App lansert i dag – ekspertgruppen har ikke konkludert om tilgangsstyring

Den mye omtalte – og kritiserte – appen, Smittestopp, ble lansert i dag. Under den daglige pressekonferansen om koronasituasjonen i Norge.

Statsminister Erna Solberg (H) oppfordret alle til å laste ned appen.

Appen skal første testes i tre utvalgte kommuner for så å se hvordan appen kan bistå arbeidet med smittesporing. Deretter skal testen utvides til femten kommuner, for så å rulles ut i hele landet, forklarte direktør Camilla Stoltenberg i Folkehelseinstituttet (FHI) under pressekonferansen.

Jeanine Lilleng er CTO i selskapet MazeMap og leder ekspertgruppen som evaluerer den nye appen, som utvikles av Simula og FHI.

– Vi jobber med å få oversikt over dataens livssyklus etter opplasting, inkludert tilgangsstyringen til dataene som lagres i skyen. Vi kommer ikke til å ha konkludert på om den er god nok, før de lanserer testversjonen, opplyser Lilleng til Dagens Medisin. 

Ekspertgruppen har allerede konkludert med at sikkerheten i applikasjonen er god nok, men uttalte nylig at tilgangsstyringen til dataene som skal lagres sentralt blir avgjørende for om de kan gå god for appen.

Evaluerer sikkerhet
Det ble opprettet en ekspertgruppe som skulle evaluere kildekoden i appen for å sikre integriteten til applikasjonen og personvernet i appen.

Mange har blant annet kritisert appen for å ha skjult kildekode.

Dataprogram kan ha åpen kildekode, for at andre programmerere skal kunne finne sikkerhetsbrister i koden. Slik kan man minske risiko for at uvedkommende skal bryte seg inn i applikasjonen.

Åpen kildekode kan også være transparent og vise hva programmet gjør med personinformasjon.

– Selve appen og kode for innhenting og opplasting av data, har vi ganske god kontroll på. Vi har gått gjennom mesteparten av koden, sier Lilleng.

Hun viser til at appen har en god slettefunksjonalitet, slik at brukere kan slette alle sine data i appen og skyen.

– Dette gjør at brukeren har kontroll over sine data.

Lilleng opplyser at hun selv ikke har betenkeligheter med å installere appen og viser til at det finnes en mulighet til å slette data i selve appen.

– Hvis man trykker på denne knappen vil all data som er lastet opp fra din telefon bli slettet. Denne funksjonaliteten har vi sett på, og personlig er jeg komfortabel med å installere denne appen nå, og heller slette dataen jeg har delt, på et senere tidspunkt, dersom jeg ikke er komfortabel med de endelige løsningene rundt analyse av data, sier Lilleng.

Forstår hastverk
Lilleng forstår at norske helsemyndigheter vil lansere testversjonen av applikasjonen så fort som mulig for å samle inn data, ettersom analysene som skal gjøres må ha historiske data for å kunne gjennomføres.

– Derfor er det også slik at man antageligvis ikke gjør analyser på dataene med en gang appen lanseres. Ettersom man må ha samlet en del data for å gjøre analysene. 

Lilleng påpeker at de har pekt på deler av koden til applikasjonen som ikke er ferdig.

– Hvis FHI fikser alle utfordringer vi finner og påpeker, før de starter å analysere dataene, er det greit å publisere appen nå. Men vi som ekspertgruppe har ikke kontrollen på hva FHI vil fikse av problemer vi finner, sier Lilleng.

Har anbefalt test – ikke lansering
Hun presiserer at ekspertgruppens mandat kun var å evaluere sikkerhetsaspekt ved applikasjonen og ikke lanseringsstrategien.

– Som ekspertgruppe kan vi bare uttale oss om eksisterende funksjonalitet, ikke hva som er planlagt levert senere: Vi har i utgangspunktet anbefalt at de skal gjøre en test i to kommuner og vente med å rulle ut applikasjonen til alle. Det har vært vår anbefaling.

Hun peker på at FHI kan vurdere situasjonen annerledes.

– Man må samle inn data og vi står midt i et smitteutbrudd. Derfor kan de vurdere det annerledes om appen bør rulles ut til alle nå. Vi som ekspertgruppe skal ikke gjøre den vurderingen. Det er jo ikke unaturlig at FHI sin beslutning er annerledes; Siden de også kan ta med fremtidige planer for funksjonalitet som skal være på plass, før de begynner å gjøre analyser.

Vil ha kontrollgruppe
– Det viktigste er at loggingen på tilgang til databasen er så god, at folk kan logge inn selv og se hva data er brukt til. Vi må også ha et utvalg som kan følge med på hva dataene brukes til. Dette er viktige mekanismer som bør være på plass.

Hun mener at verken Simula eller FHI kan stå for denne overvåkningen.

– Da blir det bukken som passer havresekken. Det er lett å bli fristet av data. Derfor det er viktig med «lockdown» og «review».

Hun mener at det må på plass en uavhengig enhet for at personvernet skal være akseptabelt.

– Vi trenger en ganske teknisk kompetent gruppe som rapporterer til Stortinget. Logging av datatilgang og et kontrollutvalg bør være på plass før man tar i bruk  dataene i analyser.

Lilleng påpeker at alle data slettes etter 30 dager.

Unøyaktig med GPS
Lederen for ekspertgruppen har tidligere påpekt at tilgangsstyringen også er viktig, fordi man i verste fall vil kunne gå inn i dataene og se hvor en person har vært. I tillegg til at det er usikkerhet knyttet til posisjonsdata fra GPS og blåtann.

Sivilingeniør Terje Bølstad har også skrevet om at GPS kan være unøyaktig i et debattinnlegg i Nettavisen. 

Lilleng peker på at GPS kun brukes for å begrense mulighetsrommet for hvilke telefoner som har vært nær hverandre og for hvordan folk beveger seg.

– Hvis man er en kilometer unna en person på GPS, så er du antakeligvis ikke på samme sted. Blåtann brukes for å finne folk som har vært i nærheten av hverandre, og kan være potensielle smittetilfeller. Å si at GPS er unøyaktig, er å slå inn åpne dører. Vi vet det er ti til tre meters nøyaktighet. Derfor baserer man seg på blåtann til kontaktsporing, ikke GPS.

– Er blåtann bra nok?

– Vi har jo ikke noe bedre. Dette vet vi ikke alt om. Vi vil få ganske mye data om kontakt mellom enheter over tid. Hypotesen er at man skal klare å få ut fornuftige data av det.

Lilleng forklarer at man vil trenge flere målepunkt for å få nøyaktige analyser.

Andre løsninger
Applikasjonen har også fått kritikk tidligere fordi den skal lagre data sentralt i en skyløsning.

En smittesporings app fra Singapore lagrer blant annet posisjonsinformasjon på enhetene. Apple og Google jobber også med en smittesporingsløsning som skal lagre stedsinformasjon på enhetene, og ikke sentralt.

Det vil imidlertid være en sentrale servere som koordinerer noe informasjon i løsningen til Apple om de som er syke, i henhold til en artikkel i The Verge.

TechCrunch skriver blant annet at løsningen skal være desentralisert, slik at det ikke skal være like lett å utnytte dataene for myndighetene i ulike land.

Sentral lagring – sovende telefoner
Lilleng forklarer at bakgrunnen for hvorfor man har valgt sentral lagring i den norske applikasjonen, er at blåtann ikke fungerer på Apples telefoner når de er i dvale.

– Når skjermen er av så får du ikke registrert blåtanntreff. I land med så høy iphonepenetrasjon som i Norge, så får du ikke fulgt med på dem som har iphone, uten å ha sentral lagring.

Dette er ifølge Lilleng ikke en like stor utfordring i land som Singapore, fordi de i større grad bruker enheter som kjører på Android-operativsystemet (Googles operativsystem). (For eksempel Huawei eller Samsung). 

– Men når du har Android-telefon, så vil de kunne oppdage at det har vært en Apple-telefon i nærheten. Fordi Apples telefoner kan svare når den sover. Men den kan ikke spørre selv.

Lilleng forventer at det sannsynligvis vil komme endringer til iOS (Apples operativsystem) som reduserer dette problemet, som følge av Apple og Google sitt samarbeid, for å lage en kontaktssporingsapp.

– Men oppdateringer av operativsystem tar vanligvis lang tid.

Muliggjør bevegelsesanalyser
I tillegg forklarer Lilleng at sentral lagring muliggjør at appen kan registrere aggregert hvordan folk flytter på seg, og sammenligne dette med smittesituasjonen og effekt av smittebegrensende tiltak i Norge.  

Lilleng forstår også kritikerne som vil ha åpen kildekode, samtidig som hun mener det ville ha vært vanskelig med en så kort deadline som appen har.

– Da ville man måtte ha laget ferdig koden, lagt den ut for tilbakemeldinger, og ventet noen måneder før den kunne rulles ut.

Rapporten til ekspertgruppen kommer i slutten av april. Ambisjonen til gruppen er at når du har lest rapporten, skal du forstå hovedtrekkene i hvordan smittesporing og andre mekanismer i appen virker.