FHI vil i sin nye smittesporingsapp lagre folks bevegelser sentralt. Men sentral lagring er ikke nødvendig, framholder eksperter på digital sikkerhet ved NTNU.
- Jeg mener FHI her baserer seg på en løsning som fordrer full tillit fra befolkningen. Vi vet at for en slik metode å skulle gi robuste data, må en stor del av befolkningen, kanskje minst seksti prosent, ta applikasjonen i bruk. Med de utfordringene som følger med når det gjelder personvern, er jeg redd for at dette ikke skjer, sier professor Staal A. Vinterbo.Privat
For kort tid siden ble det klart at Simula har hurtigutviklet en ny app som er planlagt tatt i bruk av FHI i den hensikt å følge og overvåke spredningen av covid-19 i befolkningen.
Appen, som skal bli sjøsatt innen kort tid, vil bli frivillig å laste ned. Folkehelsa har gått ut med sterk oppfordring om å ta den i bruk. Man er avhengig av at mange laster ned appen for at den skal gi nyttig informasjon om smittespredning.
Men skepsisen har begynt å bre seg, ut fra bekymringer omkring personvern.
Den nye appen for å følge smittespredning i sann tid møtes med stor skepsis fra dataekspertisen: FHI kunne valgt en løsning som ikke forutsetter sentral lagring av persondata, sier de.
- Jeg må vite mer om denne appen før jeg avgjør om jeg eventuelt vil ta den i bruk for egen del, sier professor Staal A. Vinterbo ved Institutt for informasjonssikkerhet og kommunikasjonsteknologi, NTNU, i dette intervjuet med UA.
Også direktør for NTNU Digital, professor Torbjørn Svendsen, utrykker stor skepsis. - Man står overfor et valg mellom å lagre data sentralt eller å la dem ligge hos den enkelte bruker. Det bør være mulig å velge lokal lagring, sier han.
Begge peker på at Folkehelsa med denne appen legger store veksler på folks tillit, når de oppfordrer til å ta i bruk en løsning som legger opp til sentral lagring av befolkningens bevegelser i sann tid.
- Alternative løsninger fins
Den løsningen Simula og FHI har valgt forutsetter sentral lagring av persondata. Dermed åpnes muligheten for at dataene brukes til andre formål enn hva som er forutsatt. Det er da opp til brukerne om man velger å stole fullt ut på at misbruk ikke vil forekomme, verken nå eller siden, av de innsamlede dataene, framholder Vinterbo.
Vinterbo har populasjonsdata og personvern som forskningsfelt. Han peker på at det fins alternative løsninger til den foretrukne, hvor personopplysningene lagres lokalt i den enkeltes telefon, samt i skyen.
En slik desentralisert løsning kan (over)forenklet forklares slik: Om Ola går på bussen og oppholder seg tett ved (nærmere enn to meter fra) Kari i mer enn 15 minutter (definert terskel satt av FHI) registrerer telefonene dette. Om det siden viser seg at Ola har fått covid-19, kan Karis telefon finne ut at den har stått ved siden av en annen telefon som tilhører en som kan være smittet. Nå kan Karis telefon melde seg til helsemyndighetene for videre oppfølging.
Forutsetningen er naturligvis at begge bærer telefonene på seg.
Telefonene anonyme overfor hverandre
Disse telefonene er anonyme overfor hverandre. Det eksisterer ingen sentral part som sitter med all informasjon om alle app-brukernes bevegelser i sann tid. Denne løsningen vil fange opp direkte kontakt omtrent like bra som en sentralisert modell, uten at man utsetter personvernet for unødig risiko, sier professor Vinterbo.
Han utdyper dette slik:
- Den desentraliserte metoden kan, for eksempel, ikke fange opp «kontakter av kontakter», i den betydning at den ikke kan finne ut om Per har stått nært Kari etter at hun sto ved siden av Ola. Dette kan den sentraliserte metoden. Relevansen av dette er imidlertid usikkert, og økningen av resursene som ville kreves for å utnytte denne informasjonen er betydelig og beskrives ikke som en del av tiltaket, forklarer professoren i informasjonssikkerhet.
- Dette krever full tillit
Vinterbo stiller seg kritisk til Simulas valg av løsning.
- Jeg mener FHI her baserer seg på en løsning som fordrer full tillit fra befolkningen. Vi vet at for en slik metode å skulle gi robuste data, må en stor del av befolkningen, kanskje minst seksti prosent, ta applikasjonen i bruk. Med de utfordringene som følger med når det gjelder personvern, er jeg redd for at dette ikke skjer.
- Kommer du til å ta den i bruk, om og når appen blir sjøsatt?
- Jeg må få vite mer om den og eventuelle alternativer for å avgjøre dette, svarer dataprofessoren.
Vinterbo har forståelse for at myndighetene jobber under sterkt tidspress, og en løsning må være på plass temmelig kjapt.
- Men det er kostbart å feile. Om man velger en løsning som fordrer en grad av tillit fra befolkningen som man ikke får, er det nettopp det man kommer til å gjøre, sier professor Staal Vinterbo.
Viseadministrerende direktør i Simula, Kyrre Lekve, avviser ikke at en løsning med lokal lagring vil kunne fungere tålig bra. Han begrunner overfor Universitetsavisa valget av sentral løsning dels med at det da vil være mulig å gjøre endringer i parameterne underveis: For eksempel endre triggeravstanden fra 2 til 1 meter, eller eksponeringsperioden fra 15 til 10 minutter. Med sentral lagring gjøres det med enkel omkoding. Med lokal lagring vil man måtte lage en ny app.
Den andre begrunnelsen for sentral lagring er at man da vil kunne følge utviklingen av epidemien og tiltakene myndighetene setter inn. Anonymiserte persondata skal også gjøres tilgjengelig for videre forskning på et senere tidspunkt.
- Med en kombinasjon av GPS-sporing og blåtann vil vi dessuten oppnå en vesentlig mer nøyaktig måling enn hva man får til ved en ren blåtannløsning, sier Lekve.
- Åpe kildekode åpner for sikkerhetsbrudd
Han minner også om at løsningen med lokal lagring – løsningen man anvendte i Singapore – ikke er en ferdig løsning, kildekoden vil først bli tilgjengelig midt i april. Det vil være nødvendig å gjøre en tilpasningsjobb som kommer til å ta tid før en Singapore-inspirert app eventuelt skulle kunne lanseres i Norge.
- April måned vil gå innen en slik løsning eventuelt er klar, sier Simulas viseadministrerende direktør.
På spørsmålet om hvorfor Simula ikke deler kildekoden til appen, forklarer han dette slik:
- Simula er en forskningsdrevet virksomhet. Åpenhet og kunnskapsdeling er en del av ryggmargen vår. I dette spesifikke tilfellet har vi imidlertid måtte gjøre et valg. Hensynet til sikkerhet og personvern tilsier at det for øyeblikket ikke er klokt å dele kildekoden til appen åpent. Ved å gjøre appens kildekode åpent tilgjengelig øker vi risikoen for sikkerhetsbrudd.
- Hva om FHI vil bruke dataene til annet?
Torbjørn Svendsen er professor og direktør for NTNU Digital. Han uttrykker, i likhet med Vinterbo, betydelig skepsis til valgte løsning for Simulas app.
- Man står overfor et valg mellom å lagre data sentralt eller å la dem ligge hos den enkelte bruker. Det bør være mulig å velge lokal lagring, sier professor Svendsen.
Også han minner om at man lener seg tungt på folks tillit når man velger en slik løsning. Man lover at dataene som samles inn bare skal brukes til å spore koronasmitte, og bare skal lagres i 30 dager. Hva om FHI skulle ønske å anvende innsamlede data til annet forskningsformål siden?
Svendsen stiller også spørsmål ved motviljen mot å åpne appens kildekode. Argumentet for ikke å ville gjøre det er at det åpner for aktører med onde hensikter å bryte seg inn i folks telefoner.
- Det argumentet forstår jeg ikke helt. Slikt vil være mulig uansett, sier han.
- Folk flest er sløve
NTNUs digitaldirektør synes det kan virke som folk flest er nokså sløve når det gjelder digitalt personvern.
- Vi så det i forsøkene på å innføre det såkalte Datalagringsdirektivet for noen år siden. Debatten om klokskapen i dette foregikk stort sett i media og ikke blant vanlige folk, sier Svendsen.
Her har EU vært vesentlig mer på vakt enn norske myndigheter, mener han.
- Det var jo EU som innførte GDPR-ordningen. Selv om man gjerne klikker seg raskt forbi disse varslene når man skal inn på diverse nettsider, er de likevel der, som en påminnelse om å ta vare på eget personvern, sier direktør for NTNU Digital, Torbjørn Svendsen.
Persondata ikke til tredjepart
Lekve slår fast at det ikke under noen omstendigheter er aktuelt å videreformidle persondataene til tredjepart.
- Du viser til at sentral løsning gjør det mulig å anonymisere data til senere bruk for annen forskning. Om man inntar en konspiratorisk innfallsvinkel, kunne man mistenke at det er epidemiologiske forskeres behov som er det egentlige argumentet for å velge sentral lagring?
- Jeg vil si at det ikke er forskerne som har størst glede av slike data, forskere baserer seg i allmenhet på åpent tilgjengelige data. Det vil heller være kommersielle interessenter, eller politiet, som kunne tenkes å ha nytte og glede av rådataene, men vi kommer som sagt ikke til å dele denne informasjonen med tredjepart, slår Lekve fast.
- Når er appen klar til sjøsetting?
- Vi i Simula er så godt som «good to go.» Hva som videre skjer er opp til FHI og regjering å beslutte, sier viseadministrerende direktør Kyrre Lekve.
Kyrre Lekve har egenhendig studert 7 europeiske universiteter og forskningsinstitusjoner som gjør det bra på både forskning og innovasjon, for å knekke koden.Tore Oksholen
På scenen for første gang. Leder for institutt for sosiologi og statsvitenskap, Toril Aalberg, og direktør for NTNU Digital, Torbjørn Svendsen, snakket om maskinlæring og demokrati fra scenen i Brussel da NTNU arrangerte Europakonferansen 2018.Tore Oksholen
