Microsoft har valgt at give den danske stat adgang til sin kildekode, og nu vil GovCERT, der varetager den nationale it-sikkerhed i Danmark, også have fingrene i kildekoder fra andre af den offentlige sektors it-leverandører.
"Vi er i øjeblikket i dialog med en række andre leverandører om udlevering af kildekoden og muligheden for at drøfte deres sikkerhedsdesign," siger Thomas Kristmar fra GovCERT til Computerworld.
Han vil dog ikke røbe navnene på de virksomheder, som staten i øjeblikket er i dialog med.
Det er uvist, hvordan dialogen skrider frem, men i øjeblikket er it-leverandørerne og den danske stat meget fåmælte, når de bliver spurgt, hvordan de forholder sig til udlevering af kildekoder.
"Det er ren spekulation"
En af de it-virksomheder, der leverer løsninger til den offentlige sektor, er Oracle. Her kan kommunikationschefen hverken af- eller bekræfte, om firmaet har fået en henvendelse fra den danske stat.
Oracles nordiske kommunikationschef, Anders Lund Rendtorff, siger dog, at han "ikke er bekendt med", at Oracle har modtaget en sådan henvendelse.
"Vi forholder os til sådan en henvendelse, når vi ved, hvad der bliver efterspurgt. Det vil være ren spekulation at udtale sig om, før vi ved, hvad GovCERT efterspørger," siger Anders Lund Rendtorff.
Men GovCERT siger, at de efterspørger indsigt i kildekoden hos en række danske it-leverandører. Er det ikke ret klart?
"En ting er, hvad de har sagt til dig. Vi forholder os ikke til, hvad der bliver sagt til andre, men hvad der bliver sagt til os som virksomhed. Derfor kan vi ikke svare på en henvendelse, som vi ikke har set endnu," siger Anders Lund Rendtorff.
Meddelsomheden er ikke meget større hos IBM. Men IBM's vicedirektør Kim Østrup vil gerne røbe, at staten ikke har henvendt sig til IBM med et ønske om at få indsigt i virksomhedens kildekoder.
Hvordan vil I reagere, hvis I modtager sådan en henvendelse?
"Det må jeg se på, når jeg ved, hvad de spørger om," svarer Kim Østrup.
Men GovCERT spørger jo, om de kan få indsigt i kildekoden?
"Ved du hvad, jeg må forholde mig til henvendelsen, når jeg ser indholdet af den."
Hvis de spørger, om de må få indsigt i kildekoden, hvad vil du så svare?
"Det er et hypotetisk spørgsmål. Jeg må se konteksten og kan ikke svare på alt muligt i den her diskussion, så du får ikke mere ud af det her. Men generelt udleverer vi ikke kildekode til standard-software, og det kan der være mange grunde til. Men vi vil gerne være med til at forhindre og udbedre skader, der kan opstå som følge af cyber-angreb."
Hvilke betænkeligheder vil I have ved at udlevere en kildekode?
"Jeg har ikke flere kommentarer."
Mange CSC-kunder ejer kildekoden
It-virksomheden CSC leverer som regel skræddersyede it-systemer, hvor kunderne ofte selv ejer kildekoden.
Derfor har den offentlige sektor i mange tilfælde allerede indsigt i kildekoden til den software, som bliver leveret af CSC, oplyser Fritjof Lind, der er direktør for CSC's offentlige forretning i Danmark.
It-virksomheder frygter kode-læk
Men CSC-direktøren vil ikke svare på, hvordan virksomheden vil reagere, hvis staten ønsker indsigt i kildekoden i de produkter, hvor staten ikke selv ejer koden.
"Det er et teoretisk spørgsmål, så der bliver jeg dig svar skyldig. Men jeg er ikke bekendt med, at vi har modtaget sådan en henvendelse," siger Fritjof Lind.
Ifølge Fritjof Lind vil der være tale om en kommerciel overvejelse, hvor CSC på den ene side må opveje en eventuel sikkerhedsrisiko mod nødvendigheden af at signalere åbenhed.
Danmarks største leverandør af it-systemer til kommunerne, KMD, afviser også, at den har fået en henvendelse fra staten om at udlevere kildekoder.
Efter en telefonisk henvendelse modtager Computerworld en mail med følgende citat fra KMD-direktør Ole Jensen.
"Vi er ikke blevet kontaktet af nogen myndigheder med henblik på at give adgang til vores kildekode, men hvis vi bliver, er vi selvfølgelig villige til at indgå i en dialog om, hvordan vi bedst muligt kan imødekomme et sådant ønske," skriver han i mailen.
Leverandørerne skal stille høje krav
Men det er med god grund, hvis virksomhederne tøver med at udlevere deres kildekoder til staten, mener it-sikkerhedsekspert Peter Kruse.
Peter Kruse forklarer, at virksomhederne især frygter, at staten ikke er i stand til at beskytte kildekoden godt nok. Derfor vurderer han også, at virksomhederne vil stille høje krav til, hvordan staten håndterer kildekoden.
Ikke mindst fordi kildekoden kan misbruges af enten hackere, der kan finde sårbarheder i softwaren eller af konkurrenter, der kan få oplysninger om patenterede teknologier.
Han forklarer, at der blandt andet er eksempler på, at dele af kildekoden til Windows for nogle år siden blev lækket på nettet. Et læk, der kom kort tid efter, at Microsoft gav en række amerikanske universiteter indsigt i kildekoden bag Windows.
