Med jämna mellanrum hör man om säkerhetshål och säkerhetsbrister i operativsystem, program och plug-in. Ofta handlar detta om stora, eller vanliga produkter och mera sällan om öppen källkod inom GIS.
Jag är nu långt ifrån en säkerhetsexpert, men jag är inte så naiv att jag tar detta som intäkt för att öppen källkod eller Open Source GIS är mycket säkrare.
Det är väl mera sannolikt så att det finns precis lika mycket säkerhetsbrister inom OS GIS, och i takt med att användandet av denna typ av system ökar så kommer dessa problem att bli vanligare.
Vad kan man då göra om man inte är expert men ändå vill använda delvis oprövade mjukvarulösningar i sina system.
Säkerhet existerar på så många nivåer och det är svårt, till omöjligt, att ha ett heltäckande skydd enbart med en säkerhetsmekanism. Att ha inloggning på en webbtjänst tillför ingen säkerhet om de data man vill skydda finns på en server man inte har kontroll på. Detta skydd kan vara fysiskt eller logiskt och kan exempelvis regleras med avtal mellan parter som litar på varandra. Det viktiga är dock att man inser att det går att göra mycket för att stärka säkerheten av det man vill skydda, och då inte bara med nya brandväggar eller krypteringsalgoritmer.
I mitt tycke är det bästa sättet att skydda känslig information på nätet att över huvud taget inte publicera den, eller ens göra det fysiskt möjligt att komma åt den utifrån.
Detta hamnar dock snabbt i konflikt med önskan om att vara öppen och publicera väldigt mycket öppna data.
Det går att separera data och på olika sätt endast publicera den data som verkligen är öppen. Även öppna data behöver dock skyddas!
Wikipedia och Open Street Map är exempel på i huvudsak väldigt öppna informationsstrukturer som fungerar. Men att till 100% garantera att informationen är korrekt är omöjligt. Öppna data som publiceras på Internet har ett värde som är direkt relaterad till riktigheten. Kan man inte garantera riktigheten så sjunker värdet. Det kan vara av stor vikt att information görs tillgänglig, men av minst lika stor vikt att den inte förvanskas. Väldigt förenklat vill man tillåta läsrättigheter men begränsa skrivrättigheter, och det är här man stöter på de flesta säkerhetsmässiga utmaningarna.
Vad görs då…
Ganska mycket öppen källkod används även i stora kommersiella sammanhang och därför så finns det mycket resurser som arbetar för att dessa skall vara säkra.
Inom GIS så finns det redan en hel del säkerhetsmekanismer och i takt med ökad användning så kommer dessa att få ökad betydelse.
I QGIS har exempelvis användarnamn och lösenord för access till exempelvis OGC tjänster lagrats helt okrypterade i textformat i projektfilerna. Alternativet har varit att användaren måste ange inloggning manuellt för varje källa man lägger till eller öppnar i ett sparat projekt.
Nu ser det ut som att det finns en väldigt ambitiös lösning på bland annat detta problem där det lite förenklat skapas en krypterad databas med användarens samlade rättigheter och genom att ”låsa upp” databasen när QGIS startar så kan alla datakällor användaren har behörighet till läsas direkt. Det går att ”stänga” databasen manuellt eller så fort QGIS avslutas. Exakt hur detta fungerar går att läsa mera om här:
https://github.com/dakcarto/QGIS-Enhancement-Proposals/blob/auth-system/qep-14-authentication-system.rst
Här beskriver man mekanismer för ökad säkerhet med begrepp som AES, PKI-PKC, med mera.
Säkerhet och mekanismer för säkerhet är viktiga faktorer för att öppen källkod och exempelvis QGIS och QGIS Server skall ta större andelar av marknaden i det officiella eller ekonomiska Sverige.
En fördel med öppen källkod är att i princip vem som helst kan föreslå eller skapa förbättringar, och om det är flera som tycker likadant så brukar det gå väldigt snabbt att lösa upptäckta problem. Att sedan källkoden är öppen är en fördel om man vill granska vad som sker i bakgrunden av program man inte tillverkat själv.