INNSPILL FRA EFN OM eNORGE TIL FORNYINGSDEPARTEMENTET Det følgende er noen punkter som EFN mener vil være viktige for målsetningene om digitalisering av offentlige tjenester og dermed i grunnlaget for eNorge-planen. 1. FRIGJØRING AV OFFENTLIGE DATA EFN hilser velkommen EU-direktivet som sier at offentlig informasjon slik som kart- og værdata skal bli gratis, som igjen legger grunnlaget for å utvikle nye nett-tjenester ( http://www1.vg.no/teknologi/artikkel.php?artid=121374 ). Vi er likevel ikke sikre på om direktivet er tilstrekkelig til å frigjøre alle offentlige data. Her følger noen eksempler der vi ber departementet om å være pådriver for å gjøre data tilgjengelig, gjennom vedtak eller frikjøp: Eksempler: kartverk, data fra SSB, folkeregisteret, helsedata. (Helsedata kan være f.eks. legemiddelkataloger, priser, forekomst og trender av sykdommer.) Språkrådets ordlister og stavesjekkdata: Språkrådet bør få penger fra departementet til å frikjøpe språkdata (ordlister og bøyningsmønstre). (Per idag har universitetet rettigheter til de elektroniske utgavene av ordlistene (kjøpt fra IBM). Jan Hoel og Sylfest Lomheim jobber med å få 1 års støtte fra staten. For også å få med definisjonstekster (i tillegg til ordlister og bøyningsmønstre) trenges en ny utgave.) Departementenes arbeid med begreper og oversettelser av fagspråk fra andre språk til norsk. Dette er idag en silokultur med tette skott mellom departementene. Begrepene og oversettelsene bør gjøres fritt tilgjengelig. Lovdata: I tillegg til lovtekstene bør også dommene gjøres fritt tilgjengelig, staten bør betale for dette. I tillegg til data er også frigjøring av BEHANDLINGSRUTINER viktig. F.eks. åpen kildekode for toll- og skatteprogramvare, programvare for elektronisk avstemning og annen offentlig eid, statlig eller kommunal programvare. Om elektronisk avstemning, se http://www.nuug.no/dokumenter/valg-horing-2006-09.pdf http://docs.google.com/View?docid=dgx32jhg_02jwz43 2. AUTENTISERT TILGANG TIL OFFENTLIGE e-TJENESTER (eID) I forbindelse med at det offentlige Norge skal legges over til å være en heldigital offentlig 24/7 tjeneste kreves det at brukere må ha sikker og autentisert tilgang til offentlige tjenester, ved hjelp av en eller annen for elektronisk identifikasjon (eID), f.eks. en form for smartkort. I dag er det kun private aktører som tar seg av dette. Det offentlige bør også inn i bildet her, på lignende måte som med utstedelse av pass. Slik det er i dag må man betale en privat aktør eller være kunde hos denne aktøren for å få et digitalt sertifikat/smartkort som kan brukes mot offentlige tjenester. Denne private aktøren kan, så vidt vi vet, kreve det en vil av en person for å gi den et slikt kort, inkludert årlig fornyelsessum. Borgere som ikke ønsker å bruke eller være kunde hos disse aktørene, som det er få av, kan ikke forvente å få bruke digitale offentlige tjenester. Ved å gi hver borger et slikt sertifikat (med en rimelig grad av identifikasjonssikkerhet i forhold til bæreren av sertifikatet), åpner man for nye muligheter og løsninger som er kunstig begrenset i dag. Det burde i tillegg være en rett for enhver borger å ha et slikt offentlig godkjent sertifikat. I en artikkel om MinSide og Sikkerhetsportalen i Computerworld nr. 10, 2006 uttrykkes det skuffelse over framdriften på grunn av uenighet angående sikkerhetsportalen, mest på grunn av de private aktørenes handlemåte. Som en reaksjon på dette sier Paul Chaffey (Abelia) og Per Morten Hoff (IKT-Norge): "Nå syntes jeg staten bør vurdere å tildele en personlig eID og rulle dette ut via Brønnøysundregisteret". EFN mener at dette i såfall må skje via Folkeregisteret, ikke Brønnøysundregisteret. Utstedelse av eID bør være gratis for å unngå digitale klasseskiller. Men det bør ikke være kun ett bestemt sentralt organ som utsteder eID. Flere aktører er bra. Men det offentlige må mer aktivt inn for å stimulere og koordinere arbeidet. http://www.computerworld.no/index.cfm/fuseaction/artikkel/id/58618 Se også vedlegg fra Jon Berge Holden nedenfor. 3. NORGE BØR BLI AKTIVT MED I Å UTFORME OG FINANSIERE ARBEIDET MED ÅPNE STANDARDER I INTERNASJONALE ORGANER Norge kan og bør være et foregangsland i ISO-SE 22. EFNs anbefalinger: * Meld Norge inn i IDA-BC (EU) igjen (Høyre meldte Norge ut). * Gi StandardNorge de midlene de trenger til å delta i dette arbeidet. * Standardene offentliggjøres fritt, uten bruksbegrensninger, på nettet. 4. STATEN SKAL HA TILGANG TIL KILDEKODEN FOR DE PROSJEKTER DEN SELV BETALER FOR UTVIKLINGEN AV ...slik at staten i fremtiden ikke blir låst til en leverandør for å kunne få utført endringer og oppdateringer. Vi, borgerne, skal ha tilgang til kildekoden. 5. STATEN MÅ FORLANGE Å FÅ KILDEKODEN FOR VIRKSOMHETSKRITISKE PROGRAMMER. Eksempel: Britiske militære myndigheter krever å få kildekoden til fly de kjøper fra USA, slik at amerikanerne ikke kan kontrollere flyene. Saken har høsten 2006 blusset opp for fullt i Norge: http://www.klassekampen.no/kk/index.php/news/home/artical_categories/nyheter/2006/october/superfly_med_skjult_last 6. SETTE STRENGE KRAV FOR Å TILDELE PATENTER PÅ PROGRAMVARE. EU-parlamentet er mot EPOs tolkninger/praksis vedrørende programvarepatenter. Vi ber departementet vurdere om EPOs nåværende praksis er i strid med regelverket. http://www.dagensit.no/bedrifts-it/article779162.ece http://www.petitiononline.com/noswpat/ http://www.aftenposten.no/nyheter/nett/article897266.ece?service=print http://efn.no/patent/den-patente-trussel.html 7. DRM-TEKNOLOGI STOPPER NYSKAPING OG KONKURRANSE. EFN ber FAD om å holde øye med og arbeide for å motvirke skadelige og konkurransevridende konsekvenser av innføringen av rettslig vern av DRM-teknologi i den nye Åndsverkloven. http://efn.no/foredrag/ft/index.html http://efn.no/digitaltmateriale-kravliste.html http://efn.no/verk-finansiering.html http://www.ballade.no/nmi.nsf/doc/art2005121415034695925383 http://www.eff.org/IP/DRM/itu_drm.php 8. EFN ER FOR NASJONALT KOMPETANSESENTER FOR FRI PROGRAMVARE. http://ksikt-forum.no/temaer/apen_kildekode_fri_programvare http://ksikt-forum.no/filearchive/forslag_til_nasjonalt_kompetansesenter_for_fri_programvare.pdf 9. EFN GÅR INN FOR OFFENTLIG STØTTE TIL ARBEIDET MED FRI KONTORPROGRAMVARE PÅ NORSK Stiftelsen Åpne kontorprogram på norsk organiserer og koordinerer arbeidet med å oversette OpenOffice.org (OOo) til bokmål og nynorsk. OOo er den ledende frie kontorpakken, og ved å bruke den oppnås bl.a. følgende gevinster: * Fellesordliste som sikrer enhetlig terminologi * Mulighet til å bruke OpenOffice.org på både nynorsk og bokmål * OOo er dette et kryssplattformverktøy (går på både Mac, Linux/BSD og Windows). Stiftelsens arbeid har allerede hatt flere gode konsekvenser og ringvirkninger, utover det konkrete å gjøre de norske versjonene av programvaren tilgjengelig: * Støtten for ODF som et offentlig åpent format og standard er økende i Norge * En annen ledende leverandør av konkurrerende lukket kontorprogramvare har sett seg nødt til å tilby sitt produkt på nynorsk, noe man før OOo på norsk uttalte at var kommersielt uinteressant. Stiftelsen ble nylig tildelt NUUG-prisen 2006: http://www.hio.no/content/view/full/51601 http://www.nuug.no/prisen/ Stiftelsens nettsted: http://no.openoffice.org/translation.html Stiftelsen har usikker økonomi. På sikt vil dette kunne høre inn under arbeidsområdet til Nasjonalt kompetansesenter for fri programvare, dersom/når dette opprettes. Men i mellomtiden er det behov for offentlig støtte for å sikre det videre arbeidet. Ved å støtte arbeidet med norske versjoner (bokmål + nynorsk) av OpenOffice.org kan man opprettholde konkurranse på et område der det ellers lett vil være et nesten-monopol (Word, lukkede filformater, produktinnlåsing etc.), og på denne måten kan man bidra til å gi bedre konkurranseforhold. På bakgrunn av det ovenstående anbefaler EFN å aktivt støtte arbeidet til stiftelsen Åpne kontorprogram på norsk. 10. EUS DATALAGRINGSDIREKTIV -- HVA VIL REGJERINGEN GJØRE? Se: http://efn.no/datalagringsrapport-08092006.pdf http://efn.no/itakt-seminar2006referat.txt http://efn.no/personvern/atferdsdatalagring-pm.txt 11. EFN STØTTER MAGNAR LUND BERGOS FORSLAG OM AT NTV-KONSESJONEN BØR VURDERES OG GJENNOMGÅS PÅ NYTT. Bakkenettprosjektet er blitt mye mer kommersielt innrettet etter at Telenor kom inn på eiersiden i digitalnettselskapet Norges Televisjon sammen med TV 2 og NRK, og prosjektet omfatter frekvensressurser som er dobbelt så store som det Stortinget så for seg i 2004. Det er også klart at slik prosjektet nå ser ut, vil det gi publikum et dårligere og dyrere tilbud enn dagens. Se forøvrig http://avis.dn.no/artikler/avis/article1962.ece . 12. EFN STØTTER AT ÅPEN KANAL KAN DELTA I NTV UTEN KONSESJON. Fordi Norges Åpen Kanal per definisjon er åpen uten tekniske begrensninger og formålet om åpenhet oppnås på enkelt vis (slik som i andre land) ved at distributør setter av nødvendig sendeflate til allmennhetens disposisjon, blir konsesjon overflødig, og dermed ulovlig etter Menneskerettighetserklæringens artikkel 10 som går foran kringkastingsloven § 2-1 ved motstrid, jfr. menneskerettslovens § 3. Hvorfor anvendes EMKs artikkel 10 slik? Forenklet kan det skrives slik: Konsesjon for mediet = konsesjonær får kontroll i mediet = en eller annen form for begrensning/faktisk sensur ==> brudd på ytringsfriheten. Da Grunnlovens § 100 om ytringsfrihet ble endret, falt Stortinget ned på Ytringsfrihetskommisjonens oppbygning og formuleringer. Ytringsfrihetskommisjonen la til grunn at konsesjon for medier forutsatte "naturgitte knapphetsgoder". For Norges åpen kanal er det, som nevnt, ikke teknisk nødvendig med konsesjon. Det er tilstrekkelig at distributør (NTV) stiller sendeflaten til disposisjon. På denne måten gjøres åpne kanaler åpne. Den europeiske menneskerettighetsdomstolen (EMD) stiller store krav til bruk av konsesjon i kommunikasjonsmedier. For at konsesjonen skal være mulig etter menneskerettighetserklæringen (EMK) artikkel 10 om ytringsfrihet, stilles det tre krav: 1. Konsesjonen må ha lovhjemmel (det har KKD i kringkastingsloven § 2-1). 2. Konsesjonen må svare til et formål som kun oppnås ved hjelp av konsesjonen. 3. Konsesjonen må være nødvendig på grunn/tross av tekniske begrensninger. Det er altså avgjørende å få fastslått at Norges Åpen Kanal skal være åpen slik Grunnlovens § 100 forutsetter. Hva handler Åpen Kanal om for EFN? Regjeringspartnere på Stortinget ønsker å se på NTV-konsesjonen på nytt, og om Telenor, TV2 og NRK faktisk har holdt seg til det som er lovet. Det gir oss anledning til å gjenta følgende EFN-synspunkter: 1. Bli kvitt skadelig DRM-teknologi som gir duppeditt-monopoler. 2. Gi frie grupper med små ressurser demokratisk mulighet til å skape fremtidens tv-uttrykk gjennom Åpen Kanal. Det koster penger å distribuere. Hvor er den økonomiske støtten til Åpen Kanal slik at frivillige slipper å samle inn millioner til å dekke sende kostnadene (en mulig løsning er å sende regninga til TV2, NRK og Telenor). Den forhenværende politiske ledelsen i KKD stilte ikke de rette motkravene for at NTV skulle få konsesjonen. Ap har av en eller annen grunn ikke maktet å rette opp feilene. Mangelen på motkrav blir enda mer synlig tatt i betraktning at NTV i hovedsak er finansiert ved at Stortinget økte lisensavgiften og endret momsvilkårene for NRK. Dette ga NRK økte inntekter i størrelsesorden 500 millioner per år. På denne måten har Staten gitt Staten ved NRK de økonomiske musklene som trengtes for å kunne kjøpe konsesjonen. Det å ha plikt til å formidle 1,5 Mbit/s transportstrøm 20 timer/døgn (beste sendetid unntatt) for å sikre en allemannsrett i etermediet, som er det som trenges til Norges Åpen Kanal, ville knapt vært merkbart for NTV, men utgjør et gjennombrudd for "den åpne, offenlige samtalen" (som er motivet i den nye Grunnlovsparagraf nr. 100). Det dreier seg om 2 % av kapasiteten, nærmere bestemt de 2 % av kapasiteten som NTV under ingen omstendighet hadde fått solgt fordi tv-selskapene først og fremst kjøper den beste sendetiden. Den forhenværende politiske ledelsen i KKD foreslo at de 2 % til Norges Åpen Kanal skulle koste sivilsamfunnet 9 millioner per år. Om sivilsamfunnet dermed ble utelukket ble ikke ansett som et problem. KrF håpet at koalisjonen av kristne produsenter kjøpte halvparten (9-12 timer/døgn) av det som skulle være Norges Åpen Kanal. Selv om Telenors gjeninntreden i NTV halverer kostnadsberegningene, strider enhver kommersiell utnyttelse av Norges Åpen Kanal med både det ikke-kommersielle kravet som Stortinget har lagt til grunn, jfr. Innst.S.nr.128 (2003-2004), og med forutsetningene for Åpen Kanal-konseptet. Hva kan FAD gjøre? Gå videre enn Innst.S.nr.133 (2003-2004) og slå fast en VEDERLAGSFRI Allemannsrett i etermediet som likestiller borgeren både ytrings- og samfunnsmessig med den kommersielle bruken av de nye mediene. Høyteknologisk implementering av Norges Åpen Kanal er tilstrekkelig for å nå dette målet. VEDLEGG: GJENNOMGANG AV PROBLEMER OG PREMISSER FOR eID Dette vedlegget er skrevet av EFN-medlem Jon Berge Holden (epostadresse: jonberge@gmail.com), som arbeider med teknologi for kryptering og digitale signaturer. Her gis en mer inngående gjennomgang av dagens problemer med eID og noen premisser for løsningsforslag. Her presenteres ikke noen endelig løsning, men et rammeverk for videre vurderinger. Date: Sun, 2 Apr 2006 13:26:26 +0200 From: Jon Berge Holden Hva er galt med sikkerhetsportalen? - Den er uten brukere. Det skulle så vidt jeg har skjønt være minst 3 PKI-leverandører, men for tiden støttes kun Sikkerhetsportalens egne sertifikat fra Zebsign. Den er m.a.o. ikke knyttet til en eksisterende PKI, og har derved heller ingen brukere fra før. Bankid skal fra mai og UT ÅRET være i test i sikkerhetsportalen, http://bankid.no/index.db2?id=3301. Det lover ikke godt for når løsningen skal være klar for produksjon. - Den er tungvint i bruk, særlig gjelder dette installasjon av Sikkerhetsportalens sertifikater (se veiledninger på https://webra.bbs.no). I bruk er det mange promptinger for passord. Jeg har ennå ikke hørt om noe land som har lyktes i å få høy bruk av sertifikater. Jeg tror årsakene primært er tekniske og merkantile problemer: - eID er fortsatt lite teknisk standardisert på applikasjonsnivå: det finnes mange ulike løsninger. I dagens marked er det i alle fall fire sertifikatmedier: soft lokalt (Sikkerhetsportalen og Skandiabanken), SIM-kort (mobil PKI), smartkort (tipping/Buypass, RTV/legene), soft sentralt (banklagret bank-id). Hver type krever sitt eget brukergrensesnitt for å få tilgang til sertifikatet. Dette går ut over brukervennligheten ("hvilket sertifikat bruker du, da?"). Dessuten blir det dyrere og mer komplisert for brukerstedene å legge til rette for bruk av ulike sertifikater. Alle har integrasjon for nettleser (java applet, tilgang til nettleserens sertifikatlager evt. operativsystemets), men ingen (mulig unntak for Skandiabanken) støtter kryptering fra vanlige e-postklienter så vidt jeg vet. Og håndteringen av private nøkler i Windows er så som så, det er opp til bruker om bruk av privat nøkkel krever passord; derfor kjører både sikkerhetsportalen og Skandiabanken en hybridløsning med statisk passord i tillegg. - Hvem skal betale, og for hva? Brukerne betaler fastpris for tippekortet (åpenbart subsidiert: 60 kr/3 år) og i RTVs rammeavtale (500 per sertifikat, pki.ergo.no). I sikkerhetsportalen betaler brukerstedene, enten transaksjonsbasert eller brukerbasert (antall brukere), men prisene er hemmelige. se http://www.brreg.no/sikkerhetsportal/hvordan_bruke/hvordan_avrop.html Brukerperspektivet. Jeg tror vi kan regne med følgende tre betingelser for at folk skal skaffe seg og bruke eID: 1) Det må være nyttig. Viktigste gevinst tror jeg vil være at folk slipper å forholde seg til mange ulike passordregimer; at du har eID-en din tilgjengelig hver gang du må identifisere deg sikkert. 2) Det må være enkelt. Både installasjon og bruk, inkludert når du glemmer passordet; har reinstallert PC-en; skal benytte tjenester fra andre PC-er; Internett-PC; jobbens terminalserver, osv. 3) Det må ikke koste for mye. Dagens innloggingsmekanismer er gratis for folk. Det er neppe stor betalingsvilje for andre innloggingsmekanismer... Men hva bør vi gjøre? Noen spørsmål: - Hva vil vi med eID? Signering? Kryptering? Eller autentisering - og overfor hvem. Det offentliges behov er først og fremst autentisering, for å kunne vise taushetsbelagte opplysninger på en tilstrekkelig trygg måte i webtjenester, evt. - på sikt - mulighet for kryptert e-post til borger. - Er det nødvendig med en sikkerhetsportal? For små aktører er det godt å slippe integrasjon mot flere PKI-leverandører. Men om det er en eller flere sikkerhetsportaler? Mulig flere kan bidra til konkurranse, men er da to nok? Det vil også være et poeng å begrense antallet domener/nettsteder bruker må ha tillit til, bruker bør egentlig læres opp til å sjekke domenenavn og sertifikater. - Utlevering av sertifikater til folket? Finnene har ikke lyktes, men de har også siktet høyt - smartkortsertifikater med personlig utlevering. Softsertifikater er enklere å lykkes med. Samtidig: hvor skal folk bruke sertifikatene? For tiden tror jeg det er Nettbanken, jobben/skolen og e-posttjeneren du oftest identifiserer deg overfor. Du har mye mindre behov for kontakt med det offentlige. Tror det vil være vanskelig å lykkes med utrulling av et sertifikat som du ikke ofte har behov for. Hvor mange eID-er ønsker du? De fleste vil neppe ha mange. M.h.t. første spørsmål vil jeg gjerne avlive et par myter (slik jeg ser det) om innbygger-eID: Myte nr. 1: "eID hos innbyggerne gir høy sikkerhet, og er mye sikrere enn andre autentiseringsmetoder." Helt feil. De to svakeste punkter ved elektroniske autentiseringsløsninger er etter mitt skjønn følgende, og eID (PKI-basert) er ikke vesentlig bedre enn andre løsninger: - utleveringssikkerheten - sikkerheten for at identitetsbeviset er levert til rette vedkommende. Her er eID og konkurrentene likeverdige. Personlig utlevering (oppmøtekrav) er tungvint, og blir bare brukt for løsninger med høyest sikkerhetskrav. For eksempel Skandiabankens første passord for nedlasting av sertifikat. For øvrig sendes passord/pin-koder til innbyggerens postadresse (eksempel: Sikkerhetsportalens passord for å laste ned Person Standard-sertifikater), - PC-sikkerheten: hvor vanskelig er det å stjele identiteten fra brukers PC. Det er et faktum at mange brukere har dårlig sikring av sin PC (1/3 av private mangler oppdatert antivirus ifølge SSB-undersøkelsen IKT i husholdningene 2005, http://www.ssb.no/emner/10/03/ikthus/ . PC-en er derfor et svakt punkt. Tastaturloggprogrammer stjeler statiske passord, og da er det relativt greit å utnytte sertifikatet hvis det er tilgjengelig fra PC-en (soft, banklagret, evt. smartkort som står i kortleseren). Her er digipasskalkulatorer og engangskoder sterkere. Men alle PC-løsninger vil dessuten være sårbare for sesjonstyveri, at bakgrunnsprogrammer fortsetter sesjonen etter at bruker tror han/hun er logget ut. Myte nr. 2: "Digitale signaturer er veldig nyttig" Digitale signaturer gir riktig nok en sterk matematisk binding mellom privat nøkkel og hash av dokumentet. Men bevisverdien forutsetter: - at privat nøkkel er brukt av rette vedkommende. Her er sikkerheten ikke særlig god når signering skjer fra usikre PC-er. - at "WYSIWYS" var implementert korrekt i brukerutstyret ("what you see is what you sign"), hvem lager hashen (hos Buypass gjøres det på server). På sikt svekkes dessuten bevisverdien, dels fordi digitale dokumenter forvitrer (dokumenter må konverteres) og dels p.g.a. matematiske framskritt (eksempel: MD5-hasher regnes ikke lenger som sikre). I praksis vil man nok bygge på andre bevis enn dokumentbeviset alene, for eksempel bevis for at penger er utbetalt osv. --------------------------------------------------------------- Med vennlig hilsen for EFN, Thomas Gramstad thomas@efn.no Oslo, 7. november 2006