Tuesday, November 22, 2011

Er det tabu å nevne at velferdsstaten kan svikte?

Dersom noen er frempå og nevner at velferdsstaten ikke når alle, eller rett og slett svikter enkelte ganger ser ut til å være tabu. Er det noen som åpner munnen og kritiserer vår velferd, kan du være sikker på at det er en Arbeiderparti-politiker nær deg som forteller at:
  • Vi bruker mer penger enn alle andre land på velferd
  • Vi har den beste teknologien og kompetansen
  • Velferdsstaten skiller ikke mellom fattig og rik
Det pussige som da skjer er at kritikken gjerne stilner, selv om de ovenstående utsagnene ikke har noe med konkrete problemer som påvises. Ei heller er problemene løst, sånn rent bortsett fra at de forsvinner fra mediebildet en stakket stund.

Vi har omfattende rapportering og kontrollrutiner som skal sikre at tjenestene velferdsstaten skal yte er gode nok. Hvorfor opplever mange at det likevel ikke er slik? Årsakene er nok mange, men generellt kan man si at uansett hvor mange rapporter som skrives, og kontrollrutiner som utformes og følges vil de aldri dekke alt. De bare driver kostnadene opp og stjeler av tiden som skulle vært benyttet til å yte tjenestene.

Rapportene inneholder gjerne tall for aktivitetsnivå de ulike tjenestene har. De inneholder også gjerne tall på hvor godt man holder tidsfrister, antall fristbrudd osv. Men de inneholder sjeldnere tall på hvor mange som har fått den hjelpen de trenger. Dersom tjenestene ikke fungerer i virkeligheten, hjelper det ikke om rapportene ser aldri så fine ut. Det hele kommer an på hva man måler. Når kriteriene for hva som skal måles bestemmes av byråkratiet, vil arbeidet innrettes deretter. Fokuset dras vekk fra hvordan tjenestene kan forbedres til å løse folks problemer. Tidsfrister og aktivitetsnivå er blant de mest forstyrrende måleindikatorer i så måte.

Når toppbyråkratene og helsepolitikere for rapporter som viser at alt er i sin skjønneste orden, etter sin egen definisjon, er det ikke rart de ikke har samme virkelighetsoppfatning som brukerne og de ansatte i tjenestene. Problemet er at beslutningstagerne har satt bind for øyenene, og enhver kritikk imøtegås ved å gå i forsvarsposisjon. Dermed sklir systemet lengre og lengre ut i uføret.

Sunday, November 20, 2011

Løshunder og vaktbikkjer

Datatilsynet er vår vaktbikkje som vokter personvernet i Norge, og er desverre nokså alene om oppgaven. Tilsynet har beholdt en uavhengig og faglig sterk rolle som har satt det i stand til å sette selveste  Apple på plass. Vi trenger absolutt et tilsyn som fyller denne rollen.

Datatilsynet har de siste årene drevet tjenesten slettmeg.no. Den er flittig brukt av folk som får lagt ut falsk informasjon om seg selv på internett. Til tross for stor nytte, og svært effektiv saksbehandling (hvor kan den norske stat vise til større effektivitet?) fant altså ikke Regjeringen midler til å drive tjenesten videre. Slettmeg.no er ikke innenfor det definerte ansvarsområdet til Datatilsynet, og når det strammes inn på bevilgningene er tjenesten det første som kuttes. Når det har vist seg som en svært nyttig og nødvendig tjeneste for borgerne finner jeg det merkelig at man ikke klarer å finne lommerusk i statsbudsjettet for å drive den videre.

Slike kostnader må en påregne fremover etterhvert som informasjon blir mer og mer flyktig som følge av digitalisering. Den sittende Regjeringen er forøvrig en sterk pådriver for å registrere det meste, og "effektivisere" (de tror nå alt som registreres gir mer effektivitet, mens det ofte er stikk motsatt fordi registrering krever ressurser. Nemlig!). Da må de også regne med å ta regningen. There is no such thing as a free lunch! Alt arbeid som skal utføres har en kostnad. Registrering er ikke produktivt i seg selv, men det er nok litt vanskelig å forstå for sysselsettingskameratene i Regjeringen så jeg skal ikke legge listen for høyt >:

Videre så er minister Aasrud bekymret for at Datatilsynet blander rollene, og utover politikk. Javisst kan tilsynet være plagsomt for politikere som helst vil kjøre alle snarveier som finnes for å effektivisere samfunnet, men som desverre har liten kunnskap om nettopp "effektivisering" ved hjelp av IT.

Aasruds fokus på rolleblanding er allikevel interessant synes jeg, når hun skriver brev til Facebook og spør om finansiering av slettmeg.no. Selv om slettmeg.no skilles ut fra Datatilsynet, så er Facebook og andre kommersielle sosiale medietjenester ofte motparten når man skal få slettet data. Da blir det pussig at de samme aktørene skal finansiere en slik tjeneste, som tross alt vil stikke noen kjepper i hjulene deres.

Mens Grete Faremo vikarierte for Knut Storberget ble hun intervjuet om Datalagringsdirektivet og IT-sikkerhet. Debatten gikk varmt om direktivet på den tiden, så det er ikke noe oppsiktsvekkende. Det som er oppsiktsvekkende er hun uttaler, bl.a. dette:

Det vil forbause meg mye om vi ikke også får en diskusjon om hvordan trafikkdata kan brukes kommersielt

Dit har vi heldigvis ikke kommet enda men faktum er at at direktivet skal innføres i norsk rett til neste år, og Faremo er nå Justisminister, noe hun kanskje visste allerede den gangen det var en mulighet for at hun ville bli i samme Stortingsperiode. (Storberget ba vel ganske tidlig i sin permisjonsperiode om avløsning)

Eller var det en semikommersialisering av personlig informasjon Aasrud foreslo da hun inviterte Facebook til spleiselag? Se her Facebook: betal en liten sum til slettmeg.no, så Datatilsynet kan splittes litt opp, uten for mye bråk fra plagsomme borgere, så den lille plageånden blir litt vingeklippet. Både vi (Arbeiderpartiet) og dere kan bli kvitt en irriterende klamp om foten. At norske borgere har minst mulig hemninger mot å dele på Facebook er jo også både dere og vi tjent med, om vi skulle trenge litt ekstra informasjon som registrene og datalagringsdirektivet ikke gir oss.

Friday, November 18, 2011

Ansvarsforhold for software data nettverk og innhold

Denne posten handler om ansvar for sine handlinger på internett. Det virker som om det er uklart for mange hvordan man kan stilles til ansvar for ulike type handlinger relatert til internett. Jeg har mine tanker om dette som jeg vil dele her.

I hvilken grad kan man stille disse 3 rollene til ansvar for sine handlinger?
  • Bruker
  • Utvikler
  • Dataprovider
  • Nettverkstilbyder
En person kan besitte 1 eller fler av disse rollene samtidig. Software og digitalt innhold har endel egenskaper som kan gjøre ansvarsforhold utydelig for "uinnvidde".

La meg slå en ting helt fast: Lager man, tilbyr, eller promoterer software eller innhold i den hensikt å begå kriminelle handlinger er man helt klart i et etisk/juridisk ansvarsforhold. I hvilken grad man er i et juridisk ansvarsforhold er komplisert siden statsborgerskap, oppholdssted og "åsted" for handling gjerne kan være 3 ulike steder.

Det må etabeleres en forståelse av sammenhengen, eller rettere sagt, forskjellene mellom software og innhold for å forstå problemstillingene bedre. Software er kode, en slags oppskrift på å behandle data. Når koden ikke kjører er den mer å betrakte som et litterært verk, altså en statisk tekst. I det koden lastes, som f.eks. når du laster denne nettsiden, instansieres koden den innholder i din nettleser. Koden kjører altså på din maskin. Siden, med koden, er lastet fra en tilbyder av blog-tjenester. Blog-tilbyderen har levert en kopi av innhold og kode, jeg har bestemt skal være med, samt det som ligger i blog-templaten, som noen andre har laget og atter andre ting blog-tilbyderen legger på. Software er svært ofte et aggregat av kode skrevet av ulike personer, distribuert i det uendelige som kopier.

Kopier av digitalt innhold kan ikke sies å være eid av noen på samme måte som fysiske objekter. Derimot så kan det være vedheftet bruks- distribusjons- og lisensregler. Kommersiell programvare gir kun kjøper lov til å bruke en kopi, mens Open Source Software har regler for distribusjonsregler. Begge varianter har ofte disclaimers og forbud mot skadelig/ulovlig anvendelse fordi opphavsmannen ikke ønsker at software skal forårsake materiell-, helse- eller økonomisk skade. Her er det imidlertidig svært mange varianter og meninger, og dette innlegget er interessant: Software liability.

Software som kode gjør ingenting, og det er først når den instansieres (kjøres) og benyttes sammen med innhold den gir mening for en bruker. Brukerens handlinger er det sentrale fordi det er disse som "kobler" software med innhold. Det er disse handlingene som må anses som legitime eller illegitime. Noen ganger er dette også uklart, som i f.eks. den arabiske våren hvor myndighetene i de aktuelle statene anså handlingene som illegitime, mens vesten sto på sidelinjen og applauderte.

Nå kan vi se på sammenhengen mellom  de ulike rollene, software og innhold


Det er brukerens handlinger som kan være illegitime. Brorparten av software som finnes er ikke laget for å utføre kriminelle handlinger, men som annen teknologi kan den brukes til det. Unntaket er programvare som er spesiellt laget for å stjele, ødelegge, skape falsk eller slette (andres) innhold. Botnet-software er et eksempel på dette, men denne softwaren består gjerne av komponenter skapt for helt legitime formål, men som en kriminell har laget for å kunne utføre kriminelle handlinger. Man kan derfor ikke stille alle utviklere til ansvar her, kun den som har kriminelle hensikter.

Når det gjelder en innholdstilbyders ansvar, må det stilles spørsmål ved i hvilken hensikt og i hvilken grad tilbyder er ansvarlig for innholdet. En blog-tilbyder kan ikke være ansvarlig for alt de ulike bloggerne skriver. Tilbys eller promoteres ulovlig innhold er det noe annet. En tredje variant er der en kriminell 3dje-part bryter seg inn og plasserer ulovlig innhold på en nettside. Vi ville f.eks. ikke stilt en nettavis ansvarlig om noen erstattet innholdet deres med noe ulovlig. En lagringstilbyder (Dropbox) trenger ikke engang besitte programvare som kan benyttes på alt innhold som er lagret på deres utstyr, og dermed ute av stand til å vite hva slags innhold det dreier seg om. Innholdet kan også være kryptert slik at det vil være umulig for en tilbyder å vite hva som er lagret.

Fordi myndighetene ikke ser ut til å se problemet med å tiltvinge seg private data fra borgerne, som f.eks. gjennom Datalagringsdirektivet, vil programmerere svare med å utvikle ny teknologi som lar folk beholde privatlivet også på nett. Jeg, og mange andre, ser på dette som et forsvar av Internett slik det er ment å fungere, og menneskerettigheter som gjelder i våre fysiske liv. Jeg kan ikke se at retten til et privatliv skal opphøre om vi kommuniserer digitalt.

Noen tar til orde for å begrense slik programvare og stille utviklerne ansvarlig for de som eventuellt bruker teknologien til kriminelle handlinger. Dette skivebom, og vitner om dårlig forståelse av hvem som gjør hva. Det blir omtrent som å si at soldaten er ansvarlig for handlingene til borgerne han forsvarer. Helt bak mål altså.

Wednesday, November 9, 2011

Illegalt informasjonsmarked


På internett er det et marked som vokser raskt: handel med personlig informasjon. Informasjon som kan benyttes til identitetstyveri er en illegal handelsvare. Du kan kjøpe 1, 10-talls, 100-talls, 1000-talls identiter hvis du vil. Kvantumsrabatt for du også.

Grunnen til at det illegale informasjonsmarkedet kan vokse så raskt er
  • Dårlig sikkerhet i IT-systemene
  • Dårlige sikkerhetsrutiner
  • Ingen eller svake krav til forsvarlighet ved lagring av informasjon
  • Lagring av unødig informasjon, men som viser seg nyttig for kriminelle
    • Dette ser ut til å øke i omfang av en rekke årsaker

Kriminelle hackere har ingen problemer med å skaffe den informasjonen de ønsker, og som de selger videre. Jo mer data som lagres, jo mer vil det illegale markedet vokse. Det finnes ingen kortsiktig løsning på sikkerhetsproblemene, og det vil trolig bli værre i den nærmeste fremtid.

I ovenstående perspektiv er det avgjørende at den enkelte person og bedrift kan selv avgjøre hvilke risiki de utsetter seg for. Akkurat som i det virkelige liv har enhver rett på privatliv og integritet. Mister man disposjonsrett til egen informasjon så har man heller ikke et reellt privatliv og integritet.

Selv om få er bevisste på hva de tiltror sosiale media, banker og telekom-selskaper av informasjon, så er det ihvertfall i stor grad basert på avtaler/samtykke. I sosiale media er det også et incentiv om målrettet eksponering av enkelte sider av seg selv.

Datalagringsdirektivet er et grelt eksempel på hvordan  myndighetene fratar oss disposisjonsretten til egen informasjon. Det er liten grunn til å tro at telekomselskapene har vesentlig bedre sikkerhet enn andre organisasjoner som er hacket. Trafikkdata er også ypperlig datagrunnlag for identitetstyveri og social engineering som igjen vil føre til mer kriminalitet. Crimesourcing er et nytt begrep vi kommer til å stifte bekjentskap med i tiden som kommer. På toppen av det hele blir ansvarsområdet til Datatilsynet nedprioritert av Regjeringen. Økt kriminalitet betyr økt etterspørsel av Politiets tjenester, og økonomisk tap for enkeltpersoner, bedrifter og samfunn.

Kommersielle aktører, og deres eiere, drives av hovedsakelig et viktig incentiv: tjene penger. Det vil si at de vil minimere sine kostnader. Sikkerhet er desverre en salderingspost, fordi det ikke gir noen direkte verdi for kundene deres. Større datamengder vil øke investering- og driftskostnadene:
  • Krav til større fysiske datasentere
  • Mer lagringsplass (failover krever i tillegg replikering av data, over flere fysiske lokasjoner)
  • Båndbredde i nettverket
  • Strøm til lagrings- og kjøleenheter
  • Mer driftspersonell
  • Økt kompleksitet reduserer MTBF (Mean Time Between Failure)
  • Oppgraderinger (som også er forbundet med midlertidig økt risiko for feil, og er en svært vanlig årsak til ikke planlagt nedetid)
Disse faktorene er naturlig nok noe alle IT tjenesteleverandører må ha løpende oppdatering på, men når de blir pålagt noe de ikke har egennytte av er sjansen for at det nedprioriteres større. Når man vet at det finnes svært mange små tjenesteleverandører som omfattes av direktivet skjønner man at risikoen for at data vil komme på avveie vil øke vesentlig. Samtidig blir det trangere kår for de som vil starte opp nye tjenester fordi det vil kreves høyere startkapital. Løsningen på det er for disse å legge infrastrukturen til et land som ikke omfattes av et slikt regelverk, og da i nettskyen som kan tilby svært billig maskinvare. Den utviklingen vil akselereres, men det skaper også utfordringer fordi det er restriksjoner på hvilke data som kan lagres utenfor EU. Konsekvensen kan bli mindre innovasjon, dårligere service og sikkerhet grunnet økt kostnadspress.

Resultatet av denne utviklingen er at plattformen for effektiv kommunikasjon og handel på internett er i ferd med å undermineres. Internett er en sentral brikke når vi skal forsøke å skape økonomisk vekst men samtidig forbruke mindre av klodens ressurser. Men skal det realiseres må vi kunne stole på infrastrukturen i stor nok grad til at vi tiltror den transport av fortrolig informasjon. Det må også være et personlig valg hva vi velger å tiltro infrastrukturen av informasjon.

Det er ikke bare handel og effektivisering som står på spill, men også demokratiske prosesser. Dersom en ikke kan stole på at de dominerende kommunikasjonsformer har nødvendig konfidensialitet vil det ha en avkjølende effekt på avgjørende mekanismer.

TEDxRotterdam - Mikko Hypponen - safe internet will lead the future