Saken er oppdatert med kommentarer fra gruppeleder Jeanine Lilleng.
Simula har i samarbeid med Folkehelseinstituttet (FHI) utviklet en smittesporings-app for å kontrollere smittespredningen av viruset Covid-19.
Appen kombinerer data fra helsevesenet om påviste smittetilfeller og sporingsdata fra GPS og Bluetooth for å registrere og informere om nærkontakter. Det vil bli frivillig å laste ned appen, men en stor andel av befolkningen må velge å gjøre det for at den skal ha en betydelig effekt.
Nå har Helse- og omsorgsdepartementet oppnevnt en uavhengig ekspertgruppe som skal gå gjennom kildekoden. Dette er en del av arbeidet med sikkerheten i løsningen.
«For å øke tilliten til systemet, vil en gruppe uavhengige personer få full innsikt i alle sider av koden, installasjonen av den og bruken av koden», opplyser departementet i et notat lagt ut på regjeringens nettsider onsdag.
Åpenhetsstrategi kritisert
Siden Simula og FHI gikk ut offentlig med informasjon om den kommende appen i slutten av mars, har FHI sagt at det fortsatt gjenstår avklaringer knyttet til sikkerhet og personvern før den kan kan rulles ut i befolkningen. Simula har på sin side sagt at arbeidet med selve utviklingen av appen er fullført.
Kritikken mot det inngripende smitteverntiltaket har haglet på Twitter og i avisspaltene de siste to ukene, etter at Simula og FHI gikk ut med informasjon om den kommende appen. Mange av reaksjonene har dreid seg om Simulas valg om å ikke gjøre appens kildekode tilgjengelig for offentligheten.
– Jobben et open source-miljø ellers ville gjort
Ekspertgruppen får tilgang til kildekoden for å gå igjennom og vurdere eventuelle sårbarheter som må lukkes. Dette vil ifølge Helse- og omsorgsdepartementet bidra til å øke kvaliteten og gjøre appen enda tryggere.
Departementet har bedt IKT-Norge foreslå medlemmene i ekspertgruppen, for å sikre uavhengighet. Bestillingen var deltakerne med kompetanse og erfaring fra teknisk utvikling og operasjonell erfaring med mobile løsninger, gjerne med mange brukere og lange/distribuerte verdikjeder.
Medlemmene er fra akademia og næringsliv. Gruppen ledes av Jeanine Lilleng, CTO og COO i MazeMap. Deltakerne kan benytte ressurser i egen organisasjon til bistand.
– Gruppen startet arbeidet sitt på lørdag, og fikk tilgang på alt av rapporter, kildekode og arkitektur i løpet av helgen, så vi har hatt ganske god tid til å sette oss inn i materialet, sier Lilleng til Digi.
– Gruppen er delvis opprettet som en respons på at folk i fagmiljøet har etterlyst åpen kildekode. Mye av jobben vi har gjort er den jobben et open source-miljø ellers ville gjort, sier hun.
Øvrige medlemmer av gruppen er:
- Basel Katt, førsteamanuensis på NTNU, Forsker og underviser i Cyber Security.
- Odd Rune Lykkebø, postdoc NTNU.
- Bjørn Borud, Telenor.
- Øyvind Indrebø, Fremtind.
- Eivind Andreas Arvesen, Bouvet.
- Aleksander Slater, Olavstoppen.
- Elina Sande Heimark (sekretær).
Venter første rapport om kildekoden torsdag
Gruppen skal i første omgang levere en åpen rapport om kildekoden og sikkerhet torsdag 9. april, for de deler av løsningen som «tenkes produksjonssatt 14. april». Simula vil fortløpende rette opp eventuelle feil og sårbarheter som vil bli oppdaget i gjennomgangen, ifølge departementet. Endelig rapport om hele løsningen skal leveres innen 30. april.
Ifølge gruppeleder Jeanine Lilleng kommer gruppen da til å uttale seg om de bitene av løsningen som de allerede har sett på. Forventningen er at det kommer til å komme flere uttalelser fra denne gruppen fremover, etterhvert som vi får sett på flere deler av systemet.
– Vi har foreløpig sett på sikkerheten app-koden for Android og IOS, og backenden. Det vi ikke har sett på ennå er de delene som går inn på FHI og helseetatene, for de er ikke klare ennå.
I tillegg skal gruppen levere en rapport unntatt offentlighet til Simula og FHI, med kopi til departementet, om eventuelle identifiserte svakheter som må rettes.
Gruppen skal ifølge departementet studere all kode som kommer i berøring med personopplysninger, så langt det er mulig. Dette inkluderer all kildekode knyttet til systemet, koden til appen på alle telefonplattformer, koden til backend som mottar data fra mobiltelefonene, koden til løsninger for innsyn i data, kode for sletting av data og kode for varsling ut til befolkningen. De skal også gå gjennom verktøyene som er brukt for å lage koden.
Videre vil de få seg forelagt informasjon om alle biblioteker som er benyttet og hvilke utviklings- og kompileringsverktøy som er brukt, skriver departementet.
