Smittestopp

Smittestopp var en norsk mobilapplikasjon utviklet av Simula Research Laboratory i regi av Folkehelseinstituttet for å bidra til å bekjempe koronaviruspandemien i 2020 ved tiltak for smitteforebygging. Applikasjonen ble lansert 16. april 2020. I september samme år besluttet regjeringen å avvikle applikasjonen.^[2] I desember 2020 utgav FHI en ny versjon av applikasjonen, med store forskjeller fra den gamle versjonen.^[3]

Smittestopp
Skjermbilde fra Smittestopp på iPhone
Utgiver(e)		Folkehelseinstituttet[1]
Utvikler(e)		Simula Research Laboratory, Folkehelseinstituttet
Distributør(er)		Google Play, App Store
Plattform		Android, iOS
Operativsystem		iOS Android
Sjanger		smittevern
Type		Kontaktsporing[1]
Lisens		Proprietær lisens
Nettsted		helsenorge.no (no)

I mars 2022 kunngjorde Folkehelseinstituttet at det ikke lenger var nødvendig å benytte applikasjonen.^[4] I august 2022 la FHI ned Smittestopp-appen.^[5]

Bakgrunn og bruk

Applikasjonen var et hjelpemiddel for kontaktsporing. Den samlet inn informasjon om hvor brukerne hadde vært de siste 30 dagene, og hvem de hadde vært nær nok til at smitten kunne ha spredd seg. Om en person ble testet og viste seg å ha SARS-CoV-2, skulle systemet kunne varsle de personene vedkommende hadde vært i nærheten av i tiden før.^[6]

Dagen etter lanseringen hadde over 1,3 million brukere lastet den ned.^[7] I en spørreundersøkelse svarte 60 % av respondentene at de hadde hadde lastet ned Smittestopp per 20. april 2020.^[8]

Arbeidet med å utvikle applikasjonen var basert på forskrift av 27. mars 2020 om digital smittesporing og epidemikontroll i anledning utbrudd av covid-19, som er hjemlet i smittevernloven. Forskriften regulerer behandling av personopplysninger, herunder tilgang til og sletting av opplysninger, og informasjonssikkerhet.^[9] Oppdraget ble ved Folkehelseinstituttet tildelt Simula Research Laboratory uten anbud, etter at selskapet 11. mars hadde kontaktet Folkehelseinstituttet med tilbud om bistand i forbindelse med koronavirusutbruddet, etter lengre tids forutgående dialog om samarbeid mellom partene.^[10] Innkjøpsprosessen foranlediget kritikk og ble innklaget for Klagenemnda for offentlige anskaffelser av foreningen NUUG.^{[10][11][12][13]} Folkehelseinstituttet ville følge opp klagen med nødvendig dokumentasjon.^[10][13]

Smittestopp var frivillig å laste ned og bruke, og «lokasjonsdata» skulle etter forskriften bli slettet etter 30 dager. Andre personopplysninger om en deltager skulle «slettes eller anonymiseres» når vedkommende «fjerner applikasjonen fra sin mobiltelefon».^[9] Datatilsynet fremholdt nødvendigheten av frivillighet og transparens, ettersom sporingsverktøyet innebærer mange potensielt negative følger for personvern, slik at tydelig og fullstendig informasjon om hvilke opplysninger som samles inn, lagringstid og hvilket formål dataene skal brukes til, burde fremgå for brukeren.^[14] Helse- og omsorgsdepartementet oppnevnte 8. april 2020 en ekspertgruppe til å gå igjennom kildekoden og vurdere eventuelle sårbarheter, samt vurdere hvorvidt "sikkerhet og personvern [var] forsvarlig ivaretatt".^[15] Datatilsynet kunngjorde på sine nettsider 27. april 2020 at de har åpnet en kontrollsak og skal gjennomgå hvordan applikasjonen samler inn og lagrer personopplysninger.^[16]

Per 11. mai 2020 var applikasjonen lastet ned av 1,5 millioner nordmenn, men bare 750 000 brukte den.^[17]

Den 20. mai leverte ekspertgruppen sin endelige rapport, som konkluderte med at verken sikkerhet eller personvern var forsvarlig ivaretatt.^[18]

I september 2020 besluttet regjeringen å avvikle Smittestopp og i stedet kjøpe inn en applikasjon i markedet med teknologi fra Apple og Google.^[2][19]

Lukket kildekode og skylagring

Smittestopp møtte betydelig kritikk, blant annet for at applikasjonen ikke har åpen kildekode, noe som utelukker offentlig innsyn i hvordan den fungerer.^[20][21] Dette er i strid med minstekravene blant annet Chaos Computer Club (CCC) og Reportere uten grenser stiller til slike sporingsprogrammer.^[22][23] CCC frarådet å ta i bruk alle sporingsprogrammer som ikke innfridde kravene, hvoriblant anonym kontaktsporing uten «allvitende sentrale servere» som teknisk like gjennomførbart alternativ.^[24] At Smittestopp-dataene ble lagret sentralt i en skyløsning, ble her også omtalt som en sikkerhetsrisiko.^[20] Utviklerne av applikasjonen hevdet på sin side at de valgte ikke å ha åpen kildekode av hensyn til personvern og sikkerhet, da det motsatte kunne gi «folk med onde hensikter» en fordel over «myndighetene og befolkningen», fordi kildekoden hadde et potensial i seg til å overvåke enkeltpersoner. De uttalte at sikkerhet gjennom åpen kildekode er en langsom prosess, og at det ikke var tid til å dra nytte av det programmeringssamfunnet vanligvis kunne bidra med.^[25]

Innsamlede data ble lagret på Microsofts Azure-tjenere i Irland.^[26][27]

Sikkerhetseksperten^{[bør utdypes]} Bruce Schneier kritiserte kontaktsporingsapplikasjoner som Smittestopp ved å karakterisere dem som løsninger foreslått fra et snevert, spesielt teknologiinteressert synspunkt, på noe som egentlig er et sosialt problem, og mente at rettferdiggjørelsen bygger på feilslutningen «Noe må gjøres. Dette er noe. Altså må vi gjøre det».^[28]

Adele Matheson Mestad og Alf Butenschøn Skre ved Norges institusjon for menneskerettigheter skrev i en kronikk at applikasjonen hadde problematiske sider, men at alternativet trolig var verre.^[29] I en lederartikkel mente Bergens Tidende at applikasjonen «i normale tider» hadde vært «totalt uakseptabel», men at alternativet til personsporingen var død og massearbeidsledighet.^[30]

Også andre sporingsapplikasjoner, som det felleseuropeiske prosjektet «Pan-European Privacy-Preserving Proximity Tracing» (PEPP-PT), er blitt utsatt for kritikk på grunn av sentralisert skylagring, manglende transparens og utilstrekkelig anonymisering.^[31]

Etter en teknisk gjennomgang av smittesporingsapplikasjoner utført av Amnesty International ble Norges Smittestopp, Bahrains BeAware Bahrain og Kuwaits Shlonik utpekt som de farligste i verden når det gjelder personvern. Sjef for Amnesty Internationals sikkerhetslaboratorium Claudio Guarnieri hevdet i rapporten utgitt 16. juni 2020 at «Bahrain, Kuwait and Norway have run roughshod over people’s privacy, with highly invasive surveillance tools which go far beyond what is justified in efforts to tackle COVID-19. Privacy must not be another casualty as governments rush to roll out apps.»^[32] «Bahrain, Kuwait og Norge gjør en grov overkjøring av personvernet, med svært inngripende overvåking som går langt utover det som er forsvarlig i arbeidet med å stoppe koronasmitten.»^[33]

Kodegjennomgang

Til kontroll av mobilapplikasjonen og bakenforliggende løsninger nedsatte Helse- og omsorgsdepartementet en gruppe for kodegjennomgang av løsningen for digital smittesporing, som etter begrenset vurderingstid, mens den planlagte funksjonaliteten ennå ikke var gjennomgående implementert, avla en foreløpig rapport den 9. april 2020. I tillegg til sikkerhetsmekanismer ved innhenting og lagring av data fokuserte rapporten på slettemekanismene, uten å kunne verifisere dem tilstrekkelig.^[26]

Mobilapplikasjonen er én av tre deler i Folkehelseinstituttets smittesporingsløsning; de andre delene er en skyløsning som er levert av Microsoft (Azure) og webapplikasjoner som skal brukes av Folkehelseinstituttet. Smittestopp-applikasjonen kommuniserer kryptert til skyløsningen. I skyløsningen lagres data både i en SQL-database og i Azure Data Lake.

Mobilapplikasjonen anvendet brukerens telefonnummer til identifisering og autentisering. Enhetens GPS-koordinater ble lagret lokalt; samtidig ble Bluetooth brukt til å lete etter andre enheter i nærheten som også hadde Smittestopp installert, og estimere distansen til disse. Lokasjonsdataene, samt avstanden til andre telefoner i nærheten, ble så lagret i en sentral skyløsning. Dataene her skulle være tilgjengelige bare for Folkehelseinstituttet, som kunne bruke informasjonen til å finne ut hvem som hadde vært i nærheten av en person som var blitt syk, eller til forskning og analyse. Tilsyn med og revisjon av bruk av dataene lå utenfor ekspertgruppens mandat.

Brukeren ble registrert ved hjelp av tofaktorautentisering. Dette skjedde over HTTPS mot Microsoft Active Directory / B2C, som også bandt telefonnummeret mot en intern sky-ID. Denne sky-ID-en ble brukt i all videre kommunikasjon med skytjenestene. Mobilapplikasjonen sporet brukerens bevegelser via lokasjons-API-en på telefonen, herunder GPS og nærliggende wifi-tilkoblingspunkter. Posisjonsdata som breddegrad, lengdegrad, hastighet, høyde og nøyaktighet på høyde ble periodisk lagret i en ukryptert lokal database på telefonen.

Bluetooth-enheter i nærheten som også hadde installert Smittestopp, annonserte at de hadde installert applikasjonen. Dette førte til en datautveksling med disse annonserende enhetene via GATT. Sky-ID-en fra de oppdagede og annonserende enhetene ble sendt over Bluetooth, og ble sammen med RSSI og mottagerens sendestyrke lagret ukryptert i en lokal database på telefonen. Ifølge rapporten innebar den planlagte funksjonaliteten at oppsamlede posisjonsdata og Bluetooth-data ble overført til Microsoft Azure IoT-Hub over TLS/MQTT, og deretter slettet lokalt.^[26]

Ekspertgruppens endelige rapport konkluderte med at verken sikkerhet eller personvern var forsvarlig ivaretatt, og kom med en rekke anbefalinger – blant annet å oppdatere forskrift for å speile intensjon (og muliggjøre lovlig behandling av langtidsdatasett), la brukerne ta stilling til det enkelte behandlingsformål, etterstrebe større grad av dataminimering, implementere "differential privacy" i langtidsdatasett, vurdere å gjøre løsningen mer basert på distribuert datalagring, slippe (deler av) koden som åpen kildekode og å sørge for regelmessig evaluering av løsning, formål og effekt.^[18]

Midlertidig forbud

12. juni 2020 ila Datatilsynet Folkehelseinstituttet et midlertidig forbud mot å behandle personopplysninger gjennom Smittestopp-appen på grunn av for dårlig sikring av personvernet.^[34] «Ut fra dagens situasjon – med lav smitteutbredelse, lav oppslutning om Smittestopp og mangelfull oppnåelse av formålene om smittesporing og evaluering av smitteverntiltak – anser vi imidlertid ikke lenger Smittestopp som et forholdsmessig inngrep i den enkelte brukers personvern.» FHI stoppet deretter innsamlingen av data og slettet all data fra appen.^[35]

Referanser

1. ^ ^{a b} https://www.fhi.no/nyheter/2020/appen-smittestopp-skal-bli-trygg-i-bruk/.
2. ^ ^{a b} Helse- og omsorgsdepartementet (28. september 2020). «Digital smittesporing basert på Google og Apples løsning». regjeringen.no. Besøkt 9. desember 2022. «Regjeringen har besluttet å avvikle Smittestopp-appen. Folkehelseinstituttet får i oppdrag å anskaffe en ny app, kun for smittesporing, basert på det internasjonale rammeverket fra Google og Apple. | Dette er i tråd med anbefalingen regjeringen har fått fra Folkehelseinstituttet (FHI).» 
3. ^ https://www.helsenorge.no/smittestopp#hva-er-forskjellen-mellom-ny-og-gammel-smittestopp-app
4. ^ «Om Smittestopp». Folkehelseinstituttet. 4. mars 2022. Arkivert fra originalen 20. mars 2022. Besøkt 20. mars 2022. 
5. ^ «FHI legger ned Smittestopp». Folkehelseinstituttet (norsk). 10. august 2022. Besøkt 9. desember 2022. 
6. ^ Skille, Øyvind Bye (8. april 2020). «FHI-appen Smittestopp gjennomgås nå av sikkerhetseksperter». NRK. Besøkt 10. april 2020. 
7. ^ Martin Gundersen; Øyvind Bye Skille (21. april 2020). «Så enkelt er det å forfalske SMS-er fra Smittestopp». NRK. Arkivert fra originalen 21. april 2020. 
8. ^ «60 prosent sier de har lastet ned smitteappen». Digi. NTB. 20. april 2020. Arkivert fra originalen 21. april 2020. Besøkt 21. april 2020. 
9. ^ ^{a b} «Forskrift om digital smittesporing og epidemikontroll i anledning utbrudd av Covid-19». lovdata.no. Besøkt 10. april 2020. 
10. ^ ^{a b c} «Smittestopp-appen klaget inn for Kofa – Kofa-medlem med støtte til innklagede». Anbud365. 22. april 2020. Besøkt 25. april 2020. 
11. ^ «FHI er klaget inn for brudd på konkurranseregler: Kan vente seg heftig gebyr». Digi. 21. april 2020. Besøkt 25. april 2020. 
12. ^ «Hastekjøpet av Smittestopp-appen er antakelig ulovlig. Uansett er det dårlig». Digi. 22. april 2020. Besøkt 25. april 2020. 
13. ^ ^{a b} «FHIs smitteapp klages inn». NRK. 21. april 2020. Besøkt 25. april 2020. 
14. ^ «Ny sporings-app for å hindre koronasmitte». Datatilsynet. Besøkt 10. april 2020. 
15. ^ «Ekspertgruppe skal gå gjennom kildekoden i ny app for smittesporing». Helse-og omsorgsdepartementet. 8. april 2020. Besøkt 10. april 2020. 
16. ^ «Starter kontroll av FHIs Smittestopp-app». Datatilsynet. 27. april 2020. Besøkt 27. april 2020. 
17. ^ Cissé, Mariam Eltervåg (11. mai 2020). «Kun 1 av 5 i Nord-Norge har lastet ned smitteappen». NRK. Besøkt 9. desember 2022. 
18. ^ ^{a b} omsorgsdepartementet, Helse-og (20. mai 2020). «Endelig rapport for kildekodegjennomgang av løsning for digital smittesporing av koronaviruset». Regjeringen.no (norsk). Besøkt 3. april 2021. 
19. ^ «Nye Smittestopp skal være basert på teknologi fra Apple og Google». NRKbeta. 28. september 2020. Besøkt 9. desember 2022. 
20. ^ ^{a b} Lasse Moe (3. april 2020). «Massiv kritikk mot korona-app». Dagens Medisin (norsk). Besøkt 3. april 2020. 
21. ^ Martin Gundersen (2. april 2020). «Anbefaler å ikke installere FHIs korona-app». nrkbeta (norsk). Besøkt 12. april 2020. 
22. ^ «10 requirements for the evaluation of "Contact Tracing" apps» (engelsk). Chaos Computer Club. 6. april 2020. Arkivert fra originalen 17. april 2020. Besøkt 21. april 2020. 
23. ^ «Anonymität und Quellenschutz gewährleisten» (tysk). Reportere uten grenser. 6. april 2020. Arkivert fra originalen 11. april 2020. Besøkt 21. april 2020. 
24. ^ Patrick Beuth (7. april 2020). «Die Vertrauensfrage» (tysk). Der Spiegel. Besøkt 21. april 2020. 
25. ^ «Digital smittesporing - Åpen kildekode?» (norsk). Simula Research Laboratory. 1. april 2020. Arkivert fra originalen 11. april 2020. Besøkt 12. april 2020. 
26. ^ ^{a b c} «Foreløpig rapport for kodegjennomgang av løsning for digital smittesporing av koronaviruset». Helse-og omsorgsdepartementet. 10. april 2020. Besøkt 10. april 2020.  PDF.
27. ^ Marius Sandbu (16. april 2020). «Technical analysis of Smittestopp backend Azure» (engelsk). msandbu.org. Besøkt 21. april 2020. «Smittestopp is running on the Azure datacenters in Ireland.» 
28. ^ Bruce Schneier (13. april 2020). «Contact Tracing COVID-19 Infections via Smartphone Apps». schneier.com. Besøkt 16. april 2020. «So I agree with Ross that this is primarily an exercise in that false syllogism: Something must be done. This is something. Therefore, we must do it. It's techies proposing tech solutions to what is primarily a social problem.» 
29. ^ Adele Mestad og Alf Butenschøn Skre (17. april 2020). «Vi må velge mellom pest og kolera. Appen Smittestopp kan være en middelvei.». www.aftenposten.no. Besøkt 9. desember 2022. 
30. ^ «Smitteappen er betre enn alternativet». www.bt.no. 18. april 2020. Besøkt 9. desember 2022. 
31. ^ Zack Whittaker (20. april 2020). «Hundreds of academics back privacy-friendly coronavirus contact tracing apps» (engelsk). Tech Crunch. Arkivert fra originalen 21. april 2020. Besøkt 21. april 2020. «The letter lands just days after some of the same academics pulled their support for a similar contact tracing project, known as PEPP-PT, which is said to have seven unnamed governments signed up so far.» 
32. ^ «Bahrain, Kuwait and Norway contact tracing apps among most dangerous for privacy» (engelsk). Amnesty International. 16. juni 2020. Besøkt 16. juni 2020. 
33. ^ Iselin Elise Fjeld (16. juni 2020). «Amnesty: Norges Smittestopp-app blant de verste i verden på personvern». NRK. Besøkt 16. juni 2020. 
34. ^ «Varsel om vedtak om midlertidig forbud mot å behandle personopplysninger - appen Smittestopp» (PDF). Datatilsynet. 12. juni 2020. Besøkt 16. juni 2020. 
35. ^ Hans Ivar Moss Kolseth; Vilde Gjerde Lied; Mette Kristensen; Ugo Fermariello (15. juni 2020). «FHI stoppar all innsamling av data i Smittestopp». NRK. Besøkt 16. juni 2020. 

Eksterne lenker

• (no) Offisielt nettsted  
• (en) Smittestopp på GitHub  
• (no) Test av applikasjonen utført av Digi.no