelp av robotteknologi. Kommunen i Hoboken, New Jersey, eide huset og hadde kjøpt inn kontrollsystemet fra en leverandør av slike. Kommunen var ikke fornøyd med leverandøren og sa opp kontrakten, hvorpå leverandøren trakk tilbake kommunens tillatelse til å bruke kontrollsystemet. Hele parkeringshuset sluttet ved dette å fungere. En rekke biler ble holdt som gisler inntil kommunen etter noen dager gikk med på vilkårene til leverandøren og parkeringshuset slapp bilene ut. Det var ikke mulig for kommunen å fortsette å bruke kontrollsystemet uten avtale med leverandøren da leverandøren hadde monopol på systemet og kunne sperre det av hvis de ikke var fornøyd med sin kunde. Kommunen manglet rett og slett bruksretten til sitt eget parkeringshus, og var prisgitt godviljen til leverandøren.

Et siste eksempel fra i fjor er diskusjonen rundt innkjøp av nye jagerfly til det norske forsvaret. Mens en i Norge diskuterer hvor store gjenkjøpsavtaler norsk industri får glede av under utviklingen av Joint Strike Fighter, har Storbritannia krevd fullt innsyn i og råderett over datasystemene, slik at de ikke blir avhengige av USAs godvilje for å ha full kontroll over flyene. Lord Drayson, innkjøpsminister for det britiske forsvaret, slo fast at hvis de ikke får tilgang til kildekoden vil britene ikke kunne kjøpe Joint Strike Fighter, mens britiske parlamentsmedlemmer besøkte Washington for å gjøre det klart at de ikke kunne godkjenne kjøp av fly der det britiske flyvåpenet ikke hadde full kontroll over alle deler av flyenes kontrollsystem. Hvis en ikke mener det er en god ide at det norske flyvåpnet kan fjernstyres fra USA, bør vi i Norge gjøres som Storbritannia, og kreve fullt innsyn i, og alle bruksrettigheter til, kontrollsystemet for neste generasjons jagerfly. På samme måte som kommunene bør kreve fullt innsyn i og ikke-tidsbegrensede bruksrettigheter til sine regnskapssystemer og andre viktige infrastruktursystemer.

Det vil i mange tilfeller være mulig å sikre viktige bruksrettigheter gjennom kontraktsfesting, men dette er en krevende og kostbar øvelse. Å kartlegge og prioritere alle nåværende og fremtidige behov er i praksis ikke mulig, og selv det å forsøke er tidkrevende og dyrt. Leverandøren skal deretter ha betalt for å binde seg til å støttte kundens behov, i tillegg til at selve kontraktutformingen blir dyrere når flere eventualiteter skal dekkes. Og i endel tilfeller vil interessekonfliktene mellom leverandør og kunde gjøre det umulig å sikre essensielle rettigheter for kunden til en akseptabel pris.

En bedre måte å sikre slikt innsyn og fulle bruksrettigheter er å velge systemer basert på fri programvare, der hver bruker og systemeier har rett til å se hvordan systemet er bygget opp, bruke det som en vil, distribuere systemet til hvem en vil, og også distribuere forbedringer og endringer. Fri programvare sikrer brukerne disse rettighetene på bekostning av produsentens og leverandørens enerett til å kontrollere bruken av et IT-system. En slik enerett kan som jeg har gitt noen eksempler på gi uakseptable ulemper for det offentlige, og det offentlige bør sikre at de ikke er avhengige av enkeltleverandørers godvilje for å kunne fungere.

Noen referanser