nrk.no

Nye Smittestopp skal være basert på teknologi fra Apple og Google

Kategori: Samfunn

En person med hansker og munnbind holder fram en mobiltelefon. På skjermen vises skjermbilder fra appen Smittestopp.
Folkehelseinstituttets app originale app Smittestopp. Foto: Heiko Junge / NTB scanpix


Regjeringen har besluttet å relansere Smittestopp med teknologi fra Apple og Google.

Under dagens pressekonferanse annonserte Bent Høie at regjeringen vil lage en ny løsning for digital smittesporing:

– For å komme videre og få plass et slikt verktøy har vi valgt å avslutte arbeidet med Smittestopp-appen, og bestemt oss for å skaffe en helt ny løsning som er basert på rammeverket til Google og Apple, sa helse- og omsorgsminister Bent Høie under dagens pressekonferanse.

Dette er i tråd med anbefalingen regjeringen har fått fra Folkehelseinstituttet (FHI), opplyser Bent Høie.

– FHI vurderer at dette er teknologien som gir best teknisk ytelse, og er best på personvern. Den skal kjøpes inn i markedet, og FHI sier det vil ta åtte uker å utvikle appen, sier Høie.

KREVENDE: Helse- og omsorgsminister Bent Høie trekker frem at mange har oppmot 200 nærkontakter, noe som er vanskelig å håndtere for smittesporerne. Foto: Vidar Ruud / NTB

Folkehelseinstituttet fortalte i august at de stod mellom tre ulike hovedalternativer for en ny versjon av Smittestopp.

Smittestopp ble i sin originale form lansert som et samarbeid med forskningsinstituttet Simula. Appen samlet inn informasjon om brukerens posisjon og bluetooth i et sentralt lager, noe som førte til sterk kritikk fra det norske IT-miljøet.

Dagens beslutning betyr at originale Smittestopp vrakes i sin helhet, en løsning som ble beskrevet av Amnesty blant de verste i verden på personvern.

Den nye løsningen vil bygge på teknologi fra Google og Apple og kun samle inn informasjon om hvem som har vært i nærheten av hverandre. Denne informasjonen vil i mye større grad lagres lokalt på brukerens mobiltelefon.

Det gjør at personverneksperter mener at denne løsningen er langt mindre inngripende enn den originale Smittestopp-appen som ble lansert i vår.

Det er samtidig et problem for helsemyndighetene:

– Det er vanskeligere å analysere og måle effektiviteten til løsningen etter at den er tatt i bruk, siden ingen data lagres sentralt, sier assisterende direktør Gun Peggy Knudsen i FHI.

NY LØSNING: Folkehelseinstituttet ved assisterande direktør Gun Peggy Knudsen lanserte mandag hvilket alternativ de går for. Bildet ble tatt ved en tidligere anledning. Foto: Vidar Ruud / NTB

Mål om å være klar før jul

FHI anslår at det vil ta åtte uker å utvikle en ny app.

– Fordelen med Google og Apple sin løsning er at den kan drive smittesporing på tvers av landegrensene. Den baserer seg på samtykke, og det er opp til hver enkelt om man vil laste den ned og registrere seg, sier Høie.

Man trenger ikke å laste ned appen for å motta varsler, men man trenger appen for å si fra om at man selv er smittet.

– Vårt mål er at løsningen skal være klar før jul, sier Knudsen.

Knudsen ønsket ikke å komme med et tall på hvor mange som må laste ned appen før den vil hjelpe i bekjempelsen av pandemien, men understreket at det vil bidra jo flere som har appen.

Datatilsynet: – Bedre løsning

Datatilsynet satt i vår foten ned for den originale versjonen av Smittestopp. Direktør i Datatilsynet, Bjørn Erik Thon, er positiv til løsningen som ble lansert mandag.

– Umiddelbart ser dette ut som en bedre løsning. Blant annet at informasjonen ikke lagres sentralt. Samtidig må vi nå gå grundigere inn og vurdere løsningen. Vi vet foreløpig ikke mer enn hva vi har sett på pressekonferansen sier, Thon.

Thon oppgir at han er interessert i å møtes FHI for å diskutere løsningen nærmere.

– Dersom man skal ha en app er dette nok den mest fornuftige veien, skriver sjefsutvikler Johannes Brodwall i Sopra Steria.

TRYGGESTE VALGET: – Alle smittesporingsapper bør vurderes varsomt av hensyn til personvern og ressursbruk, men dette er nok det tryggeste alternativet, sier Brodwall. Foto: Martin Gundersen / NRK

Han var en av flere i IT-miljøet som var kritiske til den originale appen og som underskrev et opprop. Også Simen Sommerfeldt, teknologidirektør i Bouvet, er fornøyd med dagens utfall.

– Jeg er fornøyd med at det nå er valgt en løsning som er i tråd med oppropet og som er mindre inngripende overfor personvernet, sier Sommerfeldt.

Meldte seg ut av konkurransen

Utvikleren av originale Smittestopp, Simula, publiserte 9. september en rapport kalt «Sammenligning av alternative løsninger for digital smittesporing».

I rapporten kunngjør selskapet at de ikke vil levere inn et anbud på en ny løsning, om dette blir utlyst av FHI.

«Siden Simula er en forskningsinstitusjon og ikke en IT-utvikler, vil vi ikke legge inn anbud på en ny løsning», står det å lese i rapporten.

Dermed ligger det an til at Simula ikke vil spille en sentral rolle i arbeidet med smitte- og kontaktsporing framover, gitt at smitten ikke får et kraftig oppsving.

Kritiske til Googles innsamling av data

I sin rapport henviser til Simula til forskere ved Trinity College i Irland, som har undersøkt hvilke data Android-mobiler sender fra seg, når de har smittesporings-løsningen fra Apple og Google aktivert.

Her fant Douglas Leith og Stephen Farrell at mobiltelefonene kontaktet Googles servere hvert 20. minutt med informasjon som potensielt kan avsløre hvor en bruker befinner seg.

– Jeg kunne nesten ikke tro det da jeg leste det, sa direktør Olav Lysne i Simula, om forskernes funn i sammenheng med deres egen rapport.

Farrell er kritisk til at Apple og Googles løsning bruker «Google Play Services» og «SafetyNet» i Android-operativsystemet. Google Play Services brukes blant annet til å oppdatere apper, mens SafetyNet sjekker om telefonens system har blitt endret eller hacket.

Google hevder selv at funnene til de irske forskerne har lite sammenheng med det aktuelle systemet for å gjøre kontaktsporing, også kalt «Exposure Notification API».

– I samsvar med våre personvernforpliktelser for Exposure Notification API-et samler Google ikke informasjon om sluttbrukeren, stedsdata eller informasjon om andre enheter brukeren har vært i nærheten av, sier Andrea Lewis Akerman, som er midlertidig kommunikasjonssjef i Google Norge.

Fagansvarlig for mobil i konsulentselskapet Bouvet, Johannes Dvorak Lagos, mener forskerne ved Trinity College sauser sammen flere systemer i Android-telefonene og hva de gjør. Selv skryter han av Google, som han mener har vært tydelige i å dokumentere hva de samler inn av data og hvorfor.

– Jeg vil si at Google faktisk har vært flinke og heller har laget brukervennlig dokumentasjon, sier Lagos.

34 kommentarer

    • Jahn Seniorsen (svar til Stig Bøyle Jr.)

      Stig Bøyle Jr. Takk for at du stiller opp som en frivillig vokter og skeptiker, som alltid sier ifra. «ER DET DETTE SKATTEPENGA MINE GÅR TIL?!!»

      De 0,0000002 ørene som ble tatt fra skattebidraget ditt burde returneres. At politikere av og til prøver å redde livene våre, uten alltid å få det helt til. Helt forkastelig.

    • Er det SÅ vanskelig å dele 40 mill kr på 5 mill nordmenn, ved hoderegning, og komme til at det blir åtte kr pr nordmann?

      Det har ingen hensikt å komme med tulle-verdier som «0,0000002 øre» hvis man skal diskutere økonomiske realiteter seriøst.

      Hadde Smittestopp blitt akseptert og utbredt, ville bidraget til forståelse av smittespredning vært så stort at jeg synes åtte kroner pr nordmann er å regne som nesten gratis. Jeg vil fullt ut forsvare den kostnaden. Selv om den kommer over skatteseddelen.

  1. Kyrre Sørensen

    Hva er det vi venter på? Mange andre land har aktivert sin løsning med Exposure Notification. Vi har kastet bort masse tid fordi FHI og SIMULA ikke kunne digitale løsninger.

    Kan de også for en gangs skyld ta med en kritiker på prosessen, slik at dette kan bli bedre? Det skulle være en dugnad, istedenfor ble det at et selskap som drev med noe annet fikk penger kastet etter seg, puttet fingre i øret, og prøvde å lage noe som alle andre advarte om.. Skuffende. Vi trenger FRIPROG-senter for å fikse it-satsing i landet…

    Svar på denne kommentaren

    • Kjetil Lauritzen (svar til Kyrre Sørensen)

      Enig, burde vært en dugnad. Samlet hadde vi sikkert kunne skapt den beste smittesporingsappen i verden. Istedet gikk kontrakten automatisk til en eller annen snobbete bergensk «forskningsinstitusjon». Skammelig!

    • Nei, problemet var ikke at «FHI og SIMULA ikke kunne digitale løsninger». Problemet var at de var for ambisiøse – de laget en app for å skaffe virkelig nyttig informasjon til de som forsker på smittespredning.

      Der de gjorde feilvurderingen var på det psykologiske feltet. De antok at når ni av ti nordmenn villig gir bort detaljert lokasjons-informasjon til kommersielle interesser som selger det videre for profittformål til hvem som helst som vil betale for å kunne spore alle dine bevegelser, da ville det være langt mindre farlig når samme type data blir samlet under en strengt begrenset konsesjon, der det ved eksplisitte lovparagrafer er forbudt å bruke innsamlet informsjon til andre formål, eller gi utenforstående innsyn, da er personvern-problemet betydelig mindre enn med sminke-appen din, eller bank-appen, eller selvsagt Google og FB.

      Men publikum gjorde ikke en rasjonell vurdering og konkluderte at «Jeg gir jo fra meg minst like detaljert informasjon hele tiden til profitt-interesser, og der har jeg overhodet ingen kontroll med videre bruk av informasjonen. Det må da være like OK at en strengt lovregulert app med en viktig funksjon for folkehelsa får samme type data.»

      Nei, istedet reagerte folk med irrasjonell panikk. Som om de ikke ante at den infoen som de nå er livredde for at smitteforskere skal få, er offentlig kjent gjennom massevis av kommersielle kanaler.

      Hvis vi i utgangspunktet antar at folk er rasjonelle, er det ingen grunn til at FHI skulle kunne bestille utvikling en applikasjon som Smittestopp. Men folk er mindre rasjonelle enn FHI hadde basert seg på.

      Jeg ble selv overrasket: Jeg hadde forventet en gransking av og debatt om sikkerhets-tiltak og detaljer lovformuleringene og krav til prosedyrer for handtering av dataene, men ikke noen slik total, panikkartet avvising som vi fikk. Det har knapt vært noen rasjonell, informert debatt overhodet om Smittestopp, verken teknisk, juridisk eller sikkerhetsmessig. (Jeg regner ikke FOSS-miljøenes evige gnåling med krav om innsyn i kildekoden som noen «teknisk» disksjon – kun å ri ideologske kjepphester.)

      Kanskje en reell teknisk diskusjon ville avslørt svakheter. Eller en juridisk vurdering. Eller en sikkerhetsanalyse. Men vi kom aldri så langt før panikken tok oss.

    • Kjetil Kjernsmo (svar til Kyrre Sørensen)

      keal:

      Overhodet ikke enig. Dette var ikke ambisiøst, tvert imot, dette var det ekstreme lavmål.

      De gjorde et stort antall fatale feil.

      Helsefaglig ignorerte de det åpenbare at de må ha en viss kontroll på både falske positiver og falske negativer.

      Utviklingsfaglig hadde de ikke kontroll på det mest elementære, de hadde ikke tester og de hadde ikke konfigurasjonsstyring.

      I forhold til forskningen ignorerte de fullstendig forskningen på desentrale arkitekturer som har skjedd de siste 6-8 årene. Hadde det vært snakk om et konsulentselskap, hadde dette vært mulig å tilgi, men ikke et forskningsinstitutt.

      IT-faglig ignorerte de all mulig annen erfaring på nøyaktig samme område som veldig mange andre gjorde.

      Etisk hadde de total mangel på refleksjon over de problematiske sidene ved datainnsamlingen.

      Sikkerhetsmessig manglet de en helt grunnleggende risikovurdering, noe som gjorde at de åpnet hele befolkningen for en angrepsvektor som ville blitt brukt til svindel.

      Hver for seg er alle disse en showstopper, til sammen vitner det om fagmiljøer som helt mangler evne til selv-kritisk tekning.

      Det de prøvde å gjøre her er ikke rocket science. Jeg skrev ting for å gjøre det samme på fritiden i 2006. Dette er enkle ting. Det meste av det de feilet på er heller ikke vanskelig (ærlig talt, alt under 100% testdekning på dette er helt uakseptabelt), men å få kontroll på statistikken og sikre at man får sikkerheten på plass er litt vanskelig, men for 45 mill helt klart innenfor det man bør klare.

  2. Eneste grunn til at smittestopp ikke var en suksess var at den brukte for mye batteri, folket ville ikke lade telefonen 2.5 ganger hver dag.
    Så ikke bare en feil med personvern(siden man stoppet innsamling av data pga. Personvern). Dette var tilsynelatende eneste problemet, men det var svært mange som lastet ned appen i starten og så avinstallerte den igjen. Totalt 1.5 Mill nedlastinger og 750k nedlastinger på en dag viser at folk var villig til å se bort ifra personvernet (kilde FHI)

    Svar på denne kommentaren

    • Birgitta Olsen (svar til Aslak)

      Og var det eneste grunnen? Så vidt meg bekjent ble den kun testa ut i Drammen! Noe ordentlig tull, kommer ikke til å laste den neste gang!

  3. Interessant å lesa Simulas reaksjon på utvikling av ny smitte-app: «Siden Simula er en forskningsinstitusjon og ikke en IT-utvikler, vil vi ikke legge inn anbud på en ny løsning».
    Så vidt eg veit var Simula ein forskings-institusjon også i april i år, og den opprinnelege smitte-appen var vel ikkje eit forskingsoppdrag (?).

    Svar på denne kommentaren

  4. Ja Google er jo kjent for «privacy». De verken lagrer eller overvåker noe/noen som helst! Ha-ha!! Regner med at det ikke er «open source» («free software»)? Selv bruker jeg en 100% free Linux distro, har også utelukkende free software/Linux på telefonen. Så det er tvilsomt om telefonen min i det hele tatt vil ha denne appen. Like greit.

    Svar på denne kommentaren

  5. Frode Fredriksen

    Dette er da å skyte seg selv i foten. Verken Google eller Apple er kjent for å ta vare på personvern…

    Personlig har jeg slått av visning av posisjon på min androidbaserte smarttelefon grunnet nettopp det at man ikke kan stole på IT-gigantene i verdenssamfunnet. De tar seg såpass til rette grunnet manglende politisk kontroll i landene hvor de hører til.

    Ikke fordi jeg lider av forfølgelsesvanvidd, men rett og slett ikke vil bidra til at de skal tjene penger på meg uten at jeg får ta del i utbyttet, samt at overvåkingssamfunnet de er med på å skape blir nesten som å akseptere et totalitært regime og likevel innbille seg at man bor i et demokrati…

    Svar på denne kommentaren

    • Enig!! Kan du snälla skriva en ytring om det här?
      Hur regeringen har mage att uppmuntra oss att skänka vår data till multinationella profitstyrda företag som gång på gång blivit ertappade i diverse censur/skatt/människorätts/övervaknings-skandaler övergår mitt förstånd!?
      Är de verkligen så naiva runt Google och Apples bakomliggande motivation till att utveckla en slik app och tror att det är en altruistisk handling? Eller har de slutit en mörk pakt med dessa ulvar för att ta Norge ett steg närmare ett dystopiskt övervakningssamhälle? Dem som håller världens data håller i dem ultimata makten, självklart är Google och Apple inte sena att hoppa på det här gyllene tillfället att profitera på den utbredda corona-skräcken.. En rädd befolkning är lätt att manipulera, och här i Norge har man varit så rädd att man är redo att kasta allt förnuft och eftertänksamhet överbord för en kortsiktig nedgång i smittetalen.. vi påför demokratiet stora skador som blir extremt vanskliga att reversera när vi börjar normalisera massövervakning in ”the war against Corona”.. vilken värld ska våra barn ärva av oss om utvecklingen fortsätter på det här viset?

      https://norberthaering.de/en/power-control/id-2020-en/

  6. Asbjørn Ulsberg

    «Farrell er kritisk til at Apple og Googles løsning bruker «Google Play Services» og «SafetyNet» i Android-operativsystemet.»

    Da både «Google Play Services» og «SafetyNet» er Android-spesifikt, bruker vel ikke Apple dette? Hva er det Farrell er skeptisk til Apple for, eventuelt?

    Svar på denne kommentaren

  7. Hur regeringen har mage att uppmuntra oss att skänka vår data till multinationella profitstyrda företag som gång på gång blivit ertappade i diverse censur/skatt/människorätts/övervaknings-skandaler övergår mitt förstånd!?
    Är de verkligen så naiva runt Google och Apples bakomliggande motivation till att utveckla en slik app och tror att det är en altruistisk handling? Eller har de slutit en mörk pakt med dessa ulvar för att ta Norge ett steg närmare ett dystopiskt övervakningssamhälle? Dem som håller världens data håller i dem ultimata makten, självklart är Google och Apple inte sena att hoppa på det här gyllene tillfället att profitera på den utbredda corona-skräcken.. En rädd befolkning är lätt att manipulera, och här i Norge har man varit så rädd att man är redo att kasta allt förnuft och eftertänksamhet överbord för en kortsiktig nedgång i smittetalen.. vi påför demokratiet stora skador som blir extremt vanskliga att reversera när vi börjar normalisera massövervakning in ”the war against Corona”.. vilken värld ska våra barn ärva av oss om utvecklingen fortsätter på det här viset?

    Svar på denne kommentaren

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.