Hergebruik ICT oplossingen · 2018-04-10 · gefinancierd door IPO. Het product is aan vernieuwing...

Hergebruik ICT oplossingen Hergebruik ICT oplossingen

De NOiV 'marktplaats'

Wilma Willems, projectmanager

Actieplan NOiV

• Interoperabiliteit

• Leveranciersonafhankelijkheid• Leveranciersonafhankelijkheid

• Innovatie

→ Open Standaarden

→ Open Source Software

25-10-1014-07-10 geozetviewer 1 november 2011 2

Open Source Software

Wat is hergebruik in context overheid?

Software in gebruik bij de overheid → in beginsel als Software in gebruik bij de overheid → in beginsel als open source software beschikbaar stellen

Maar dan ......


De praktijk van hergebruik

– Van veel van het maatwerk van de rijksoverheid ishet intellectueel eigendom in handen van de overheid → Kan in beginsel beschikbaar worden gesteld → → Kan in beginsel beschikbaar worden gesteld → Wenselijk en zinvol? Soms wel en soms niet

– In verleden diverse samenwerkingsinitiatieven met wisselend succes

– Steeds meer belangstelling voor hergebruik o.i.v. o.a. bezuinigingen, architectuurdenken, samenwerking, burger centraal, e-dienstverlening, nieuw denken

- In de praktijk ook vele redenen om toch voor eigen


- In de praktijk ook vele redenen om toch voor eigen oplossingen te kiezen

Marktplaats

Wat is de markplaats?

- 'Makelen en schakelen' om hergebruik een impuls te geven

- Een herkenbare plek waar ervaringen en kennis over de aspecten van het beschikbaar stellen worden opgebouwd en gedeeld (best practices)

- Voorlopig is elk traject maatwerk en is NOiV ‘een motor’

Doelen van de marktplaats:

- Het stimuleren van hergebruik van software

- Ervaringen opdoen en omzetten naar concrete handreikingen voor het ‘open sourcen’


handreikingen voor het ‘open sourcen’

- Het is een praktisch onderzoek en leidt tot een beeld van de mogelijkheden en impact van hergebruik

Hergebruik

Centrale vragen bij hergebruik:

– Zijn er belanghebbenden?

– Rol leveranciers?

– Wat zijn de belangen voor de verschillende partijen en is er win/win te creeren?

– Is er een motor die het opstart?

Voorbeeld:

ICTU ontwikkelde module met Compiere (projectfinanciering) en stelt module beschikbaar


(projectfinanciering) en stelt module beschikbaar

→ voor o.a. NGO's is het een prima bruikbare oplossing

→ voor ICTU medegebruik belangrijk voor delen kosten en kennisontwikkeling in de markt

Casussen en wat kunnen we leren?

- TMF (gemeente Rotterdam): hoe voorkomt een aanbieder om in de rol van leveranciers terecht te komen: een stap voor stap aanpak

- Het vinden van medegebruikers:

– Contentmanagementsysteem (RIVM)

– Tracking en tracing (ministerie van LNV)

- ERP systeem gebaseerd op Compiere (ICTU/Hivos):ERP maatwerk oplossing voor projectgefinancierde organisaties:

– Kosten van beheer delen

– Implementatiepartijen zien belang en investeren

- Flamingo: wat is een adequaat beheer model?


- Flamingo: wat is een adequaat beheer model?

- M-GBA (en andere software ‘grote projecten’): transparantie als aanjager voor innovatie

- ......

Casussen en wat kunnen we leren?

- CBS : bestuurlijke besluitvorming

- Open VPN: door interventie / investering verhoging veiligheid

- INDIGO: denken in services en vinden van medegebruikers - INDIGO: denken in services en vinden van medegebruikers (business model)

- GEOZET VIEWER


Ervaringen

- Het zijn trage trajecten, ‘ze moeten aangeduwd worden”

- Het heeft geen hoge prio, het wordt ‘erbij gedaan”

- Er moeten voldoende belanghebbenden zijn

- (gevestigde) leveranciers wachten af, blijven op uurtje factuurtje zitten, moeten de waarde nog zien / het niet als een bedreiging ervaren

- Nog geen ingewikkelde juridische vraagstukken tegengekomen: wel beleidsvraag naar veiligheid


tegengekomen: wel beleidsvraag naar veiligheid

- Architectuurvraagstukken of technische vraagstukken

Hergebruik

• Kenniscentrum?!


Vragen

••→?


Wat gaan we doen?

- Ervaringen opdoen met de vraagstukken die de verschillende aanbieders tegenkomen en best practices ontwikkelen en kennis die al hierover is practices ontwikkelen en kennis die al hierover is ontsluiten

- Op zoek naar meer aanbod en vraagontwikkeling

- Veel meer bekendheid

- Verankering bij relevante organisaties

- Verkenning van rol leveranciers bij de marktplaats

- Vorming klankbordgroep(en?) met Rijk,


- Vorming klankbordgroep(en?) met Rijk, Manifestgroep, KING, IPO, leden bestuurstafel

- .....?

Casus 1 belangen analyse

'Hergebruik van oplossingen komt alleen van de grond als er voldoende belangen zijn'

a. eens / oneens en waarom?a. eens / oneens en waarom?

b. wat zijn in het algemeen de belangen van partijen bij hergebruik?

c. Voer een belangen analyse uit voor een eigen casus c.q. de volgende casus: vernieuwing van Flamingo (geo-viewer). Product heeft zich bewezen heeft veel gebruikers en tot op heden vooral gefinancierd door IPO. Het product is aan vernieuwing


gefinancierd door IPO. Het product is aan vernieuwing toe en het doel is een nieuwe financierings en governance structuur met rol voor leveranciers (die ook investeren).

d. Wat kan een aanpak zijn om voor dit specifieke vraagstuk? Benoem de betrokken partijen en hun belangen, denk daarbij ook aan leveranciers.

Casus 2 belemmering en stimulans hergebruik

• a. Wat zijn mogelijke belemmeringen voor hergebruik van ICT oplossingen?

• b. Wat zijn mogelijke oplossingen om de • b. Wat zijn mogelijke oplossingen om de belemmeringen te elimineren?

• c. Waar zie je kansen voor hergebruik?

• d. Waar (op welke gebieden) moet je niet aan hergebruik beginnen en waarom niet?

• e. In welke fase can project zou je het meest effectief met 'hergebruik kunnen starten' . Als het product al ontwikkeld is of juist bij het opstellen van


product al ontwikkeld is of juist bij het opstellen van de specificaties? Wat is het meest kansrijk en waarom

Casus 3 Marktplaats

• a. Wat zij mogelijke voordelen van hergebruik? Zijn er ook nadelen en welke zie je?

• b. Kan de marktplaats een nuttige bijdrage leveren • b. Kan de marktplaats een nuttige bijdrage leveren aan hergebruik ?

• c. De marktplaats is nu is vooral een ontmoetingsplek, een motor en kennisbron van over hergebruik (open sourcen) terwijl het feitelijke uitwisselen op de voor die situatie meest geeigende plaats gebeurt (veelal via de dienstverleners, rekencentra of basis van zakelijke afspraken)


afspraken)

• d. Hergebruik van software veronderstelt kwaliteit van de software die voor hergebruik wordt aangeboden: wat zou op dit punt 'geregeld' moeten worden?

• e. Een marktplaats of meedere en waarom?

Verwante publicaties o.a.

– Baseline IT -governance Rijksdienst– Baseline IT -governance Rijksdienst

– Veiligheidseffecten (aanzet voor discussie)


Het effect van het vrijgegeven van de broncode op d e veiligheid van software (Henk Jan van der Molen)

Voor het distribueren van software kan de eigenaar kiezen uit twee mogelijkheden, nl. de software vrijgeven als kant-en-klaar programma met gesloten broncode of de broncode van het programma vrijgeven. Bij gesloten software kan de gebruiker alleen een gebruikerslicentie nemen. Open broncode biedt de gebruiker de extra mogelijkheid precies na te gaan hoe de software werkt en eventueel wijzigingen voor te stellen om functies in na te gaan hoe de software werkt en eventueel wijzigingen voor te stellen om functies in het programma aan te vullen of te verbeteren. Zo kan bij open source sofware (OSS) eenvoudig worden geverifieerd dat bijvoorbeeld een standaard correct wordt ondersteund, omdat verschillende versies van open source software zich eenvoudig met elkaar laten vergelijken. Bij gesloten source (CSS) zijn voor een dergelijke verificatie omslachtige procedures met geheimhoudingsverklaringen nodig elke keer dat er een nieuwe versie uitkomt.

Toch word t regelmatig twijfel gezaaid over de veiligheid van OSS. In deze tekst wordt onderbouwd waarom deze twijfel wordt gezaaid en waarom het vrijgeven van de broncode de software netto veiliger maakt.


Vervolg

1. Het marktaandeel bepaalt het risico op hacking, niet het onderscheid tussen OSS en CSS

Elke software bevat fouten, of het nu gesloten of o pen broncode betreft. Open source verbetert het zicht op kwetsbaarheden, ook vo or hackers. Maar hackers source verbetert het zicht op kwetsbaarheden, ook vo or hackers. Maar hackers kunnen ook reverse engineering tools inzetten om de broncode van CSS te achterhalen. Dat dit meestal illegaal is, zal crimin elen niet weerhouden als de verwachte return on investment groot genoeg is. Voor software met een groot marktaandeel zullen cybercriminelen meer geld bested en aan het zoeken naar kwetsbaarheden. Rechtstreeks in de broncode zoeken n aar kwetsbaarheden is echter erg kennis- en arbeidsintensief. Hackers gebr uiken graag efficiënte manieren en tools om kwetsbaarheden op te sporen. Bijvoorbee ld fuzzing tools kunnen automatisch kwetsbaarheden opsporen door dynamische invoer te genereren en na te gaan welke fouten het programma maakt. Voor derg elijke tools maakt het niet uit of een programma OSS is of CSS.

2. OSS heeft in het algemeen een kortere patch cyc lus dan CSS

G ebruikers van open source software kunnen fouten in de broncode zelf verhelpen en


G ebruikers van open source software kunnen fouten in de broncode zelf verhelpen en verifiëren dat de fout is verholpen. Hierdoor kan het verhelpen van een kwetsbaarheid meer parallel verlopen. In de praktijk heeft open source software daardoor een kortere patch cyclus, waardoor het “window of opportunity” voor hackers kleiner wordt om een kwetsbaarheid te misbruiken. 1. Het marktaandeel bepaalt het risico op hacking, niet het onderscheid tussen OSS en CSS

Vervolg

3. Het testproces voor OSS is transparanter dan bi j CSS

OSS volgt het 19e eeuwse principe van Auguste Kerkhoff: “veiligheid moet gebaseerd zijn op een goede sleutel, niet op de geheime werking” . Dat verkleint de kans op nare verrassingen als een systeem eenmaal is ingevoerd. Als zoveel mogelijk kwetsbaarheden verrassingen als een systeem eenmaal is ingevoerd. Als zoveel mogelijk kwetsbaarheden moeten worden verholpen vóórdat de software in gebruik wordt genomen, heeft OSS grote voordelen boven CSS. Op die manier kunnen namelijk wereldwijd experts bijdragen aan de veiligheid van de software, niet alleen de experts van de leverancier. Zo werd de AES encryptie ontwikkeld als open source, om de kans te verkleinen dat er vercijferde bestanden in omloop zijn die later zonder sleutel kunnen worden ontcijferd.

4. Bij OSS heeft de broncode gemiddeld een betere kwaliteit dan CSS

Als de broncode openbaar is, verbetert dat onder andere de leesbaarheid van OSS code. Ook externe ontwikkelaars moeten namelijk met deze code kunnen werken. De transparantie van OSS vermindert de complexiteit en verbetert daardoor de veiligheid. OSS heeft daardoor gemiddeld een betere softwarekwaliteit met minder kwetsbaarheden. Een vroege interne studie bij Microsoft bevestigde dan ook dat “OSS projects can achieve / exceed commercial quality” .


exceed commercial quality” .

5. OSS bevordert stimuleert door concurrentie de o ntwikkeling van betere, veilige producten

Open source software bevordert concurrentie, zelfs in een gemonopoliseerde markt. Concurrentie zorgt ervoor dat consumenten kunnen kiezen op basis van de kwaliteit van de software.

Vervolg (slot)

Zonder concurrentie ervaart de leverancier geen pri kkel om geld te besteden aan de verbetering van zijn product. Een jarenlange stilsta nd was bijvoorbeeld te zien nadat Internet Explorer concurrent Netscape van de markt had gedrukt. De ontwikkeling ging pas verder nadat Internet Explore r concurrentie kreeg van de OSS webbrowser Firefox.webbrowser Firefox.

6. Commerciële CSS leveranciers proberen concurrer ende OSS producten in diskrediet te brengen

De meeste OSS producten zijn gratis te gebruiken. Daar waar de OSS producten rechtstreeks concurreren met CSS waarvoor moet worden betaald, zal de CSS leverancier belang hebben bij het ontmoedigen van het gebruik van het concurrerende OSS product. Dat versterkt nl. de omzet van eigen het CSS product. Dergelijke antireclame wordt betiteld als Fear, Uncertainty and Doubt of “FUD” (zie wikipedia). Enkele voorbeelden van FUD uit de praktijk zijn:

OSS is gratis en legt daarom het risico voor het gebruik bij de gebruiker. Dit OSS product maakt inbreuk op onze patenten (alleen zeggen we niet welke en de wet op software patenten bestond toen nog niet). We zijn het onze aandeelhouders verplicht om gebruikers


patenten bestond toen nog niet). We zijn het onze aandeelhouders verplicht om gebruikers van deze OSS producten voor het gerecht te slepen. We zullen de maximale schadevergoeding eisen in dit proces, dat waarschijnlijk jaren zal duren;

De markt ondersteunt OSS niet (patches), daardoor is OSS onveiliger dan CSS. Het “onafhankelijke” Get the facts onderzoek toont aan dat onze betaalde CSS software goedkoper in gebruik is dan gratis een OSS product;

M ensen die niet zien dat dergelijke beweringen bedoeld zijn om te manipuleren, laten zich daardoor afbluffen.

Hergebruik ICT oplossingen · 2018-04-10 · gefinancierd door IPO. Het product is aan vernieuwing...

Documents

Transcript of Hergebruik ICT oplossingen · 2018-04-10 · gefinancierd door IPO. Het product is aan vernieuwing...