Dansk enegang med lukket corona-app

Blog-indlæg af Morten Kjærsgaard

Husker du sikkerhedsselen?
Nej, altså ikke at bruge sele, når du sidder i en bil, men husker du historien om 3-punkts selen – den som er standardudstyr i alle biler og har været det siden 70’erne? En ingeniør hos Volvo, Nils Bohlin, opfandt selen i 1959. Volvo tog, som det er kutyme, når man skal beskytte en opfindelse, patent på selen. Men helt usædvanligt frigav Volvo patentet i 1963, selv om bilfabrikken utvivlsomt kunne have tjent styrtende på opfindelsen som patentejer.

Volvo og Nils Bohlin ønskede at redde liv og droppede derfor at tage licensbetaling fra andre bilproducenter for at bruge selen. Volvo kunne også have hævdet – og bevist – at deres biler var de sikreste, hvis de havde beholdt patentet. Men det havde kostet liv, og det ønskede den svenske bilproducent ikke. I dag er 3-punkts-selen som bekendt udbredt over hele verden og standardudstyr i alle biler.

Dansk enegang med lukket corona-app
Formålet med den danske corona-app smittestop.dk er også at redde liv. Så meget har den til fælles med Volvos sikkerhedssele. Men dér stopper lighederne også. App’en blev til i et ualmindeligt klodset forløb. En stor it-leverandør tilbød app’en som gave til os alle sammen, angiveligt som udtryk for samfundssind., Men den ‘gratis’ app kom så alligevel til at koste 20 mio. kr. Udenom alle udbudsprocedurer.

Og i modsætning til, hvad de fleste andre lande omkring os har besluttet, så har den danske regering valgt, at kildekoden – opskriften – skal være lukket. Den skal ikke frigives som Volvos sikkerhedssele.

På smittestop.dk skriver myndighederne: “Nej, appens kildekode bliver ikke gjort offentlig tilgængelig. Det skyldes, at det vil øge risikoen for sikkerhedsbrud, idet personer eller organisationer med ondsindede intentioner lettere vil kunne hacke eller på anden vis angribe løsningen.”

Det er simpelthen noget vås. Med adgang til kildekoden, altså open source, kan alle inspicere kildekoden med henblik på at finde mulige sikkerhedsbrister. Linus Torvalds, manden bag det mest udbredte open source-system i verden, Linux, har lagt navn til en lovmæssighed: “Med tilstrækkelig mange øjne er alle fejl små”. Jo flere, der kan læse med på en open source-løsning, desto større sandsynlighed er der for, at en sikkerhedsbrist vil blive opdaget og lukket hurtigt.

” Kære danske myndigheder, få nu lukket et kaotisk og klodset forløb på den rigtige måde. Frigiv kildekoden, sådan at alle kan hjælpe med videreudvikling og med at finde svagheder og komme med forbedringsforslag. Det vil være klogt såvel som ægte samfundssind.”

Med lukket software som den danske corona-app har kun de få med adgang mulighed for at finde fejl. Og når en fejl er opdaget, kan det ofte tage uger eller måneder at frigive en rettelse til deres produkt.

Falsk sikkerhed
Så der er tale om falsk sikkerhed, når regeringen lukker kildekoden. Det forstår man i blandt andet Tyskland, Østrig, Italien og Storbritannien, der alle har fulgt WHOs og Europa-Kommissionens anbefalinger og frigivet deres corona-apps på en open source-licens. Og de har ovenikøbet angivet sikkerhed som argument for åbenheden. Man kan læse mere om sammenhængen mellem open source og sikkerhed i et blogindlæg, som min gode kollega Frederik Denning for nylig skrev på Version2 [https://www.version2.dk/blog/open-source-lige-saa-sikkert-proprietaer-software-1090939]

Staten har desværre ikke samme erfaring med at arbejde med open source – og med samarbejde i det hele taget – som kommunerne, der har skabt OS2-fællesskabet (Open Source og Offentligt Samarbejde – deraf de 2 OS’er), hvor 70 kommuner indtil videre deler løsninger på kryds og tværs. Kildekoden er åben, og kommunerne laver innovation på højt niveau med mange leverandører.

Så kære danske myndigheder, få nu lukket et kaotisk og klodset forløb på den rigtige måde. Frigiv kildekoden, sådan at alle kan hjælpe med videreudvikling og med at finde svagheder og komme med forbedringsforslag. Det vil være klogt såvel som ægte samfundssind.