En fungerande digital demokrati förutsätter bra digitala verktyg med öppen källkod. I den statliga offentliga utredningen SOU 2017:114 "Reeboot – omstart för den digitala förvandlingen" står att "Den offentliga förvaltningens e-tjänster bör i så stor utsträckning som möjligt bygga på öppna standarder samt använda sig av programvara som bygger på öppen källkod och lösningar som stegvis frigör förvaltningen från beroendet av enskilda plattformar och lösningar." Utredningens förslag antogs och regeringen har som mål att i största möjligaste mån använda verktyg med öppen källkod. Vad är öppen källkod och varför är det viktigt att digitala demokrativerktyg har öppen källkod?
Vad är öppen mjukvara?
Öppen källkod innebär att licensen till programvaran är öppen. Det finns ett fåtal krav för att något ska räknas som öppen källkod:
1. Alla får kopiera koden och modifiera efter sina behov.
2. Det finns inget centralt företag som kapitaliserar på koden.
3. Vem som helst får ändra på koden hur som helst.
Betald programvara skulle kunna jämföras med bilar: tänk om fordonen var igensvetsade så att man inte kunde öppna motorhuvan, det enda man kan göra är vanligt underhåll: tanka och fylla på olja (från en lucka då). För att fixa något annat måste företaget som gjorde bilen göra det. Ingen annan får öppna bilen och observera på motorn.
Öppen källkod kan jämföras med bilar vem som helst för öppna upp och mecka i samt tillverka reservdelar till.
Vad är öppen hårdvara?
Öppen mjukvara och öppen hårdvara är olika saker. Öppen hårdvara innebär att vi kan garantera att inget spionchip har lagts in vilket vi vet har gjorts av både Kina och USA. (Does Your Motherboard Have a Secret Chinese Spy Chip?, 2018) Med öppen hårdvara är allt dokumenterat om hur arkitekturen är i datorn ser ut, vi har full tillgång till information om vad som är vad och vilka delar som ska ingå i hårdvaran. Om ett chip skulle visa sig ha någon extra komponent utöver det dokumenterade så ska inget hända om man tar bort det.
Exempel på öppen källkod
Zoom har blivit en trend trots att alternativet Jitsi finns med öppen källkod och fungerar minst lika bra. Jitsi är inte bara gratis, man kan dessutom sätta upp sin egen server om man inte vill använda någon annans. Det betyder att staten skulle kunna ha egna servrar för videomöten i ett säkerhetsrum endast behöriga kommer åt, t.ex. elektriker, samt andra arbetare som kan behövas, istället för att behöva Zoom eller Skype för företag.
Ett annat exempel är Linux. Windows kunde enkelt att byta ut mot Linux-varianter som liknar Windows i hur man hittar program, navigerar och gör saker. Oftast används dator inom offentlig verksamhet endast för dokumentation och webbläsare – två saker som ingår i Linux.
För officepaketet finns också bra alternativ. Ett exempel är LibreOffice som gör samma sak som Microsoft Office, men utan kostnad.
Varför används inte öppen mjukvara?
De största anledningarna till att det är så få som väljer program med öppen källkod är på grund av att många organisationer och personer är vana vid olika betalprogram, samt att betalprogram är det enda vi blir medvetna om existerar genom reklam.
En annan anledning är att företag som Microsoft har stor makt att lobba. Brasiliens offentliga sektor skulle använda öppen källkod för att slippa kostnaderna till proprietära Microsoftalternativ – så blev inte fallet, Microsoft kämpade tillbaka. (Kingstone, 2005)
Vad är fördelarna med öppen källkod?
1. Onödiga kostnader med betalprogram
Bara operativsystemet Windows betalar offentlig institutioner över 1000 kronor extra för per dator. Därtill kostar det extra för att ha Microsoft Office. Kommunernas kostnad för mjukvara är på över 700 miljoner, 80% av det är för Microsofts produkter.
2. Säkerhetsrisker med betalprogram
Det är inte säkert att lägga all sin tillit till att mjukvaran fungerar säkert om ett enda företag är ansvarigt för det och företaget döljer sin källkod.
Zoom har exempelvis åkt dit för att t.ex. ha “råkat” skicka all mötens information via en kinesisk server. Vi vet att detta setts och tagits in av kinesiska staten. Enligt Zooms ägare var det en bugg eller ett fel i koden, men vi kan inte veta om det stämmer. (Wood, 2020)
Windows kan ha en bakdörr. Om man läser deras “Användaravtal” så står det att de får närsomhelst ta bilder och sätta på datorns mikrofon utan att den säger till. Den får även kolla på din aktivitet och dokument för att “visa relevant reklam”, tänk om en bakdörr i Windows hittas av fel person och den används utan att bli påkommen, då är all information på statens datorer som kör Windows i risk.
För några år sen hittade man en bakdörr i Intels processor, vilket gjorde att vem som helst kunde komma in i vilken dator som helst och få information som fanns i den. Intel visste om problemet i ungefär 10 år men gjorde inget åt problemet för de trodde inte att någon skulle hitta den. Det tog Microsoft en vecka att fixa säkerhetsproblemet innan de kunde uppdatera drivrutinerna så att det blev säkert, för Linux tog det en dag! Varför den skillnaden?
Linux drivs av en mängd olika människor som alla samarbetar, de har flera hundratals frivilliga utvecklare och fick lite extra hjälp av frivilliga om några inte hade tid. De har öppen källkod så flera programmerare kunde leta i Linux-kod om hur man kunde fixa säkerhetsrisken. Något liknande skedde igen för inte så länge sedan. (Intel x86 Root of Trust: loss of trust, 2020). Förra året fanns det en annan liknande säkerhetsbrist. (Constantin, 2019)
Varför är öppen källkod säkrare?
En vanlig missuppfattning är att det är kod som är dold är svårare att hacka och därmed säkrare. Men det stämmer inte. De kriminella som vill åt en kod för att hitta brister kommer komma åt koden på andra sätt, och då sker det på den svarta marknaden istället. Dessutom, en säker kod använder sig av envägs-krypteringar och SHA, så kallat hashalgoritmer vilket gör att även om du ser koden ansvarig för säkerhet så kan du inte per automatik knäcka den om den är säker utan bakdörrar.
Det viktigaste skälet till att öppen källkod är säkrare är att kod som är dold inte kan felsökas och testas av ett community av användare och innehåller därför oftare bakdörrar och säkerhetsrisker.
Entusiaster som ser säkerhet som en utmaning hittar ofta brister och meddelar företaget/”ägaren” direkt, även inom öppen källkod. Ett exempel är där folk har hittat brister på Apples produkter men istället för att åtgärda de så stämde Apple de som hittat säkerhetsbristerna, just eftersom det krävdes “reverse engineering” samt att de grävde fram kod som är förbjuden av användaren att titta på.
Referenser
Constantin, L. (den 14 05 2019). The second Meltdown: New Intel CPU attacks leak secrets. Hämtat från CSO: https://www.csoonline.com/article/3395458/the-second-meltdown-new-intel-cpu-attacks-leak-secrets.html
Does Your Motherboard Have a Secret Chinese Spy Chip? (den 05 10 2018). Hämtat från PCMagazine: https://uk.pcmag.com/news-analysis/117817/does-your-motherboard-have-a-secret-chinese-spy-chip
Intel x86 Root of Trust: loss of trust. (den 05 03 2020). Hämtat från Positive Technologies - learn and secure: https://blog.ptsecurity.com/2020/03/intelx86-root-of-trust-loss-of-trust.html
Kingstone, S. (den 02 06 2005). Brazil adopts open-source software. Hämtat från BBC: http://news.bbc.co.uk/2/hi/business/4602325.stm
Public Code. (den 19 12 2020). Hämtat från Public Code: https://publiccode.eu/
Rekordhög Officenota för offentlig sektor. (den 16 04 2003). Hämtat från ComputerSweden: https://computersweden.idg.se/2.2683/1.33532/rekordhog-officenota-for-offentlig-sektor
Why governments should adopt and invest in FOSS. (u.d.). Hämtat från Statistically Insignificant: http://jamesmcm.github.io/blog/2020/09/12/foss-government/#en
Wood, C. (den 06 04 2020). Zoom admits calls got 'mistakenly' routed through China. Hämtat från Business Insider: https://www.businessinsider.com/china-zoom-data-2020-4?op=1&r=US&IR=T