Hergebruik ICT oplossingen De NOiV 'marktplaats' Wilma Willems, projectmanager
Actieplan NOiV
25-10-1014-07-10
•
Interoperabiliteit
•
Leveranciersonafhankelijkheid
•
Innovatie
→
Open Standaarden
→
Open Source Software
geozetviewer 1 november 2011
2
Wat is hergebruik in context overheid?
Software in gebruik bij de overheid → in beginsel als open source software beschikbaar stellen
Maar dan ......
25-10-1014-07-10
geozetviewer 1 november 2011
3
De praktijk van hergebruik – Van veel van het maatwerk van de rijksoverheid is het intellectueel eigendom in handen van de overheid → Kan in beginsel beschikbaar worden gesteld → Wenselijk en zinvol? Soms wel en soms niet – In verleden diverse samenwerkingsinitiatieven met wisselend succes – Steeds meer belangstelling voor hergebruik o.i.v. o.a. bezuinigingen, architectuurdenken, samenwerking, burger centraal, e-dienstverlening, nieuw denken - In de praktijk ook vele redenen om toch voor eigen oplossingen te kiezen
25-10-1014-07-10
geozetviewer 1 november 2011
4
Marktplaats Wat is de markplaats? -
'Makelen en schakelen' om hergebruik een impuls te geven
-
Een herkenbare plek waar ervaringen en kennis over de aspecten van het beschikbaar stellen worden opgebouwd en gedeeld (best practices)
-
Voorlopig is elk traject maatwerk en is NOiV ‘een motor’
Doelen van de marktplaats:
25-10-1014-07-10
-
Het stimuleren van hergebruik van software
-
Ervaringen opdoen en omzetten naar concrete handreikingen voor het ‘open sourcen’
-
Het is een praktisch onderzoek en leidt tot een beeld van de mogelijkheden en impact van hergebruik
geozetviewer 1 november 2011
5
Hergebruik Centrale vragen bij hergebruik: –
Zijn er belanghebbenden?
–
Rol leveranciers?
–
Wat zijn de belangen voor de verschillende partijen en is er win/win te creeren?
–
Is er een motor die het opstart?
Voorbeeld: ICTU ontwikkelde module met Compiere (projectfinanciering) en stelt module beschikbaar → voor o.a. NGO's is het een prima bruikbare oplossing → voor ICTU medegebruik belangrijk voor delen kosten en kennisontwikkeling in de markt 25-10-1014-07-10
geozetviewer 1 november 2011
6
Casussen en wat kunnen we leren? - TMF (gemeente Rotterdam): hoe voorkomt een aanbieder om in de rol van leveranciers terecht te komen: een stap voor stap aanpak - Het vinden van medegebruikers: –
Contentmanagementsysteem (RIVM)
–
Tracking en tracing (ministerie van LNV)
- ERP systeem gebaseerd op Compiere (ICTU/Hivos):ERP maatwerk oplossing voor projectgefinancierde organisaties: –
Kosten van beheer delen
–
Implementatiepartijen zien belang en investeren
- Flamingo: wat is een adequaat beheer model? - M-GBA (en andere software ‘grote projecten’): transparantie als aanjager voor innovatie - ......
25-10-1014-07-10
geozetviewer 1 november 2011
7
Casussen en wat kunnen we leren? - CBS : bestuurlijke besluitvorming - Open VPN: door interventie / investering verhoging veiligheid - INDIGO: denken in services en vinden van medegebruikers (business model) - GEOZET VIEWER
25-10-1014-07-10
geozetviewer 1 november 2011
8
Ervaringen - Het zijn trage trajecten, ‘ze moeten aangeduwd worden” - Het heeft geen hoge prio, het wordt ‘erbij gedaan” - Er moeten voldoende belanghebbenden zijn - (gevestigde) leveranciers wachten af, blijven op uurtje factuurtje zitten, moeten de waarde nog zien / het niet als een bedreiging ervaren - Nog geen ingewikkelde juridische vraagstukken tegengekomen: wel beleidsvraag naar veiligheid - Architectuurvraagstukken of technische vraagstukken
25-10-1014-07-10
geozetviewer 1 november 2011
9
Hergebruik
• Kenniscentrum?!
25-10-1014-07-10
geozetviewer 1 november 2011
10
Vragen
• →
25-10-1014-07-10
?
geozetviewer 1 november 2011
11
Wat gaan we doen? - Ervaringen opdoen met de vraagstukken die de verschillende aanbieders tegenkomen en best practices ontwikkelen en kennis die al hierover is ontsluiten - Op zoek naar meer aanbod en vraagontwikkeling - Veel meer bekendheid - Verankering bij relevante organisaties - Verkenning van rol leveranciers bij de marktplaats - Vorming klankbordgroep(en?) met Rijk, Manifestgroep, KING, IPO, leden bestuurstafel - .....?
25-10-1014-07-10
geozetviewer 1 november 2011
12
Casus 1 belangen analyse 'Hergebruik van oplossingen komt alleen van de grond als er voldoende belangen zijn' a. eens / oneens en waarom? b. wat zijn in het algemeen de belangen van partijen bij hergebruik? c. Voer een belangen analyse uit voor een eigen casus c.q. de volgende casus: vernieuwing van Flamingo (geo-viewer). Product heeft zich bewezen heeft veel gebruikers en tot op heden vooral gefinancierd door IPO. Het product is aan vernieuwing toe en het doel is een nieuwe financierings en governance structuur met rol voor leveranciers (die ook investeren). d. Wat kan een aanpak zijn om voor dit specifieke vraagstuk? Benoem de betrokken partijen en hun belangen, denk daarbij ook aan leveranciers. 25-10-1014-07-10
geozetviewer 1 november 2011
13
Casus 2 belemmering en stimulans hergebruik
25-10-1014-07-10
•
a. Wat zijn mogelijke belemmeringen voor hergebruik van ICT oplossingen?
•
b. Wat zijn mogelijke oplossingen om de belemmeringen te elimineren?
•
c. Waar zie je kansen voor hergebruik?
•
d. Waar (op welke gebieden) moet je niet aan hergebruik beginnen en waarom niet?
•
e. In welke fase can project zou je het meest effectief met 'hergebruik kunnen starten' . Als het product al ontwikkeld is of juist bij het opstellen van de specificaties? Wat is het meest kansrijk en waarom
geozetviewer 1 november 2011
14
Casus 3 Marktplaats
25-10-1014-07-10
•
a. Wat zij mogelijke voordelen van hergebruik? Zijn er ook nadelen en welke zie je?
•
b. Kan de marktplaats een nuttige bijdrage leveren aan hergebruik ?
•
c. De marktplaats is nu is vooral een ontmoetingsplek, een motor en kennisbron van over hergebruik (open sourcen) terwijl het feitelijke uitwisselen op de voor die situatie meest geeigende plaats gebeurt (veelal via de dienstverleners, rekencentra of basis van zakelijke afspraken)
•
d. Hergebruik van software veronderstelt kwaliteit van de software die voor hergebruik wordt aangeboden: wat zou op dit punt 'geregeld' moeten worden?
•
e. Een marktplaats of meedere en waarom? geozetviewer 1 november 2011
15
Verwante publicaties o.a.
– Baseline IT-governance Rijksdienst – Veiligheidseffecten (aanzet voor discussie)
25-10-1014-07-10
geozetviewer 1 november 2011
16
Het effect van het vrijgegeven van de broncode op de veiligheid van software (Henk Jan van der Molen) Voor het distribueren van software kan de eigenaar kiezen uit twee mogelijkheden, nl. de software vrijgeven als kant-en-klaar programma met gesloten broncode of de broncode van het programma vrijgeven. Bij gesloten software kan de gebruiker alleen een gebruikerslicentie nemen. Open broncode biedt de gebruiker de extra mogelijkheid precies na te gaan hoe de software werkt en eventueel wijzigingen voor te stellen om functies in het programma aan te vullen of te verbeteren. Zo kan bij open source sofware (OSS) eenvoudig worden geverifieerd dat bijvoorbeeld een standaard correct wordt ondersteund, omdat verschillende versies van open source software zich eenvoudig met elkaar laten vergelijken. Bij gesloten source (CSS) zijn voor een dergelijke verificatie omslachtige procedures met geheimhoudingsverklaringen nodig elke keer dat er een nieuwe versie uitkomt. Toch word t regelmatig twijfel gezaaid over de veiligheid van OSS. In deze tekst wordt onderbouwd waarom deze twijfel wordt gezaaid en waarom het vrijgeven van de broncode de software netto veiliger maakt.
25-10-1014-07-10
geozetviewer 1 november 2011
18
Vervolg 1.
Het marktaandeel bepaalt het risico op hacking, niet het onderscheid tussen OSS en CSS Elke software bevat fouten, of het nu gesloten of open broncode betreft. Open source verbetert het zicht op kwetsbaarheden, ook voor hackers. Maar hackers kunnen ook reverse engineering tools inzetten om de broncode van CSS te achterhalen. Dat dit meestal illegaal is, zal criminelen niet weerhouden als de verwachte return on investment groot genoeg is. Voor software met een groot marktaandeel zullen cybercriminelen meer geld besteden aan het zoeken naar kwetsbaarheden. Rechtstreeks in de broncode zoeken naar kwetsbaarheden is echter erg kennis- en arbeidsintensief. Hackers gebruiken graag efficiënte manieren en tools om kwetsbaarheden op te sporen. Bijvoorbeeld fuzzing tools kunnen automatisch kwetsbaarheden opsporen door dynamische invoer te genereren en na te gaan welke fouten het programma maakt. Voor dergelijke tools maakt het niet uit of een programma OSS is of CSS.
2. OSS heeft in het algemeen een kortere patch cyclus dan CSS G ebruikers van open source software kunnen fouten in de broncode zelf verhelpen en verifiëren dat de fout is verholpen. Hierdoor kan het verhelpen van een kwetsbaarheid meer parallel verlopen. In de praktijk heeft open source software daardoor een kortere patch cyclus, waardoor het “window of opportunity” voor hackers kleiner wordt om een kwetsbaarheid te misbruiken. 1. Het marktaandeel bepaalt het risico op hacking, niet het onderscheid tussen OSS en CSS
25-10-1014-07-10
geozetviewer 1 november 2011
19
Vervolg 3. Het testproces voor OSS is transparanter dan bij CSS OSS volgt het 19e eeuwse principe van Auguste Kerkhoff: “veiligheid moet gebaseerd zijn op een goede sleutel, niet op de geheime werking” . Dat verkleint de kans op nare verrassingen als een systeem eenmaal is ingevoerd. Als zoveel mogelijk kwetsbaarheden moeten worden verholpen vóórdat de software in gebruik wordt genomen, heeft OSS grote voordelen boven CSS. Op die manier kunnen namelijk wereldwijd experts bijdragen aan de veiligheid van de software, niet alleen de experts van de leverancier. Zo werd de AES encryptie ontwikkeld als open source, om de kans te verkleinen dat er vercijferde bestanden in omloop zijn die later zonder sleutel kunnen worden ontcijferd. 4. Bij OSS heeft de broncode gemiddeld een betere kwaliteit dan CSS Als de broncode openbaar is, verbetert dat onder andere de leesbaarheid van OSS code. Ook externe ontwikkelaars moeten namelijk met deze code kunnen werken. De transparantie van OSS vermindert de complexiteit en verbetert daardoor de veiligheid. OSS heeft daardoor gemiddeld een betere softwarekwaliteit met minder kwetsbaarheden. Een vroege interne studie bij Microsoft bevestigde dan ook dat “OSS projects can achieve / exceed commercial quality” . 5. OSS bevordert stimuleert door concurrentie de ontwikkeling van betere, veilige producten Open source software bevordert concurrentie, zelfs in een gemonopoliseerde markt. Concurrentie zorgt ervoor dat consumenten kunnen kiezen op basis van de kwaliteit van de software.
25-10-1014-07-10
geozetviewer 1 november 2011
20
Vervolg (slot) Zonder concurrentie ervaart de leverancier geen prikkel om geld te besteden aan de verbetering van zijn product. Een jarenlange stilstand was bijvoorbeeld te zien nadat Internet Explorer concurrent Netscape van de markt had gedrukt. De ontwikkeling ging pas verder nadat Internet Explorer concurrentie kreeg van de OSS webbrowser Firefox. 6. Commerciële CSS leveranciers proberen concurrerende OSS producten in diskrediet te brengen De meeste OSS producten zijn gratis te gebruiken. Daar waar de OSS producten rechtstreeks concurreren met CSS waarvoor moet worden betaald, zal de CSS leverancier belang hebben bij het ontmoedigen van het gebruik van het concurrerende OSS product. Dat versterkt nl. de omzet van eigen het CSS product. Dergelijke antireclame wordt betiteld als Fear, Uncertainty and Doubt of “FUD” (zie wikipedia). Enkele voorbeelden van FUD uit de praktijk zijn: OSS is gratis en legt daarom het risico voor het gebruik bij de gebruiker. Dit OSS product maakt inbreuk op onze patenten (alleen zeggen we niet welke en de wet op software patenten bestond toen nog niet). We zijn het onze aandeelhouders verplicht om gebruikers van deze OSS producten voor het gerecht te slepen. We zullen de maximale schadevergoeding eisen in dit proces, dat waarschijnlijk jaren zal duren; De markt ondersteunt OSS niet (patches), daardoor is OSS onveiliger dan CSS. Het “onafhankelijke” Get the facts onderzoek toont aan dat onze betaalde CSS software goedkoper in gebruik is dan gratis een OSS product; M ensen die niet zien dat dergelijke beweringen bedoeld zijn om te manipuleren, laten zich daardoor afbluffen.
25-10-1014-07-10
geozetviewer 1 november 2011
21