IT-sikkerhet: Ansvarspulverisering satt i system

Transkript

1 Notat av Knut Yrvin i Skolelinux 3. oktober 2003 (utgave 1) 22. september 2004 (utgave 2) 24. april 2005 (utgave 3) IT-sikkerhet: Ansvarspulverisering satt i system Skolelinux rettet to grunnleggende spørsmål i forhold til leverandørenes ansvar for feil og mangler som følger med programvaren, og tjenestene på Internett. FN-rapporten for E-handel og utvikling fra 2003 oppsummerer situasjonen i en setning: Produsenteid (proprietær) programvare garanterer ikke for kvaliteten i den hensikt å unngå rettslig ansvar. Kilde: Selv om myndighetene gjør hva de kan for å hjelpe befolkningen med informasjon om datasikkerhet har man ingen å holde ansvarlig når noe går galt med programvaren. Dette kommer klart fram av standard lisenser som gjelder for den programvaren du bruker i dag. Første spørsmål er derfor: Spørsmål 1: Hvilke tiltak kan myndighetene gjøre for å holde leverandører av datasystemer ansvarlig for sikkerheten? Produsenter av dataprogram og nettleverandører har omfattende systemer for å hindre at de blir holdt juridisk ansvarlig for eventuelle sikkerhetsbrister. Kunden faller mellom to stoler, og må kjøpe tilleggsprodukter for å «lappe sammen» produkter fra produsenter som fraskriver seg juridisk ansvar. Spørsmål 2: Hvorfor har leverandører av produsenteid programvare gitt et unntak fra bruker- og operatørkravet til etterprøvbarhet og full endringsrett i datasystemene? I andre tekniske fag har operatør eller bruker full rett til å utbedre feil og mangler for å gjøre usikre systemer sikre. Er uhellet ute er det bestemt at man skal utbedre feil og mangler for å sikre helse og eiendom. Byggebransjen er underlagt demokratisk kontroll der inspektører har fullt innsyn i tegninger, og kan etterprøve byggetekniske konstruksjoner. Feil skal utbedres, og ansvarsforholdene er klare. Er uhellet ute, enten det gjelder flytrafikk eller en elektrisk brann skjer en åpne og grundig gjennomgang for å hindre at feil gjentar seg. Det er derfor vi har havarikommisjoner og bygninginspeksjoner. Dette er regulert med lov. Det er viktigere å utbedre feil og mangler for å sikre helse og eiendom, enn å holde konstruksjonene skjult. Operatør har full frihet til å utbedre feil og mangler om ikke leverandøren kan holdes ansvarlig. Med produsenteid programvare har man ingen å holde juridisk ansvarlig, står det å lese i lisensene. Man har heller ingen rettigheter til å gjøre om på, eller utbedre de feil man skulle finne. Man stiller heller ikke krav til leverandøren av programvaren at de må utbedre skadelige feil og sikkerhetsbrister, noe som ligner på situasjonen i bilindustrien for 40 år siden. Dette notatet gir bakgrunn for våre to spørsmål.

2 Innholdsliste 1 Når noe går galt Hvem betaler for feilen? Hvem utbedrer feil og mangler? Økt kompleksitet Men burde ikke programleverandøren rette feilene? Husmann på den elektroniske landevei Hva gjør de store? Sikkerhet gjennom uoversiktlighet Datasikkerhet er umulig uten fullstendig innsyn Oppsummering om datasikkerhet Når noe går galt For folk flest vil man først merke betydningen av en teknologiavtale når noe går galt. Det er først når noe går galt man spør hvem man må henvende seg til, eller hvordan man får rettet opp i feil og mangler. Siste uka i august 2003 ble jeg oppringt klokka 23:11 om natta. Partilederen i lokallaget hadde fått virus på datamaskinen sin. Det var valg, og han bare måtte ha tilgang til e-post og elektroniske dokumenter. Han hadde ringt Telenor som anbefalte han en service-person som kunne hjelpe, og lurte på om det var lurt. Jeg svart at han burde betale for denne hjelpen. Et par uker senere fikk jeg høre at det hele hadde gått bra. Å rydde vekk virusene kostet 3500 kroner. Det eneste som gjenstod nå var å få lest MS Office-dokumentene. Han måtte taste inn en kryptisk kode for å få startet Microsoft Office. For å få koden måtte han samle masse data fra datamaskinen, og sende faks til Sverige. Han så for seg at dette ville ta halvannen dag å samle opplysninger, sende faks til Sverige, og legge inn aktiviseringskoden. Det endte med at han fikk tak i den «hemmelige» koden fra en annen i partilaget som også hadde Microsoft Office. Et annet eksempel jeg fikk var en inspektør på en skole som hadde installert OpenOffice på fem forskjellige utgaver av Windows i tillegg til Skolelinux. OpenOffice virket bra på Windows 98, Windows 2000 og Skolelinux. Men på Windows NT var det problemer. Det gjaldt den norske utgaven, ikke den engelske. Han fortalte også at han hadde installert 5 forskjellige utgaver av OpenOffice på Windows NT-systemet sitt. Han ble anbefalt å ta kontakt med IT-staben i sin kommune for å rydde opp i alle installasjonene. Eksemplene viser at man raskt trenger hjelp av fagfolk om man skal få maskinen på lufta etter et virusangrep, eller at man har installert for mange utgaver av et program. Man må kontakte eksperter uavhengig om det er et dataprogram som svikter, eller CD-spilleren har sluttet å virke. Fagfolka får betalt på samme måte som en rørlegger som tetter en vannlekkasje, eller en elektriker som utbedrer en defekt kontakt. Dette er fagfolk som får betalt for sine tjenester uavhengig av om dette gjelder leveranse av nytt utstyr, eller utbedring av feil på utstyr i bruk. Man er sjeldent eller aldri i kontakt med f.eks. Philips som har levert CD-spilleren, eller om mediaspilleren (Windows Media Player) fra Microsoft leverer fra seg personopplysninger du ikke har godkjent. 2 Hvem betaler for feilen? Som vi ser er det vanlige å henvender seg til fagfolk ved feil. Men hvem dekker kostnadene ved feil og mangler i dataprogrammene? Rådgiverfirmaet Cybersource i Australia har gått igjennom avtaleforholdet som følger med produsenteid programvare fra Microsoft og fri programvare som har en GNU-lisens. En av de mest gjentatte påstander fra brukere som kjøper og kjører

3 Microsoft-programmer med EULA er at de gjør dette for å ha noen å holde juridisk ansvarlig dersom programvaren svikter eller fører til katastrofale feil. Dette er en fullstendig feil fordi EULA eksplisitt fratar brukeren av Microsoft-programmer alle åpninger, alle muligheter for hjelp, og erstatning av noe slag. I beste fall, kan man få igjen pengene for produktet, eller 5 dollar (USD). Videre, så langt forfatteren kan se, er det ikke en eneste person eller organisasjon som bruker Microsoft-programmer som har nådd fram i retten grunnet applikasjonsfeil eller katastrofale kræsj i selskapets 27 årige historie. Skulle noen ha eksempler kjærkommen om noen skulle kjenner et tilfelle. Cybersoruce trekker også fram umuligheten for å holde noen ansvarlig ved bruk av fri programvare. Siden denne programvaren lisensieres uten kostnader gis ingen garanti for programmet, bortsett fra når garantier må gis i følge gjeldene lovverk. Utenom når det uttrykkes skriftlig av opphavsrettsinnehaver og/eller andre parter tilbys programmet «som den er» uten garantier av noe slag [...]. Hele risikoen for kvalitet og anvendbarhet bæres av bruker. Om programmet skulle vise seg å ha mangler bærer bruker alle kostnader for alle nødvendige tjenester, reparasjoner, eller rettelser. Utvikler av programvaren har fraskrevet seg alle garantier ved programvaren uavhengig om den er fri eller produsenteid. GNU-lisensen forklarer dette med at programvaren kan brukes uten lisenskostnader. Det er ikke forklart hvorfor brukerne er fratatt alle muligheter for å be om erstatning ved programvare som er kjøpt fra Microsoft. Til forskjell fra brukere av produsenteide dataprogram kan man betale for garantier ved bruk av fri programvare: You may charge a fee for the physical act of transferring a copy, and you may at your option offer warranty protection in exchange for a fee. -- General Public License version 2, June 1991 That the Software comes 'as is', with no warranties. None whatsoever. -- Microsoft Shared Source License Version 1.0 Skulle det være en alvorlig feil som krever innsats av fagfolk så er det uansett du som må betale. Forskjellen mellom fri programvare og produsenteid, er at man med produsenteid må betale for programvare med feil uten mulighet til å rette feilen. Med andre ord har man mindre penger til å rette feilen i det den oppstår. Dette er viktig å merke seg da alle program har innebygde feil og mangler i det den lanseres. Med fri programvare kan man utbedre feil og mangler på egenhånd, eller betale andre for dette gjennom en garantiavtale, eller å betale noen for jobben. Flere selskap tilbyr slike «garantier» gjennom forskjellig avtaleformer som garantier, forsikring, vedlikeholdsavtaler osv

4 3 Hvem utbedrer feil og mangler? Det er like stor forskjell på folka som jobber innen programvare som i andre tekniske fag. Det er en gigantisk forskjell mellom å kjøre tog, og bygge lokomotiv. Det er stor forskjell mellom å selge billetter, og rette signalfeil langs togsporet. Å vedlikeholde et lokomotiv er noe helt annet enn å konstruere det. På samme måte er det stor forskjell i hva man får til å gjøre med programvare. En service-person har en begrenset rolle når virus skal fjernes, som historien over illustrerer. I noen timer tar service-personen en operatørrolle, fjerner uhumskhetene, og gjenoppretter systemet slik at det kan brukes på så og si samme måte som før. Partilederen fikk et solid oppgradering av virusprogrammet på sin datamaskin. Virusprogrammet er levert av en av mange sikkerhetsorienterte datafirma som lager tilleggsprogrammer som bøter på de innebygde svakheter som følger med dataprogrammene. Dette er programmer du må kjøpe, og hele tiden oppdatere. Bill Gates hos Microsoft forteller at du ikke trenger perfekte kode for å unngå sikkerhetsproblemer. Det er ting vi gjør som bidrar til at koden nærmer seg det perfekte i form av verktøy, sikkerhetsgjennomganger og liknende ting. Men det er to andre teknikker vi anbefaler: En er blir kallt brannmur og det andre er å holde programvaren oppdatert. Ingen av disse tingene (virus og ormer) skjer med personer som gjør begge deler hevder Gates i nettavisen ITbusiness i Canada Universitetet i Oslo har valgt en annen strategi. De satser på hurtig lapping av sikkerhetshull og kontinuerlig nettovervåkning framfor å satse på kjøp av tilleggsprogrammer og ekstraløsninger for å bøte på feil. Vinterens hackerinnbrudd på universitetene i Oslo og Trondheim viser at kontinuerlig nettovervåking og lapping av sikkerhetshull kan være vel så viktig som kraftige brannmurer. Lærdommen er at det ikke går an å stole helt og fullt på noen. Selv sikkerhetsprogrammer kan inneholde hull forteller Andreas Strøm og assisterende it-direktør Lars Oftedal i Computerworld ( ). Hullet i UiOs sikkerhetsløsning oppstod fordi de hadde fått med seg et ekstra program da de installerte programvare som i seg selv var sikker. I og med at ingen visste at programmet lå der, var det heller ikke oppdatert og sikret (patchet) på vanlig måte. [...] Det er skummelt å få en cd med programvare i hånda. Du kan ikke regne med at den norske leverandøren vet hva som følger med, sier Lars Oftedal. Disse historiene klippet fra nettpressen viser at det er operatøren som tar alt ansvar for at dataprogrammene virker. Microsoft-gründer Bill Gates sier at det først og fremst er brukernes ansvar å unngå sikkerhetsproblemer. På hjemmedatamaskinen er det du selv som er operatør og bruker. Derfor er datasikkerheten først og fremst ditt problem. På jobben er det som oftest en driftsavdeling som utbedrer feil og mangler, og problemene er driftsavdelingens problem. Eller for å sitere IT-sjefen i Sarpsborg kommune: Med hensyn til tryggheten fratar Microsoft End User Licence Agreement brukeren de fleste juridiske rettigheter ved svikt i programvaren, skriver kommunen. Feil og mangler er ditt ansvar uavhengig av om du hører på Bill Gates som anbefaler kjøp av brannmur og andre tilleggsprogrammer, eller du velger å lappe sikkerhetshull i selve programmet som på Universitetet i Oslo. Man kan ikke en gang stole på sikkerhetsprogrammene man kjøper slår de fast på Universitetet. Som leder av Sårbarhetsutvalget advarte Kåre Willoch kraftig mot å undervurdere betydningen av

5 datasikkerhet. Han forklarte hvorfor i et oppsummerende foredrag i Oslo Militære Samfund 15. januar Jeg må understreke at datateknologien også er en særlig viktig bidragsyter til den mer omfattende nye risiko for samfunnet som det er mitt oppdrag å tale om nå. (...) Når man ser hva amatør-«hackere» kan få til, bør man bli bekymret over hva som kan skje dersom ressurssterke grupper eller stater vil lamme våre datasystemer. 4 Økt kompleksitet Arne Laukholm fra Den Norske Dataforening forteller om den økte kompleksitet i programvareproduktene vi omgir oss med i hverdagslivet under en høring om teknologipolitikken i regi av Teknologirådet (september 2003). Kompleksitet er blitt så stor at vi er i ferd med å miste kontrollen sier han. Eksemplet er at Microsoft XP har hatt 33 sikerhetsbulletiner siste år. Redhat 9 har hatt 44 sikkerhetsbulletiner. (Laukholm underslår det faktum at en RedHat-distribusjon har flere tusen programpakker hvor Microsoft har lagt ved noen hundre. Se kort notat: Konsekvensen av dataviruset Sobig.F på Windows ligger på ca. 1 milliard USD bare i USA (Business Week) i form av tapt arbeidstid. At det fort blir store beløp er lett å forstå når vi ser hvor mye tid og penger det tok å fjerne virus, og skaffe tilgang til egne programmer hos partilederen partilaget til undertegnede. Microsoft sin salgsavdeling bruker et egenprodusert notat hvor de sammenlikner sikkerhetsvarslene mellom forskjellige utgaver av Windows og Linux. Notatet ble delt ut på Statens dataforum 19. februar Notatet viser at Microsoft-programmene har langt færre sikkerhetsvarsler enn på forskjellige Linux-utgaver som RedHat, SuSE og Debian. Microsoft har lagt til grunn absolutte tall for sikkerhetsvarsler uten å opplyse om antall programpakker. Det betyr at selskapet har utelatt antall dataprogram som følger med en standard CD med operativsystem og brukerprogram. Når man tar hensyn til antall programpakker får vi følgende andel sikkerhetsvarsler: Windows 2000 har 28% sikkerhetsvarsler (34 varsler / 120 pakker) Debian Linux har 1,4% sikkerhetsvarsler (124 varsler / 8710 pakker) html Poenget med å vise fram argumentasjonene til en leverandør av produsenteid programvare, er for å illustrere hvordan selskapet tåkelegger spørsmål om sikkerhet. Gjennom det unngår man å snakke om hvordan kunder og brukere av systemene oppfatter problemene. Man skygger også for grunnleggende metode for å ivareta sikkerhet som er standard i alle andre tekniske fag, enten det er snakk om flytransport, eller byggsikkerhet. Som virkemiddel mot sikkerhetsproblemene må programvaren forenkles anbefaler Laukholm. Han etterlyser enklere arbeidsplassløsninger gjennom tung standardisering, og gradvis overgang til mindre komplekse omgivelser enn Windows-familien. Samspillet mellom styringssystemene våre er stadig mer krevende. Det blir stadig mer krevende å utveksle data mellom forskjellige systemer internt. Det er unødig komplisert å utveksle data med øvrige systemer i samfunnet. Derfor anbefaler Laukholm sterk standardisering av datautvekslingen mellom nøkkelsystemer. En forutsetning er tilgang til koden til grensesnittene, slik at nødvendige tilpasninger kan gjøres kjapt og resultatene kan tilbakeføres fellesskapet (med andre ord Open Source/GPL og liknende lisensiering).

6 5 Men burde ikke programleverandøren rette feilene? Arne Laukholm i Den Norske Dataforening forteller at det er for små konsekvenser for leverandører av programvare med for lav kvalitet. En bygningsingeniør som konstruerer en bru som bryter sammen vil trolig miste jobben. Han spør: Hva er konsekvensene for de som koster samfunnet milliarder gjennom svak programkvalitet? Sårbarhetsutvalget plasserer ansvaret for datasikkerheten på brukerne: Utvalget anbefaler at man beholder den grunnleggende retningslinje for sikkerhetsarbeidet som man har bygget på gjennom svært mange år nå, nemlig at den instans som har ansvaret for driften av en virksomhet, har også ansvaret for at sikkerheten er god nok. Men vi erkjenner at dette ikke alene kan bli godt nok, av særlig to grunner. Den ene er den normale tendens til at sikkerhetsarbeid altfor lett kan komme i bakgrunnen når tid eller økonomi er presset, hvis det ikke er noen utenfor vedkommende instans som passer på at man ikke forsømmer det. Den andre grunn til at man trenger en fornyelse av hele opplegget er det uvanlig høye tempo i de teknologiske og økonomiske forandringer. Amerikanske myndigheter har rapportert om situasjonen i USA i rapporten: «Cybersecurity Today and Tomorrow: Pay Now or Pay Later Rapporten viser til at den amerikanske regjeringen selv har gått i spissen for dårlige holdninger, og viser blant annet til det mislykkede Orange Book-programmet: Myndighetene gikk først i bresjen for krav om sikre IT-systemer. Men når bransjen produserte sikrere systemer, nektet myndighetene å kjøpe dem, fordi de hadde dårligere ytelse og funksjonalitet enn usikrede systemer på markedet. Som Willoch forklarer er det ansvarlig for driften som har ansvaret for at sikkerheten er god nok. Sårbarhetsutvalget etterlyser noen som etterprøver sikkerheten i systemene. I andre sammenheng har man uavhengige kommisjoner som gransker leverandør når uhellet er ute. Enten det gjelder opprettelse av en havarikommisjon ved flyulykke, eller bygningsinspeksjon ved ferdigstillelse av et hus, så har samfunnet bygd opp et formidabelt apparat for å sikre liv og helse. I Tyskland har man opprettet et føderalt kontor for IT-sikkerhet (Bundesamt für Sicherheit in der Informationstechnik (BSI) Samfunnet har institusjonalisert kravet til å lære av feil og manglende som finnes i de menneskapte konstruksjonene. Feil og manler skal ubedres, og det raskt. Alternativet er at folk ikke får lov til å bruke bestemte fly, tog eller bygninger. Spørsmålet er om brukerne er gitt de mulighetene som må til for å holde systemene sikre, hvor det kan være et stort behovet for å utbedre nyoppdagede feil og mangler. 6 Husmann på den elektroniske landevei Gullsmed Thomas Heyerdahl belyser taktikken til leverandører av produsenteid programvare. Bare det å leie Internett var et problem, sier han. Selskapet ble nedlesset av søppelpost og andre uhumskheter uten at nettleverandøren fortalte noe om dette. Så ringer han om problemet, og får beskjed om at det bare er å kjøpe et par tilleggsprodukter. «Men hvem vil vel ha spam og virus? Kan de ikke selge meg filtrering med en gang, så er vi ferdig med det!», sier han. Videre fikk han en rekke tilleggsregninger på datasystemer hvor han nærmest blir tvunget til å kjøpe «sikkerhetsprodukter». Man får 2 dager på å bestemme seg å kjøpe delsystemer for sikkerhet som ikke er obligatoriske, men er lurt å ha. Med så korte tidsfrister, og med ansvar for å lede en bedrift med 3 avdelinger og 25 ansatte, har man ikke mulighet til å overskue situasjonen. Ut fra hans ståsted fikk selskapet en ekstraregning på kroner for flere delsystemer han ikke hadde kompetanse å vurdere. Ingen holder leverandøren ansvarlig for å levere en helhet knyttet til sikkerhet, og de hovedproduktene han trenger må «lappes på», uten at han som kunde har mulighet til å vurdere kvaliteten på leveransen. Lite vet gullsmed Thomas Heyerdahl om han har noen garantier for den programvaren han har kjøpt...

7 Kort sagt har man få muligheter for å sjekke om andre dataleverandører leverer sikrere løsninger. Nye bilder får i dag en omfattende test i EU med klar vurdering av sikkerheten. Dataprogram er ikke utsatt for uavhengig testing, og vurdering av avtalevilkår som er standard når man kjøper mobiltelefon og andre produkter og tjenester. Forbruker og småbedrifter kan enklere orientere seg i jungelen av produkter, og vurdere kvaliteten av det man får kjøpt. I så måte har man ved utforming av nettvett.no flere utfordringer enn at det må være på et godt norsk språk, forståelig for bestemor og de over 50. Etter hva vi forstår er det stort sett leverandører av sikkerhetsløsninger som har levert innspill til nettvett.no. Flere av disse har klare egeninteresser for å fremme salg av tilleggsprodukter folk og bedrifter kanskje ikke trenger. Ved å velge annen leverandør av teknologi med samme effekt og nytte, så kan det hende man slipper å kjøpe f.eks. viruskontroll - rett og slett fordi systemet du bruker tetter sikkerhetshull på andre måter. 7 Hva gjør de store? For ett år siden laget MITRE en rapport om bruk av frie og åpne kildekodeprogrammer i Det amerikanske forsvaret (US Department of Defence). Jeg har tatt med oppsummeringen fra side 2 i rapporten (oversatt til norsk): Hovedkonklusjonen av analysen er at fri og åpen programvare spiller en mer kritisk rolle i Department of Defense enn hva som har vært allment kjent. Fri programvare er viktigst innen fire hovedområder: Støtte til infrastruktur, programvareutvikling, sikkerhet, og forskning. Et uventet resultat var graden av sikkerhet som avhenger av fri programvare. Å forby bruk av fri programvare innen forsvaret vil ha som følge at man fjerner infrastrukturenheter som bidrar til sikkerheten i datanettene (f.eks. OpenBSD). Det vil begrense Departementets ekspertise innen bruk av kraftige analyseverktøy som er basert på fri programvare, og innen spionprogram som kan brukes av fiendtlige grupper til å forberede dataangrep. Til slutt vil det fjerne evnen fri programvare har til hurtige oppdateringer som svar på nye typer dataangrep. Alt i alt impliserer dette at et forbud mot fri programvare vil få umiddelbare, brede, og sterke negative følger for muligheten for forsvar mot dataangrep. Dette er et viktig anliggende for mange sikkerhets- og sensitivitetsorienterte grupper i Det amerikanske forsvaret. Kilde: "FOSS" within the U.S. Department of Defense (versjon fra 2. januar 2003): Det har skjedd en betydelig omlegging av EU sitt syn på datasikkerhet EU har vedtatt resolusjoner mot programmer som leveres som lukket kildekode. EU anbefaler åpen kildekode for å unngå spionasje, lekkasje av industrihemmeligheter og bedring av personvernet i nettsamfunnet. EU er også på vei til å vedta lover mot personovervåkning som begrenser muligheten for private foretak å spore nettbevegelser. Datatilsynet i Norge følger arbeidet i EU med stor interesse, og sier at enkelte deler av personvernlovgivningen i Norge allerede er på linje med det EU ønsker å vedta. (EU anbefalinger mot overvåkning Statstjenestemenn i Kina sier de foretrekker bruk av programvare med åpen kildekode for å hindre sikkerhetsbrudd i programvare som vokter sensitiv statlig informasjon og datanettverk.

8 8 Sikkerhet gjennom uoversiktlighet I databransjen har det utviklet seg to angrepsvinkler for å ivareta sikkerheten. Microsoft anbefaler sikkerhet gjennom kjøp av tilleggsprogrammer. Man har ingen rett til å utbedre feil og mangler i systemet selv om enkelte stater og svært store bedrifter får innsyn i utvalgte deler av systemet. Dette kalles «sikkerhet gjennom uoversiktlighet» blant fagfolk i databransjen. Utviklere av fri programvare er sterke motstandere av sikkerhet gjennom uoversiktlighet. De anbefaler sikkerhet gjennom etterprøvbarhet. Brukerne er gitt en ufravikelig rett til å utbedre feil og mangler i programsystemene. Arne Laukholm i Den Norske Dataforening skriver at manglende produktkvalitet hos Microsoft gjør at en kritisk designfeil i en sentral programdel som brukes av alle utgaver av Windows blir liggende uoppdaget i 7 år. Dette er designfeil som utnyttes av de som lager datavirus. Fri programvare har også uoppdagede feil som kan utnyttes av datakriminelle. Når sikkerhetshullene oppdages kan de lappes på svært kort tid. Et eksempel er en kritisk feil i kernel til Linux som ble rettet på noen timer etter nyheten ble kjent på Slashdot. Det tok 3 timer for RedHat å tilby feilfikset pakke. Totalt tok det under 3 dager (64 timer) fra feilen ble gjort kjent internt i Linux-miljøet til det kom en offesiell feilfiks. Til sammenlikning tar det 45 dager å få publisert en feil hos CERT (Computer Emergency Response Team). Programlapp leveres umiddelbart tilbake til de som har ansvaret for programmet slik at alle får nytten av rettelsen. Muligheten en bruker har til å sikre seg mot feil og sikkerhetshull henger ufravikelig sammen med eierforholdet til programvaren, altså programvareavtalen. Har du produsenteid programvare er du prisgitt leverandørens velvilje ved utbedring av feil og mangler. Du må anskaffe en rekke med tilleggsprogrammer som også kan være usikre, noe Universitetet i Oslo blant svært mange har dyrkjøpt erfaring med. Bruker du fri programvare er du prisgitt innsatsen til titusenvis av dataeksperter som stadig utbedrer feil og mangler i programvaren. 9 Datasikkerhet er umulig uten fullstendig innsyn Sårbarhetsutvalget beskriver en tradisjonell ansvarsmodell hvor bruker er ansvarlig for sikkerheten i elektroniske systemer. Men sikkerhetsarbeidet kommer fort i bakgrunnen om det ikke er noen utenfor som passer på advarer Kåre Willoch. Skulle uhellet være ute er det bestemt at en skal lære av eventuelle feil ved grundig og åpen gjennomgang av de menneskeskapte konstruksjonene. Derfor er konstruksjonene åpne og tilgjengelige. Dette gjelder byggekonstruksjoner, elektriske installasjoner, transport og samfunnets lover og styringssystemer. Ved flyulykker går havarikommisjonen gjennom hendelsesforløp og kvaliteten på tekniske konstruksjoner. Granskerne har fullt innsyn, og resultatene blir publisert for offentligheten. En forutsetning for å skape sikre løsninger er at kunnskapen er fri og tilgjengelig - enten det gjelder bruk av Newtons lover i naturfaget, eller Norges lover fra Innsikt gir mulighet til å bygge på hva andre har erfart - enten det gjelder fysikkens lover, eller historiske kjensgjerninger. Dette gjelder både tekniske konstruksjoner, og samfunnsprosesser. Det er viktigere å utbedre feil og mangler - enn å sette liv og helse i fare. I et moderne samfunn vet vi at det koster for mye at hver generasjon skal finne opp alt på nytt. Historiske kjensgjerninger viser at sikkerhet bygger på etterprøvbarhet til de tekniske konstruksjonene, også kjent som vitenskaplig metode. Selv i dag brukes metoden som ble utviklet av filosofen Rene Descartes og dokumentert i Etterprøvbarheten gir også et grunnlag for å skape og dele da det inneholder et handelspolitisk prinsipp. Mulighetene for å skape er verdt mye mer penger enn å konsumere alt fra ett sted. Med andre ord er åpenhet den store garantisten for sikkerhet. Siden hver enkelt bruker selv er ansvarlig for sikkerheten i sine systemer, så må hver eneste bruker også ha fulle rettigheter til systemet. Da gjelder fullt innsyn og alle rettigheter til å rette feil og mangler. Å holde konstruksjonene hemmelige har store og vedvarende negative konsekvenser for sikkerheten.

9 10 Oppsummering om datasikkerhet I dag har man ingen å holde juridisk ansvarlig for produsenteid programvare selv om du har betalt tusener, hundretusener eller millioner av kroner for systemene. Brukerorganisasjonen og du som bruker er selv ansvarlig for å utbedre alle feil i programvaren, uten at de på noen måte har mulig eller tillatelse å utbedre sikkerhetsfeil selv. En del inngår avtale med service-organisasjoner for å følge opp de sikkerhetsfiksene produsenten av programvaren velger å legge ut. Det er vanskelig om ikke umulig for vanlige folk å styrke datasikkerheten på egenhånd. Det er i bunn og grunn to måter å hindre sikkerhetsbrudd. Den ene er å utbedre og rette på selve dataprogrammet hvor en oppdager et sikkerhetshull. Den andre er å anskaffe tilleggsprogram som bøter på svakheter i det programmet du bruker. Fri programvare har en brukervennlig avtale som gir full rett til å utbedre sikkerhetshull i selve programvaren. Har man produsenteid programvare er man prisgitt leverandørens velvilje da avtalen ikke gir noen garanti. Man kan også anskaffe tilleggsprogrammer som øker sikkerheten med fare for at det introduseres nye programmer som også har sikkerhetshull. Ved bruk av fri programvare er man «prisgitt» at noen bidrar med å utbedre sikkerhetshullene, og deler feilrettingene med alle andre. I praksis betyr dette at en ekspert i Kina fort kan tette et sikkerhetshull som vil ha stor betydning for brukere i England. Ved bruk av produsenteid programvare er man prisgitt om produsentene av tilleggsprogrammene reagerer raskt nok ved sikkerhetshull. Man er også prisgitt velviljen til leverandøren av den programvaren du egentlig ønsker å bruke. Operatører og brukere er fratatt å rette feil i selve programmet man bruker. Forsvaret i USA, og Europaparlamentet mener programvare basert på åpen kildekode er helt avgjørende for å sikre industrihemmeligheter og styrke forsvarsevnen. Dette er basert på praktiske erfaringer fra det virkelige liv og underbygges av omfattende og grundige rapporter. Noen av rapportene som er laget for å beskrive arbeidet med datasikkerhet er laget som motsvar på politisk press. Deler av programvareindustrien jobber for å forby bruk av fri programvare i det amerikanske forsvaret. I alle andre tekniske fag er åpenhet om de teknologiske konstruksjonene, og uavhengig granskning, en forutsetning når man vil sikre liv og helse. Dette bygger på 400 år gamle prinsipper som bygger på arbeidet med metoden av filosofen Descartes.