Om Smittestopp-appen var eit fly så ville eg ikkje satt min fot ombord
16. april lanserte Folkehelseinstituttet appen Smittestopp og i anledningen annonserte Solberg at vegen til fridom er gjennom denne appen. Det var nærast ein Orwelliansk augenblink. Og no er det natt og eg er ein som lager slike apper som ikkje får sove fordi eg bekymrer meg for dette.
Smittestopp er knappt i gong med å hauste data, men den har allereie hausta mykje kritikk.
Appen hausta så mykje kritikk at Helse- og omsorgsdepartementet la ned eit uavhengig ekspertutval for å gjennomgå appen. Torsdag 9. April, i starten av påskeferien gav utvalet ifrå seg ein foreløpig rapport. Rett over påskeferien, tirsdag 14. April annonserte FHI at dei meiner at det er forsvarlig å lansere appen når den er klar.
Den foreløpige rapporten er på kun fem sider og eg råder alle til å lese denne. Frå mitt ståsted som utvikler presenterer rapporten ein edrueleg analyse med solide råd. Men det er likevel deler av rapporten som uroar meg. Til dømes: «tatt i betraktning den korte utviklingstiden er kodekvaliteten OK.» Videre vurderer utvalget det også som ok, gitt den korte tiden, at det er gjort manuell konfigurering av serverane som skal ta imot dei sensitive dataene. Manuell konfigurasjon er tilsynelatande ufarleg, men det åpner for menneskelige følgefeil uavhengig av kor flink utviklaren er. Rapporten påpeiker at det er beste praksis å sikte mot heilautomatisert konfigurasjon.
Om denne appen var eit fly så ville eg ikkje satt min fot ombord sjølv om den «holder OK kvalitet gitt den korte utviklingstiden». Ekspertutvalget påpeiker at det er ein heil del kritisk funksjonalitet som dei ikkje kan vurdere fordi det er ikkje lagd enda. Flyet mangler kanskje ein motor og ein vinge, men me skal lansere appen, ta av frå rullebanen og byggje resten mens flyet er i lufta.
Utvalet har rett i at det er ikkje uvanleg jamfør smidig utviklingsmetodikk å lansere uferdig software og iterativt videreutvikle med lærdom frå ekte brukerar. Dette er klassisk, «move fast and break things» tilnærming som giganter som særleg Facebook er kjent for. Sjølv har eg vore på mange prosjekter der me ruller ut endringer fortløpende og sprinter så raskt me kan med uferdig software. Det er nettopp difor eg sit på mitt ufrivillige koronakontor og grøsser.
Eg grøsser fordi IT-giganter med haugevis med penger, dei flinkaste folka og god tid klarer å tråkke i baret gang på gang. Det er utruleg kor lett brukerdata hamner på avveie. Denne kontinuerlege utlistinga av kjente lekkasjer av brukerdata taler for seg sjølv.
Faren for å miste sensitive data er faktisk så høg at fleire og fleire software løysinger kjem med innebyggd personvern. Eit av dei beste dømene på innebygd personvern er å ikkje samle inn personidentifiserbare data i det heile tatt. Eit spesifikt døme er når eg jobber for kunder og legger inn nettsidesporing for samling av besøksstatistikk, då aktiverer eg IP-maskering for å anonymisere IP-addressen før den forlet mobilen til brukaren.
Basert på det eg kan utlede i frå rapporten så har Smittestopp appen ingen innebygd personvern. Data frå appen blir rett nok sendt over kryptert linje, men den er høgst personidentifiserbar fordi lokasjonsdataene vil vere øremerka din spesifikke mobil og slett ikkje anonymisert. Eg vil driste meg til å hevde at dataene heller ikkje vil bli anonymisert før lagring. I staden er det kun når Simula og FHI vil hente data ut frå databasen at det vil bli tatt grep for å anonymisere data i den eksporterte statistikken. Dersom det er tilfelle at dataene ikkje blir aggregert og anonymisert ved lagring så vil det alltid vere ein risiko for at uanonymisert data skal kome på avveie.
Norsk historie har ei rekkje spektakulære IT-fadeser. Moderniseringsprosjektet til NAV er ein slik fadese på 700 millioner. Flexus var ein IT-fadese på minst 600 millioner. IT-skandalen i Helse Sør-Øst var ein fler-årig fadese der ikkje berre millioner blei skusla bort men pasientdata blei gjort tilgjengelig for underleverandører i utlandet.
Desse IT-skandalene er berre toppen av isberget og det er grunnen til at regjeringen har ekstra strenge investeringsregler for digitaliseringsprosjekt. Me er historisk dårlege på å forvalte store IT-prosjekt, og det har forskerar ved Simula forska på.
Fellesnemnaren for desse skandaleprosjekta er at det gjeld store organisasjoner, med mykje midler, flinke folk og god tid til å utvikle programvare. Likevel havarerer desse prosjekta i ein blanding av ansvarspulverisering og utredningståkelegging. I mine auger så skiljer FHI og Simula seg frå desse skandale-prosjekta berre med at dei har dårleg tid.
Når «koronaloven» endeleg blei vedteke i slutten av mars annonserte våre politikerar at «stortinget har tatt kontroll», i denne loven ligg det til grunn at stortinget skal vere ein vaktbikkje og sikre oss. No fryktar eg Stortinget søv i timen, som den sov i timen da Noreg gjekk til krig mot Libya i 2011.
I 2011 var det kaos på Stortinget, det var armer og bein og det var dårlig tid. Med påskudd om å beskytte sivil befolkning beslutta stortinget å få kampfly på vingene og bombe Libya. Først etter årevis med kritikk blei det beslutta å ta ein evaluering i 2018 som munna ut i rapporten Evaluering av norsk deltakelse i Libya-operasjonene i 2011. I boka Libyakrigen dokumenterer professor Ola Tunander korleis Noreg sin deltaking i Libya blei gjort på sviktande grunnlag, med manglande forståing av dei faktiske forholda.
Smittestopp appen er ikkje eit kampfly, men eg meiner at det representerer eit hastevedtak fremma av politikerar som risikerer å gå glipp av dei faktiske forholda.
Politikerane må stille spørsmålsteikn ved agendaen som driv Simula Research Lab til å byggje denne overvåkningsapplikasjonen. I digi.no så kan ein lese at arbeidet hos Simula er leda av professor Olav Lysne og research-professor Ahmed Elmokashfi. Olav Lysne er verdt å merke seg for han leda Lysne II-utvalget som foreslo eit system for masseovervåkning i 2017. Dette hausta brei kritikk, frå blant anna Datatilsynet som no er positiv til Smittestopp.
Faren for formålsutglidning er reell. Uttover dei sensitive brukerdataene så vil Simula opparbeide seg salgbar erfaring med masseovervåkning og felt-testa kode. Noreg er allereie ein betydeleg våpeneksportør, så kvifor skulle ein ikkje videreutvikle denne koden etter korona-krisen for eksport til utlandet? Det er ikkje sikkert utviklerane som er med på å gjere Smittestopp så bra som den kan bli veit nøyaktig kor koden dei skriv vil ende i framtida. Det politiske klimaet kan faktisk endre seg slik at koden blir videreutvikla for andre formål.
Mange vil gjerne sei at no har eg sett for mykje påskekrim. Men utviklerar blir faktisk lurt til å skrive uetisk kode. I 2018 lekka ein Google-ansatt eit memo om Project Firefly, der han forklarte korleis han hadde oppdaget at koden han skreiv var meint til å seljes til Kina til bruk i masseovervåkning. Det var først etter massiv kritikk at Google avsluttet prosjektet i 2019.
Folk kan tru Simula byggjer Smittestopp ut frå rein idealisme, men basert på kor positive dei har vist seg til masseovervåkning så kan man byrje å lure.
Stortinget må settje ned eit uavhengig tilsyn #
Stortinget må vakne opp og ta tilbake kontrollen dei sa dei hadde. Politikerane må ikkje ta FHI og Simula sine utsegn for god fisk, dei må lese særs nøye både den foreløpige rapporten og den kommande endelege rapporten i frå ekspertutvalet.
Politikerane våre må fylje opp rådet frå ekspertutvalet i den foreløpige rapporten og settje opp eit uavhengig tilsyn for Smittestopp som inkluderar både juristar og utviklerar. Av erfaring så veit eg at det er ikkje nok å sikre programvarekvalitet ved lansering eller dei fyrste månedene av levetida til ein applikasjon. Det må førast periodisk tilsyn så lengje denne applikasjon er i aktiv drift og Simula sit på desse sensitive dataene.
FHI har allereie mykje pengar til å byggje Smittestopp, men eg trur diverre det er ein for stor interessekonflikt som stopper dei frå å finansiere eit slikt tilsyn sjølv, som vil vere kritisk nok. Som ein bekymra skattebetaler så vil eg gladeleg at mine skattekroner finansierer eit slikt tilsyn.
Eg er like brakkesjuk som resten av Noreg. Eg har gamle slektninger som eg tenkjer på kvar dag. Mor mi er sjukepleiar og kan skrive under på kor alvorleg denne krisa er. Me må alle vise solidaritet med dei som er i utsatte grupper i samfunnet. Og eg har djup respekt og takksemd for helsepersonell, butikkpersonell og alle andre som står på kvar dag no for å halde samfunnsmaskineriet i gong under denne krisa.
Det er ikkje utan moralsk ambivalens at eg roper varsku. Ja, denne Smittestopp appen kan overvåke oss til ein korona-fri kvardag. Men kva skjer etter det? Eg meiner at det faktisk er så uendeleg viktig at stortinget sikrer uavhengig tilsyn av Smittestopp, og at me alle tenkjer grundig gjennom kva Smittestopp inneber for framtida til det norske folk.
Takk til Øyvind Storli Hoel, Thomas Lie-Gjeseth, Anna Torgersen og Mari Myren for verdifulle tilbakemeldinger på mine tekstutkast.