Ekspertgruppe: – Bør foreta totalvurdering før FHI-app lanseres

En ekspertgruppe med medlemmer fra akademia og næringsliv fikk for en uke siden i oppgave å foreta en vurdering av Folkehelseinstituttets app «Smittestopp» som har som mål å hindre spredning av SARS-CoV-2-viruset. Flere har vært bekymret for ivaretakelsen av personvern ved bruk av app-en, blant annet har VG-redaktør Gard Steiro advart sine ansatte mot å bruke app-en på grunn av kildevern.

Den nylig oppnevnte ekspertgruppen har fått i oppdrag å vurdere om sikkerhet og personvern er forsvarlig ivaretatt. Fredag kveld leverte gruppen en foreløpig rapport om sikkerheten i kildekoden til appen.

– Vi mener at sikkerheten i selve app-en er ok, sier Jeanine Lilleng til Dagens Medisin.

Lilleng er CTO og COO i den digitale karttjenesten MazeMap og leder ekspertgruppen.

– Ikke overraskende

 «Dataene blir samlet, sendt og lagret på en måte som gjør at risikoen for datainnbrudd er akseptabel for en app med så sensitiv data,» heter det i rapporten. som er overlevert Helse- og omsorgsdepartementet.

Men gruppen mener at dataintegriteten, det vil si hvor lett det er å endre eller korrumpere informasjon som lagres lokalt for så å sendes til skyen, må utbedres før app-en lanseres.

«Appen bærer preg av at konfidensialitet er bedre ivaretatt enn integritet og tilgjengelighet».

Det er ifølge rapporten så langt avdekket svakheter, sårbarheter og en rekke andre funn innen flere områder. Det er ikke så rart, mener ekspertgruppens leder.

– Hadde vi ikke funnet noen feil, så hadde det vært overraskende. Man vil alltid finne noen feil når man gjør en slik gjennomgang. Jo mer du finner, jo mer får du rettet opp i, sier Lilleng som beskriver påpekningene som «småplukk».

Anbefaler ikke lansering nå

Når det gjelder personvern, står det i rapporten at gruppen mener det vil være lettere å uttale seg om dette når større deler av systemet er ferdig.

Ekspertgruppen konkluderer heller ikke med å anbefale å rulle ut app-en slik den er nå:

«Uten innsikt i, og mulighet til, å vurdere tilgangsstyring, logging av tilgang, prosedyrer for sletting og aggregering av data i Azure, er det vanskelig å anbefale appen for full lansering i hele Norge per dags dato,» heter det i rapporten.

– Vi mener at sikkerheten når det gjelder datainnbrudd og datalekkasje ved bruk av app-en er akseptabel. Det er vanskelig å snike til seg data under opplasting til skyen og når data er lagret der, men vi må også vurdere personvernet når FHI skal bruke dataene, sier Lilleng.

– Må gjøre totalvurdering

Det planlegges nå å teste ut app-en i to kommuner. Dette støtter ekspertgruppen, men rapporten slår tydelig fast at gruppen mener at app-en ikke bør lanseres for alle før det er gjort flere vurderinger.

– Vår anbefaling er teste ut app-en og så gjøre totalvurderingen av sikkerhet før vi kan si «tommel opp», sier lederen.

– I det øyeblikket app-en tas i bruk vil det strømme inn data, og hvis en ikke har noen begrensninger i innsynet til FHI, ville man i verste fall kunne gå inn og følge hvor en enkeltperson har vært. Det er problematisk i seg selv, men også fordi det er stor usikkerhet ved blåtann og GPS som brukes her, og kan gi et veldig unøyaktig bilde.

Ekspertgruppen er nå i gang med arbeidet med den endelige rapporten, som forventes å være klar til 30. april.

Jobber med analyse

Fungerende assisterende direktør i Folkehelseinstituttet, Gun Peggy Knudsen, har tidligere sagt til NRK at målet er å få på plass en trinnvis innføring av app-en over påske.

– Vi trenger noe tid til å samle data som kan brukes til sporing, og vi trenger en trinnvis validering av selve smittesporingen, sa Knudsen onsdag.

Til Folkehelseinstituttets nettsider sier Knudsen nå at det jobbes med funnene til ekspertgruppen.

– Mange av funnene har vi allerede rettet opp i, andre må vi vurdere nærmere. Appen skal bli trygg å bruke, sier Knudsen.

Hun opplyser at dette håndteres gjennom en helhetlig risiko- og sårbarhetsanalyse som de håper å ha klar i morgen, søndag 12. april. I analysen vil det også redegjøres for hvilke tiltak FHI vil iverksette fremover.