FHI har et samarbeid med Simula om å utvikle en app for å spore kontakt mellom folk med mobiltelefoner. Dersom en person er eller viser seg å bli smittet, kan man spore opp hvem vedkommende kan ha smittet via kontakt-dataene. Da har man grunnlag for smittesporing som gjør at vi kan lempe på de generelle isolasjonstiltakene vi har mot epedemien.
NRK hadde idag som hovedoppslag en artikkel under overskriften Advarer mot å installere FHIs korona-app . Dette gir et kraftig følelsesmessig signal til befolkningen om å holde seg unna. Dette er ikke bra for et system som forutsetter at de fleste av oss aksepterer løsningen og installerer appen. Jeg publiserte derfor følgende kommentar før artikkelen forsvant fra forsiden til NRK:
Overskriften er en tabloid brøler av NRK som kan plante forutinntatte holdninger i en sak som kan bli svært viktig for videre forløp og tiltak mot pandemien. Forutsetningen for å lykkes med tiltaket er en massiv aksept i samfunnet av appen slik at de fleste velger å installerer den. Da må personvernaspektene løses på en god og tillitsvekkende måte. Artikkelen belyser dette bra og diskusjon om dette er nødvendig, men overskriften er feil.
FHIs valg sammen med Simula birdar også til skepsis og kan vise seg å være avgjørende feil. Vi trenger åpenhet fra første stund om slike systemer. Simula har gått motsatt vei. De her fjernet koden fra Github og holder kortene tett til brystet. Er det personvern eller forretnings-hemmeligheter de skjuler?
Dette er en global utfordring som motiverer til globalt samarbeid om løsninger. Singapore appen foreslås som mulig åpen løsning, men de planlegger å frigi koden, den er ennå ikke fritt tilgjengelig.
Åpen kildekode og åpenhet om personvernspørsmålene burde være åpenbare forutsetninger for success. Utviklere fra navigasjonsselskapet Sygic (https://www.sygic.com/press/code-vs-corona-volunteers-and-developers-from-slovakia-are-offering-everyone-covid-19-app-for-free-as-open-source-software#) har forstått dette og inviterer til samarbeid med kildekode på https://github.com/CovidWorld
Hvorfor har vi ikke hengt oss på slik strategi? Simulas antydninger om «security by obscurity» er lite tillitsvekkende og kan gjøre det svært vanskelig å oppnå den nødvendige aksept i befolkningen.
Ny NRK artillel på https://nrkbeta.no/2020/04/09/simula-om-sporingsapp-omstridt-beslutning-skyldes-begrensninger-i-apple-produkter/#comment-938932 Som jeg har følgende kommentar til:
FHI har her begått en stor tabbe ved valg av Simula og lukket kildekode. Dette handler om tillit, og da er åpenhet fundamentalt. FHI burde satt seg inn i hva som foregår av tilsvarende åpne prosjekt, invitert til internasjonalt samarbeid og hengt seg på eller etablert et åpent kildekodeprosjekt. Istedenfor ber de Simula lage en lukket spesialløsning for Norge på et globalt problem. Kommentarene her illustrerer problemet: man gjør antagelser om virkemåte, lagring, sikkerhet og funksjondyktighet pga manglende innsyn.
Til og med formålet er ukart. Er det forskere og smittejegere som skal ha person og smittedata, eller er det hver enkelt av oss som skal få varsel om mulig smitte? Den sentrale lagrings og prosesseringsløsningen virker å være sentral, og dette er sikkerhetsmessig bekymringsfullt.
Google og Apple har lagd en spesifikasjon for varsling av muig smitte som unngår mesteparten av sentral lagring, se https://blog.google/documents/57/Overview_of_COVID-19_Contact_Tracing_Using_BLE.pdf
Dette ligner på en tidlig-versjon av løsningen publisert på https://devpost.com/software/wetrace-g9ocyi med kildekode på https://github.com/AndreasGassmann/WeTrace
Issue #3 viser hvordan tilbakemeldinger forbedrer løsningen sikkerhetsmessig, slik at ingen persondata trenger lagres sentralt og at info på hver telefon er anonym og kryptert.
Simua forsvarer manglende åpenhet med behovet for å skjule koden for hackere. Med andre ord antar de at det blir for enkelt å misbruke data om man får vite hvordan systemet virker. Dette er security by obscurity, et prinsipp vi forlot for minst 20 år siden. Så viser de til at åpen kidekode ikke fører til at feil nødvendigvis blir funnet med Heartbleed som eksempel. Dette er korrekt nok et avansert overread-hull i OpenSSL det tok år å oppdage. Men her dreier åpenhet først å fremst om å se hva app/system gjør og lagrer og i hviken grad grunnleggende personvern og sikkerhetshensyn er ivaretatt. Om man ikke ser forskjellen i størrelsesorden på disse problemene bør man diskvalifiseres.
FHI, ta dere sammen. Tillit er avgørende for at mange nok installerer appen. Da er åpenhet, og ikke bare fine ord og intensjoner, avgjørende. Nåværende løp er dødfødt. Start på nytt med et opensource prosjekt.