Politikkinnspill til arbeidsgruppa til moderniseringsdepartementet som ser på «utforming av politikk for bruk av åpne standarder i offentlig sektor» EFN gjentar mandatet fra Moderniseringsdepartementet for å levere i henhold til spesifikasjon. Arbeidsgruppen bør i sin politikkutforming gi arbeidet en praktisk rettet vinkling. Politikken bør også omfatte standardisering som sikrer teknisk interoperabilitet (samvirke) i utveksling av elektronisk informasjon i og med offentlig sektor. Der det er i hensiktsmessig bør gruppen gi råd for bruk av såkalte «åpen kildekode» i offentlig sektor. Gruppen bør også: vurdere økonomiske og administrative konsekvenser, inkl. ta hensyn til livssykluskostnader og samfunnsnytte foreta konkurransemessige vurderinger vurdere hvordan anbefalingene vil påvirke IT-sikkerheten legge fram forslag til videreføring og organisering av det overordnede arbeidet på standardiseringsområdet i offentlig sektor. EFN vil hevde at det viktigste ved rapporten er at 1) den svarer på alle deler av mandatet 2) den svarer faglig godt, og med henvisning til relevante og gode kilder på alle delene Når mandatet ber om en praktisk vinkling, så må rapporten fremme praktiske forslag. Når det så bes om standardisering som sikrer teknisk interoperabilitet i det offentlige, så må rapporten levere en generell forståelse av åpne standarder så vel som konkrete forslag til slike standarder. Dermed blir vedlegget til Norstella viktig. Når det bes om vurderinger om bruk av åpen kildekode der det er hensiktsmessig, bør rapporten definere områder der slik bruk er hensiktsmessig og så komme med gode og praktiske råd om dette. Når bestillingen fra departementet videre krever fire spesifiserte vurderingspunkter, så bør rapporten også svare godt på disse. EFN kom tidlig med utførlige innspill om «åpne standarder». Vi mener at rapportutkastet på god måte dekker dette området, med unntak av krav til referanseimplementasjoner. Dette tar vi opp lenger ned i dette innspillet. Når det gjelder rapportutkastets behandling av «åpen kildekode» ser vi at det gjenstår noe arbeid. Med dette som grunnlag, så har vi valgt å omskrive mandatet til spørsmål som belyser momenter som ikke kom med i første utkastet av rapporten: Side 1 av 9
1. Har man gjort en fullgod vurdering av hvordan anbefalingene vil påvirke IT-sikkerheten? EFN vil hevde at sider ved IT-sikkerheten ikke er godt nok dekket slik rapportutkast 1 fremstår. Vi trekker frem flere vesentlige punkter. Samfunnskritiske IT-systemer Det er stadig en økende risiko for farlige feil ved IT-systemer fordi datasystemene blir brukt i mer kritiske samfunnsfunksjoner slik sårbarhetsutvalget belyser i NOU 2000:24. Det er derfor rimelig å stille samme krav til sikkerhet i IT-systemer som for andre tekniske systemer. Ved å se på forskriftene for elektriske anlegg (01.01.1995) [1] ser man at det stilles krav både til utførelse og bruk. For å unngå fare for mennesker eller skade på eiendom kan tilsynsmyndigheter f.eks. forby fortsettelse av arbeide, forlange det omgjort, fornyet eller utbedret det ved feil og mangler. Ved drift av systemer kan f.eks. et tilsyn pålegge stans i driften, eller kreve å få satt anlegget i forsvarlig stand. For å etterleve kravene i forskriftene må utbygger eller driftsorganisasjonen ha full endringsrett til de tekniske systemene. Det er først da man kan etterleve beredskapen i forhold til ekstraordinære påkjenninger i samfunnskritiske IT-systemer. Ønsker man å ivareta personvern og bedriftshemmeligheter er tilgang til kildekoden avgjørende. EUparlamentet vedtok dette allerede i 2001. Pakker der kildekoden ikke er offentlig tilgjengelig ble plassert i kategorien «lavest pålitelighet» av EU [2]. Etterprøvbarhet Mer og mer av borgernes kontakt med det offentlige vil skje gjennom automatiske systemer for saksbehandling. Det kan være selvangivelsen på nettet, eller søknad til høyre utdanning vi nasjonale opptak. Skal borgerne kunne etterprøve at forvaltningsreglene overholdes må kildekoden være fullt tilgjengelig og etterprøvbar for borgerne. Et annet viktig felt hvor automatikken overtar er f.eks. systemer for stemmetelling ved valg. Et system der det blir gitt innsyn i deler av kildekoden vil naturligvis ikke kunne etterprøves da det ikke lar seg kompilere til et kjørbart program. Side 2 av 9
Ansvarsfordeling I følge Willoch som ledet sårbarhetsutvalget er det den instans som har ansvaret for driften av en virksomhet, som også har ansvaret for at sikkerheten er god nok. Det blir anbefalt tilsyn for å kontrollere om virksomheten har god nok sikkerhet. For å gjennomføre tilstrekkelig tilsyn med virksomheter som bruker samfunnskritiske IT-løsninger må systemene leveres med åpen kildekode. De ansvarlige for driften av virksomheten må ha full endringsrett til datasystemene for å utbedre feil og mangler. Dette kan ikke omgås med avtale. I E-handel og Utviklings-rapporten 2003 fra FN-konferansen om handel og utvikling [3] står det at leverandører av produsenteid programvare ikke garanterer for kvaliteten i den hensikt å unngå rettslig ansvar. Når det gjelder åpen kildekode kan man selv rette feil eller kjøpe garantiavtale eller vedlikeholdstjenester. Det betyr at man med åpen kildekode har muligheten til å holde noen ansvarlig for feil og mangler i systemene. I rapporten under punkt 9.3, anbefalinger, bør det legges til: Alle offentlige IT-systemer som settes i produksjon etter 1. januar 2007 der det er lovpålagt rett til innsyn, så som automatisk saksbehandling eller systemer for stemmetelling ved valg, må systemene leveres med åpen kildekode. IT-systemer levert før 1. januar 2007 må oppgraderes med åpen kildekode innen 1, januar 2009. Innen 1. januar 2007 skal en offentlig utredning vise hvilke IT-systemer innen det offentlige som vil ha større negative samfunnsmessige konsekvenser dersom de feiler. Disse systemene skal innen 1. januar 2009 være oppgradert med åpen kildekode. Innen 1. januar 2007 skal alle offentlige etater ha gjennomført en vurdering av hvilke IT-systemer de må garantere for sikkerheten og personvern. Innen 1. januar 2008 skal alle etater vise til planer i sin strategi for hvordan disse systemene skal oppgraderes med åpen kildekode. 2. Har man svart på hvor det er hensiktsmessig å bruke åpen kildekode i offentlig sektor? Ut fra et forretningsmessig perspektiv har EFN forståelse for hvorfor Microsoft i sin uttalelse om rapportutkastet ønsker å flytte temaet «åpen kildekode» til en annen rapport. Det vil imidlertid føre til at rapporten ikke svarer på mandatet til arbeidsgruppen. EFN vil fremme noen vesentlige punkter rundt bruken av åpen kildekode i offentlig sektor ut over de som er nevnt under spørsmål 1 over. Side 3 av 9
Prinsipp Åpen kildekode flytter kontrollen over IT-systemene fra produsent til bruker, som i denne sammenhengen er det offentlige. Det gir dermed brukeren valgmuligheter og friheter han ikke får ved bruk av programvare med lukket kildekode. I dag brukes åpen kildekode til håndtering av felles elektronisk identitet for 100.000 studenter og ansatte i høyere utdanning. Komplekse systemer for arbeidsflyt og dokumenthåndtering er laget med en fri programvare som f.eks. norske ez publish. Spesialeffekter du har sett på de nyeste kinofilmene de siste 3-4 årene er som regel laget med verktøy som er utviklet, og produsert med fri programvare. Det finnes mer enn 100.000 frie programvareprosjekter lagt ut på nettstedet www.sourceforge.net. Det finnes i tillegg svært mye fri programvare som ikke er lagt ut på dette nettstedet. Praksis Det synes hensiktsmessig om ikke tvingende nødvendig å bruke åpen kildekode i de IT-systemene der full innsikt og etterprøvbarhet er viktig eller lovpålagt. Se spørsmål 1 om sikkerhet. Det vil være hensiktsmessig å benytte åpen kildekode der det er ønskelig at det offentlige skal bevare størst mulig kontroll og valgfrihet i forhold til sine IT-systemer. Det er hensiktsmessig å benytte åpen kildekode der det offentlige er tjent med å spre utviklingskostnadene på mange. Dette gjelder f.eks. det meste av Internett infrastruktur (som allerede i all hovedsak drives av åpen kildekode verden over), epost-servere, webservere og andre systemer der videreutvikling tilfaller brukerne og det offentlige gratis hver dag. Det kan være hensiktsmessig å bruke åpen kildekode der betydelige lisenskostnader kan kuttes. Dette kan gjelde f.eks. overgang til generell kontorprogramvare basert på åpen kildekode [4]. Bruk av åpen kildekode kan forenkle, og fremme brukermedvirkning. Dette fordi åpen kildekode tillater at fagfolk kan sette seg inn i systemene, og være med å utforme dem i vid forstand, uten de begrensningene som følger med produsenteid programvare. Vi viser til Arbeidsmiljøloven 12.3: Arbeidstakerne og deres tillitsvalgte skal holdes orientert om systemer som nyttes ved planlegging og gjennomføring av arbeidet, herunder om planlagte endringer i slike systemer. De skal gis den opplæring som er nødvendig for å sette seg inn i systemene, og de skal være med på å utforme dem. Side 4 av 9
I rapporten under punkt 9.3, anbefalinger, bør det legges til: Innen 1. januar 2007 skal en offentlig utredning se på hvilke synergier som finnes innen det offentlige ved at flere etater går sammen om bruk, utvikling og videreutvikling av programvare basert på åpen kildekode. Åpen kildekode skal i størst mulig grad brukes i systemer som nyttes ved planlegging og gjennomføring av arbeidet, for å sikre at man følger arbeidsmiljølovens krav til brukermedvirkning. 3. Har arbeidsgruppen tenkt nøye igjennom de økonomiske og administrative konsekvensene? I det siste av de fire vurderingspunktene, heter det at arbeidsgruppen bør "legge fram forslag til videreføring og organisering av det overordnede arbeidet på standardiseringsområdet i offentlig sektor". EFN vil hevde at det kan være hensiktsmessig at det videre ansvaret for arbeidet med åpne standarder og åpen kildekode i det offentlige legges til et eget IT-direktorat. Dette bør inn i rapporten og har flere fordeler: IT-direktoratet vil være det naturlige organet for vurdering av hvilke åpne standarder som bør eller må følges innen det offentlige IT-direktoratet vil være det naturlige organet for spørsmål om åpne standarder og åpen kildekode for andre deler av det offentlige IT-direktoratet bør vurdere mulige synergier innen IT på tvers av etater og dermed kunne realisere betydelige gevinster for større deler av offentlig sektor. IT-direktoratet bør få ansvaret for gjennomføringen av regjeringens IT-strategi på en slik måte at det bidrar til bruk av åpne standarder og åpen kildekode i det offentlige, og slik at det stimuleres til nasjonal IT næring og kompetanse. Referanseimplementasjoner med åpen kildekode er en naturlig del av prosessen ved standardisering skriver W3C og IETF. Kjørbar kode [13] er en naturlige komponent til en spesifikasjon fra standardiseringsorganet W3C. Implementering og testing er en essensiell del av utviklingen av en spesifikasjon, og frigivelse av kode fremmer utveksling av ideer i utviklermiljøet. All programvare fra W3C er åpen kildekode/fri programvare, og GPL-kompatibel, skriver standardiseringsorganet på sitt nettsted. The Internet Engineering Task Force som er standardiseringsorganet for Internett skriver at de har støttet konseptet med åpen kildekode lenge før bevegelsen ble formet [14]. Det vanlige tilfellet er at Side 5 av 9
«referanseimplementasjoner» av IETF-teknologier ble gjort som en del av flere krav til implementeringer for å fremme en standardiseringsprosessen. Et IT-direktorat vil styrke mulighetene for å gjennomføre referanseimplementasjoner for en rekke standarder som bør brukes innen det offentlige. Ettersom mandatet dekker både åpne standarder og åpen kildekode, kan det synes som om statsråden har sett fordeler ved at disse to emnene bør ses i sammenheng. Et IT-direktorat vil få økt verdi ved å samle kompetanse på disse områdene. 4. Har man vurdert livssykluskostnader og samfunnsnytte i forhold til åpne standarder og åpen kildekode? For det første bør det stilles spørsmål ved den nasjonale samfunnsnytten ved bruk av produsenteid programvare der produsentene er noen få utenlandske aktører. Utvikling og service knyttet til programvare med åpen kildekode bidrar til å gi en flora av norske ITbedrifter, og styrker den nasjonale kompetansen. Programvare blir «råvare med reduserte kostnader». Dette gjør at norsk IT-bransje kan sikte høyere opp i verdikjeden. Handelsunderskuddet i IT-bransjen er på 23 milliarder (SSB). Skal vi bygge kunnskapssamfunnet for framtida, må vi bidra til å gjenopprette handelsbalansen på dette området. For det andre må man spørre om det er hensiktsmessig at staten alene skal bære alle utviklings- og vedlikeholdskostnadene til programvaren. Med åpen kildekode har man større mulighet til å spre risiko og kostnader knyttet til utvikling og bruk, både med andre land, bedrifter og privatpersoner. Dette sprer dessuten det offentliges risiko all den tid det vil finnes flere aktører som kan konkurrere om videreføring og support av programvaren. Enkelte lisenser som følger produsenteid programvare og som kan virke åpne (f.eks. Shared Source) fratar brukerne mulighet til å tjene penger på selge, eller forbedre programvaren. Åpen kildekode bidrar derimot til nasjonalt næringsliv og nasjonal IKT-kompetanse, hvor avtalevilkårene er ikkediskriminerende, og fremmer mulighet for å tjene penger. Åpne kildekodeløsninger fremmer teknisk interoperabilitet ved at de svært ofte kan kjøre på langt flere plattformer enn det produsenteid programvare gjør. Eksempler på dette er kontorprogramvaren OpenOffice.org og nettleseren Firefox som begge kjører på alt fra Windows og Linux til Mac og en lang rekke Unix systemer. Argumenter fremmet av programvareprodusenter for egne systemer medfører altfor ofte at brukeren ender opp med programvare som kun kan kjøres på en plattform. Åpne kildekodeløsninger kan som oftest brukes på tvers av mange plattformer uavhengig av enkeltprodusenter. Dette sikrer interoperabilitet og fri konkurranse. At enkeltprodusenter selv velger å bare levere på egen plattform vanskeliggjør teknisk interoperabilitet. Side 6 av 9
Bruken av åpne standarder og åpen kildekode har vidtgripende økonomiske konsekvenser. En utredning av Teknologirådet i Danmark (oktober 2002) viser en samfunnsmessige gevinsten på 3,7 milliarder ved å gå over til åpen kildekode på kort sikt. Dette skyldes både lavere pris på programvaren grunnet konkurranse, og lavere driftskostnader, hvor samfunnet kan tilby borgerne bedre IT-tjenester for pengene. Et godt eksempel på en åpen standard er GSM for mobiltelefoni. Det at man valgte denne standarden sparte Norge for 2 milliarder ved utbygning framfor det tysk-franske forslaget til mobilstandard. GSM åpner arenaen for en mangfold av leverandører når det gjelder apparater, tjenester, og operatører. En helt ny undersøkelse fra Storbritannia (BECTA 2005)[6] viser at åpen kildekode på 15 skoler har redusert levetidskostnadene til 56% av tilsvarende løsninger med produsenteid programvare. I videregående skole var kostnadene med åpen kildekode 76% av løsninger med produsenteid programvare. Kostnadene med innkjøpt hjelp, og standard driftsstøtte var også lavere når åpen kildekode ble tatt i bruk. Pengene som ble spart ble brukt på mer utstyr, og bedre IT-tjenester på skolene. BECTA = British Educational Communications and Technology Agency Siemens Business Systems. gjennomførte en større brukerundersøkelse med vanlige brukere i 2003 [5]. Selskapet skriver: Det tar to dagers kurs å lære Linux med kontorprogrammer. Det er det samme som de fleste foretak budsjetterer ved overgang til ny utgave av Windows og MS Office. Det tar en dag å gjøre brukerne kjent med Linux på skrivebordet, og en dag med introduksjon i kontorpakken OpenOffice. [...] Linux-løsninger fra de største Linux-distributørene vil føre til besparelser på 20-30% i administrative kostnader, 50% på maskinvaren, og 80% i lisenskostnader. Dette er konklusjonen etter omfattende tester med Linux i vanlig bruk.[...] Linux er spesielt sterkt på sentralisert drift fortalte selskapets talsperson. Dette blir viktigere ettersom ansatte vil jobbe fra flere forskjellige steder i bedrifter. [...] Talspersonen fra Siemens sa også: «Vi så ikke på Linux på skrivebordet som et større marked. Vi tok feil» Følgende rapporter belyser muligheter: Migration to open source software â Beaumont Hospital Dublin, Ireland [7] Migration of the German City of Schwäbisch Hall [8] Finske justisdepartementet kan halvere IT-kostnadene med OpenOffice [9] Bytte til fri programvare i Oslo-skolen [10] Levetidskostnader i 10 svenske bedrifter (Linux og Windows) [11] Svenske statskontoret (2004:21): Öppen programvara - Erfarenheter av produkter som bygger på öppen källkod inom förvaltningen [12] Side 7 av 9
I rapporten bør det fremgå at ved offentlige anbudsutlysninger skal løsninger basert på åpen kildekode alltid etterspørres. Rapporten bør motivere til at ulike deler av det offentlige går sammen om anskaffelser av IT-systemer slik at kostnader kan spres mer effektivt. Dersom systemene i tillegg er levert med åpen kildekode, vil effekten bli ytterligere forsterket. 5. Har man gjort fullgode konkurransemessige vurderinger? Om offentlige anbud (stem med pengene) Utdanningsdirektoratet skriver at de ikke er bundet av forskriftene om offentlige anskaffelser ved ITanskaffelser [15]. I kunngjøring om tilskudd til 2-årig prosjekt for utvikling av et universelt, digitalt verktøyprogram/særskilt tilrettelagte læremidler hevder direktoratet at Windows her flere fordeler framfor Linux. Det blir ikke tatt fram at en rekke programmer er laget som åpen kildekode for og forenkle hverdagen for funksjonshemmede. Det gjelder leselist for blinde, forstørret tekst for svaksynte og tekst til taleomforming. Prosjekter som The GNOME Accessibility, og KDE Accessibility er gode eksempler. Men til forskjell fra at systemene bare virker på et system fra en enkelt leverandør, så virker systemene basert på åpen kildekode på mange plattformer som Sun Solaris, FreeBSD, OS X, Linux, Hurd, og tidvis på Windows. Ved at det offentlige favoriserer en plattform fra en enkelt leverandør ved inngåelse av IT-kontrakter, må borgerne ha et kundeforhold til en leverandør. Dette er spesielt uheldig der man fort stenger ute 6-7 plattformleverandører i det norske markedet. Rapporten bør fremme forslag om å fjerne unntak om omgåelse av forskriftene om offentlige anskaffelser. Ved universell utforming må det forutsettes at offentlig finansiert utvikling ikke favoriserer en produsent av plattform, men virker uten problemer på flere systemer som Linux, Apple og Windows. Fjern unntak om omgåelse av forskriftene om offentlige anskaffelser ved IT-anskaffelser. Når det utvikles systemer for å sikre universell utforming må det forutsettes at offentlig finansiert utvikling ikke favoriserer en bestemt produsent av plattform, men virker uten problemer på flere systemer som Linux, Apple og Windows. Skal man få dette til må man bruke åpen kildekode. Side 8 av 9
6. Kildereferanser [1] http://www.hmsetatene.no/etater/dbe/publikasjoner/dbafile3241.html [2] http://www.digi.no/digi98.nsf/pub/dd20010907135345_ero_16792401 [3] http://www.unctad.org/en/docs/ecdr2003ch4_en.pdf [4] http://www.openoffice.org/ [5] http://www.newsforge.com/article.pl?sid=03/08/13/1424212 [6] http://europa.eu.int/idabc/en/document/4307/469 [7] http://europa.eu.int/idabc/en/document/3304/470 [8] http://europa.eu.int/idabc/en/document/4022/470 [9] http://europa.eu.int/idabc/en/document/4105/469 http://hiisi.fi/blog/post/2005/03/22/ministry-of-justice-prefers-xml/ [10] http://developer.skolelinux.no/brev/2005-01-02-brev-til-bystyre.html http://developer.skolelinux.no/~knuty/2004-12-10_sluttrapport-maal-1.pdf [11] http://developer.skolelinux.no/rapporter/exjobb.pdf [12] http://www.statskontoret.se/upload/publikationer/2004/200421.pdf [13] http://www.w3.org/status [14] http://www.oreilly.com/catalog/opensources/book/ietf.html [15] http://www.lovdata.no/all/tl-19990716-069-0.html#5 Side 9 av 9