I en kommentar signert «Simula Research Laboratory» forsøker Simula å gjøre rede for valget om å ikke dele kildekoden til app-en som utvikles i samarbeid med Shortcut på oppdrag for regjeringen via Helsedirektoratet. Simulas tilsvar gir dessverre uttrykk for en mangel på forståelse for sikkerhet og personvern som er mer bekymringsverdig enn selve valget om å lukke kildekoden.
De siste ukene har flere etterspurt og utviklet løsninger for å spore smitte i befolkningen slik at man kan iverksette målrettede tiltak. Det kan åpne for å lempe på de strenge restriksjonene som gjelder nå. Simula har fått oppdraget med å utvikle en mobil-app for å spore smitteutbredelsen. På bakgrunn av mangelen på etterrettelighet og åpenhet rundt app-en har advokat Jon Wessel-Aas advart mot å installere app-en, og er ikke alene om det.
Simula skriver at de «ønsker velkommen initiativer til at det kan komme inn andre, på en kontrollert måte, [som] ser oss i kortene eller tester sikkerhet i appen».
Hvis app-en får den distribusjonen helsemyndighetene håper på, og at oppimot 60 % av befolkningen tar den i bruk, så er det ingen tvil om at mange kommer til å se appen etter i kortene. Den første feilslutningen Simula gjør, er at sikkerhetstestingen vil skje på en «kontrollert måte» når app-en er lansert. Både mobil-appen og applikasjonene den kommuniserer med gjennom API-er som Simula har valgt å lukke, kommer til å bli ettergått av sikkerhetseksperter omtrent i samme øyeblikk som appen blir lansert.
Smittesporings-appen: Dropper åpen kildekode, vurderer andre kontrollformer
Det er klart at en app og et API som potensielt vil benyttes av flere millioner innbyggere, og som registrerer spesielt sensitive personopplysninger med uant potensiale for misbruk, kommer til å bli ettergått på eget initiativ av en rekke fagpersoner og eksperter. Både vennligsinnede «white hats» og aktører med onde hensikter kommer til å gå løs på oppgaven med stor entusiasme.
Simula ber oss om å krysse fingrene for at vennligsinnede finner potensielt kritiske sikkerhetshull før de blir misbrukt, uten å legge til rette for at disse kan bidra. Det er et svært risikabelt valg. Det eneste Simula oppnår ved å lukke kildekoden, er å høyne terskelen for å analysere sikkerheten app-en, slik at det trengs noe høyere ekspertise for å finne eventuelle svakheter. Simula kunne allerede flere uker før lansering ha åpnet kildekoden slik at fagpersoner kan følge utviklingen og påpeke eventuelle sikkerhetsproblemer fortløpende – før appen er i drift. Det er en rekke frivillige som står klare til å bidra.
Det trengs også åpenhet om vurderingene som ligger til grunn for valg av løsning. Den nye personvernloven forutsetter blant annet at det foretas en vurdering av personvernkonsekvenser. Det må gjøres risikovurderinger. Hvordan er rutinene for å sikre drift og datalagring? Hvor lagres dataene? Kunne problemet vært løst på en sikrere måte? Denne dokumentasjonen må vi forvente full åpenhet om, også før app-en er lansert. Regjeringen baserer seg i stedet på et prinsipp om hemmelighold, noe som også har blitt kritisert i andre områder av krisehåndteringen.
Simulas andre feilslutning er at de «ikke ønsker at ukjente aktører skal få tilgang til en kildekode som har potensiale i seg til å misbrukes ved å overvåke enkeltpersoner». Stater som måtte ha et ønske om å overvåke enkeltpersoner er fullt ut i stand til å utvikle slike løsninger selv. Og hvis det er noe de skulle ønske å gjenbruke fra app-en som Simula utvikler, så vil funksjonaliteten uansett kunne utledes ved hjelp av dekompilering og «reverse engineering».
Videre skriver Simula: «For noen med fiendtlige hensikter vil det å se kildekoden gjøre det lettere å foreta et ondsinnet angrep.» På den andre siden kan det argumenteres for at det å se kildekoden gjør det enklere for vennligsinnede utviklere og sikkerhetsanalytikere å avdekke feil før fienden gjør det. For vi må anta at eventuelle sikkerhetsfeil kommer til å bli avdekket.
Så trekkes Heartbleed-sårbarheten i kryptobiblioteket OpenSSL i 2014 fram som et eksempel på hvordan åpen kildekode visstnok ikke bidrar til å avdekke kritiske sårbarheter. Simula har selvfølgelig rett i at åpen kildekode i seg selv ikke er nok til å ivareta sikkerheten i en totalløsning, og at det er mulig å overse kritiske feil også i åpen kildekode. Men det er en feilslutning at åpen kildekode dermed skulle være et overflødig grep for å ivareta sikkerheten. Heartbleed ble ikke avdekket ved å lese gjennom kildekoden, men gjennom sikkerhetstesting av et produkt som benyttet OpenSSL-biblioteket. Feilen ville ha blitt avdekket uavhengig av om OpenSSL var åpen eller lukket kildekode. Men nettopp fordi OpenSSL er åpen kildekode, så kunne de som avdekket feilen foreslå en rettelse slik at koden raskt kunne rettes og publiseres.
Bør du laste ned myndighetenes smittesporings-app? Dette sier Datatilsynet
«Å tilgjengeliggjøre kildekoden fører ikke til økt personvern», påstår Simula nokså bastant, og viser til boka «The Huawei and Snowden questions» av Olav Lysne. Hovedpoenget i boka kan oppsummeres som den kjente metaforen om at sikkerhetskjeden bare er så sterk som det svakeste leddet, og peker spesielt på at sikkerhetssvakheter i maskinvare kan undergrave sikkerheten i kildekoden:
«We cannot assume that the absence of malicious actions in the source code guarantees freedom from malicious behaviour in the equipment itself» (Lysne, 2018)
Paradoksalt nok kommer mye av materialet boka er basert på fra Edward Snowden, som selv sterkt advarer mot den typen sporings-apper som Simula nå utvikler. Sikkerhetskjeden blir ikke sterkere ved å prøve å gjemme deler av den. Tvert imot advarer sikkerhetseksperter relativt unisont mot hemmelighold som sikkerhetsfaktor i programvareutvikling.
Redegjørelsen for hvorfor app-en ikke skal publiseres som åpen kildekode avsluttes med den noe pessimistiske og samtidig uangripelige konklusjonen: «Å lage programvare som er garantert fritt for feil i utgangspunktet har IT-verdenen så langt ingen løsning på».
Selv om vi i IKT-bransjen har til felles med resten av verden at vi ikke kan gi noen absolutt garanti mot feil, så har vi på samme måte som andre bransjer fått etablert beste praksis og lovverk for å unngå feil i størst mulig grad. Et sikkerhetstiltak alene, som å åpne kildekoden, utgjør selvfølgelig ingen garanti for sikkerheten som helhet. Men det må kunne forventes at man går de rundene som er nødvendig for å ivareta sikkerheten i en app med potensielt enorme personvernkonsekvenser. Det er bare to år siden ukjente fiendtlige aktører fikk tilgang til Helse Sør-Øst sine datasystemer og potensielt lastet ned helseopplysninger om tre millioner nordmenn. Det bør man ha i bakhodet når man er i ferd med å skape et av tidenes mest sensitive datasett om befolkningen.
Åpen kildekode eller ikke – det minste vi burde kunne forvente er åpenhet om beslutningsprosessene og frigjøring av sikkerhets- og personverndokumentasjon knyttet til løsningen.
Snart kommer FHI og Simula med app for smittesporing: Slik virker den