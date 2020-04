«Smittestopp» får meg til å grøsse

Om appen var eit fly, så ville eg ikkje sett min fot om bord.

16. april lanserte Folkehelseinstituttet appen Smittestopp, som skal gjere oppsporingsarbeidet av koronasjuke lettare. Apputviklar Nils Norman Haukås er kritisk til appen. Foto: Stian Lysberg Solum

Debattinnlegg

Nils Norman Haukås Utviklar ved Netlife Design, nilsnh.no

16. april lanserte Folkehelseinstituttet appen Smittestopp, utvikla av Simula Research, og Erna Solberg (H) annonserte at vegen til fridom er gjennom denne appen. Det var nærast ein Orwelliansk augneblink. Eg, som ein som lager slike apper, får ikkje sove fordi eg bekymrar meg for dette.

Smittestopp er knappt i gong med å hauste data, men den har allereie hausta mykje kritikk.

Appen hausta så mykje kritikk at Helse- og omsorgsdepartementet la ned eit uavhengig ekspertutval for å gjennomgå appen.

Torsdag 9. april gav utvalet frå seg ein foreløpig rapport. Tysdag 14. April annonserte FHI at dei meiner at det er forsvarleg å lansere appen når den er klar.

Den foreløpige rapporten er på berre fem sider, og eg råder alle til å lese denne. Frå mitt ståstad som utviklar presenterer rapporten ein edrueleg analyse med solide råd.

Nils Norman Haukås Foto: Privat

Men det er likevel deler av rapporten som uroar meg. Til dømes: «tatt i betraktning den korte utviklingstida er kodekvaliteten ok». Vidare vurderer utvalet det også som ok, gitt den korte tida, at det er gjort manuell konfigurering av serverane som skal ta imot dei sensitive dataene.

Manuell konfigurasjon er tilsynelatande ufarleg, men det opnar for menneskelege følgjefeil uavhengig av kor flink utviklaren er. Rapporten påpeiker at det er beste praksis å sikte mot heilautomatisert konfigurasjon.

Om denne appen var eit fly, så ville eg ikkje sett min fot om bord, sjølv om det «holder ok kvalitet gitt den korte utviklingstida». Ekspertutvalet påpeiker at det er ein heil del kritisk funksjonalitet som dei ikkje kan vurdere, fordi det er ikkje lagd enda. Flyet manglar kanskje ein motor og ein vengje, men me skal lansere appen, ta av frå rullebanen og bygge resten mens flyet er i lufta.

Utvalet har rett i at det er ikkje uvanleg jamfør smidig utviklingsmetodikk å lansere uferdig programvare og iterativt vidareutvikle med lærdom frå ekte brukarar.

Dette er klassisk, «move fast and break things» tilnærming som gigantar som særleg Facebook er kjent for. Sjølv har eg vore på mange prosjekt der me ruller ut endringar fortløpande og sprintar så raskt me kan med uferdig programvare. Det er nettopp difor eg sit på mitt ufrivillige koronakontor og grøsser.

Eg grøsser fordi IT-gigantar med haugevis med pengar, dei flinkaste folka og god tid klarer å tråkke i baret gang på gang. Det er utruleg kor lett brukardata hamner på avvege. Denne kontinuerlege utlastinga av kjente lekkasjar taler for seg sjølv.

Faren for å miste sensitive data er faktisk så høg at fleire og fleire programvare løysingar kjem med innebygd personvern. Eit av dei beste dømene på innebygd personvern er å ikkje samle inn personidentifiserbare data i det heile tatt. Ein kan til dømes legge inn IP-maskering for å anonymisere IP-addressen før den forlèt mobilen til brukaren.

Basert på det eg kan resonnera ut ifrå rapporten så har Smittestopp-appen ingen innebygd personvern. Data frå appen blir rett nok sendt over kryptert linje, men den er høgst personidentifiserbar fordi lokasjonsdataene vil vere øyremerkt din spesifikke mobil og slett ikkje anonymisert.

Eg vil driste meg til å hevde at dataene heller ikkje vil bli anonymisert før lagring. I staden kan det sjå ut som det først er når Simula og FHI vil hente data at det vil bli tatt grep for å anonymisere data.

Dersom det er tilfelle – at dataene ikkje blir aggregert og anonymisert ved lagring – så vil det alltid vere ein risiko for at identifiserbare data skal kome på avvege.

Norsk historie har ei rekke spektakulære IT-fadesar. Moderniseringsprosjektet i NAV er ein slik fadese på 700 millionar. Flexus var ein IT-fadese på minst 600 millionar. IT-skandalen i Helse Sør-Øst var ein fler-årig fadese der ikkje berre millionar blei skusla bort men pasientdata blei gjort tilgjengeleg for underleverandørar i utlandet.

Desse dømene er berre toppen av isberget, og det er grunnen til at regjeringa har ekstra strenge investeringsregler for digitaliseringsprosjekt. Me er historisk dårlege på å forvalte store IT-prosjekt, og det har forskarar ved Simula forska på.

Fellesnemnaren for desse skandaleprosjekta er at det gjeld store organisasjonar, med mykje middel, flinke folk og god tid til å utvikle programvare. Likevel havarerer desse prosjekta i ein blanding av ansvarspulverisering og utredningståkelegging. I mine auge så skil FHI og Simula seg frå desse skandaleprosjekta berre i det at dei har dårleg tid.

Politikarane må ikkje ta FHI og Simula sine utsegn for god fisk, dei må lese særs nøye både den foreløpige rapporten og den komande endelege rapporten ifrå ekspertutvalet.

Politikarane våre må følje opp rådet frå ekspertutvalet i den foreløpige rapporten, og setje opp eit uavhengig tilsyn for Smittestopp som inkluderer både juristar og utviklarar.

Av erfaring så veit eg at det er ikkje nok å sikre programvarekvalitet ved lansering eller dei fyrste månadene av levetida til ein applikasjon. Det må førast periodisk tilsyn så lengje denne applikasjon er i aktiv drift og Simula sit på desse sensitive dataene.

Det er ikkje utan moralsk ambivalens at eg roper varsku. Ja, denne Smittestopp appen kan overvake oss til ein korona-fri kvardag. Men kva skjer etter det?

Eg meiner at det faktisk er så uendeleg viktig at stortinget sikrar uavhengig tilsyn av Smittestopp, og at me alle tenkjer grundig gjennom kva Smittestopp inneber for framtida til det norske folk.