Informasjonssikkerhet og risiko ved bruk av fri programvare i IKT-løsninger for helsesektoren

For å øke bruken av fri programvare i Norge, utlyste Fornyings- og administrasjonsdepartementet (FAD) og Nasjonalt kompetansesenter for fri programvare 5 mill NOK i prosjektmidler høsten 2007 til prosjekter basert på eller innrettet mot fri programvare. Dette prosjektet er et resultat av innvilgede midler fra denne utlysningen.

Bakgrunn

Den ”gjengse oppfatningen” er at bruk av fri programvare er en styrke for sikkerhet, tillit og pålitelighet til IKT-systemer. Åpenhet gir bedre kvalitet på programvaren, rettinger gjøres raskere. Åpenhet er et hinder for ”security by obscurity”.

Men i forbindelse med risikovurdering av informasjonssikkerheten i IKT-systemer for helsesektoren har det dukket opp spørsmål om bruk av åpen kildekode og fri programvare i seg selv kan være en trussel mot informasjonssikkerheten. Er det slik at fri programvare er sikrere enn annen programvare? Eller:

Kan åpenheten gjøre det enklere for ”hackere” å lage ondsinnet programvare som gir seg ut for å være helsevesenets systemer?
Hvordan kontrollerer man at vedlikehold av fri programvare gjøres på en sikker måte at nye versjoner eller nye programvaremoduler ikke inneholder ondsinnet programvare som bevisst er plantet der, at kvaliteten er så god at programvaren ikke utgjør en sikkerhetsrisiko og at nødvendig support er tilgjengelig over tid
Hvem tar ansvar for at programvaren gjør det mulig å oppfylle lovpålagte sikkerhetskrav?

NST har brukt og bruker åpen kildekode og fri programvare i flere av sine pilotprosjekt. Vi har imidlertid liten eller ingen oversikt over hvor utbredt bruk av slik programvare er hos leverandører av IKT-systemer til helsesektoren.

Prosjektbeskrivelse

Formålet med prosjektet har vært å kartlegge utfordringer for informasjonssikkerheten ved bruk av fri programvare, spesielt med tanke på bruk i IKT-systemer for helsesektoren.

Gjennom prosjektet ville vi først få en generell oversikt over ulike typer fri programvare, ulike lisenstyper, og hva de innebærer av ansvarsforhold omkring oppdatering og vedlikehold av slik programvare. Dernest ville vi se nærmere på bruken av fri programvare – hvordan den brukes, til hva og av hvem. Prosjektet innebar således en oppbygging av egen kompetanse på dette feltet.

Spesielt ønsket vi å få oversikt over utbredelsen av fri programvare i helsesektoren. Vi var særlig ute etter å finne (eksempler på) applikasjoner laget for og helst fortsatt i bruk innen (e-)helsesektoren. Vi ville se både på applikasjoner som er fri programvare eller åpen kildekode i sin helhet og applikasjoner som har en utstrakt bruk av komponenter/moduler som er fri/åpen.
Vi ville også se nærmere på arbeid som er gjort mhp informasjonssikkerhet relatert til fri programvare.

Resultatet av prosjektet vil være viktig input når vi gjør risikovurdering av informasjonssikkerheten i nye systemer og tjenester for helsesektoren som benytter fri programvare.

Prosjektpartnere

Prosjektet var et internt NST-prosjekt, som også involverte bidrag fra TTL-prosjektene Snow og MyHealthService.

Finansiering

Prosjektet var finansiert 40 % av midler tildelt fra FAD. Øvrig finansiering var gjennom TTL-prosjektene Snow og MyHealthService og gjennom interne NST-midler.