Unia Europejska za open source

Kolejny cios producentom systemów zamkniętych został zadany latem 2002 r., kiedy administracja Unii Europejskiej zaczęła promować wykorzystanie oprogramowania open source przez instytucje rządowe krajów członkowskich w celu obniżenia wydatków na technologie informatyczne, które w 2002 r. mają wynieść 6,7 mld euro.

Zainteresowanie Unii Europejskiej oprogramowaniem open source sięga roku 2001, kiedy Komisja Europejska zleciła firmie Unisys zbadanie jego wykorzystania w Europie. Następnie, podczas posiedzenia w Barcelonie, Rada Europy wezwała kraje UE do "wspierania wykorzystania otwartych platform, by zapewnić obywatelom wolność wyboru aplikacji i usług w ramach społeczeństwa informacyjnego". W tym celu do końca 2003 r. Komisja Europejska ma przedstawić zasady współpracy między różnorodnymi systemami wykorzystywanymi w administracji. Zgodnie z założeniami strategii eEurope mają być one oparte na otwartych standardach i oprogramowaniu open source.

Systemy open source to jednak nie tylko niższe koszty. Znacznie ważniejsze są: pewność, przejrzystość i bezpieczeństwo takiego oprogramowania. Systemy informatyczne wykorzystywane w administracji publicznej muszą się cieszyć zaufaniem obywateli. Jest to szczególnie istotne w przypadku systemów kluczowych dla funkcjonowania państwa, jak na przykład baz danych zawierających dane osobowe i finansowe czy systemów wspierających obsługę wyborów i referendów.

Oprogramowanie z dostępnym kodem źródłowym zapewnia pełną kontrolę nad publicznymi danymi. Tymczasem, w przeciwieństwie do systemów otwartych, dane przechowywane w nieudokumentowanych, własnych formatach firm komercyjnych nie dają całkowitej pewności co do ich integralności. Ponadto istnieje niebezpieczeństwo zmiany formatu lub zaprzestania jego obsługi, co może wymusić kosztowny upgrade do nowego formatu lub wręcz uniemożliwić migrację.

Bezpieczeństwo systemów open source jest oparte na przejrzystości i możliwości weryfikacji. Nawet jeżeli sami użytkownicy nie posiadają umiejętności skontrolowania kodu źródłowego, w przypadku systemów otwartych istnieje możliwość zlecenia ich kontroli niezależnym ekspertom. Ta cecha oprogramowania wzbudza zaufanie użytkowników, czego często nie można powiedzieć o systemach komercyjnych.

Niebezpieczne systemy komercyjne

Na początku 2002 r. James Allchin, wiceprezes Microsoft, zeznał pod przysięgą, iż w Windows znajdują się błędy, których ujawnienie mogłoby zagrozić bezpieczeństwu systemu. Opublikowanie API Windows mogłoby wręcz zagrozić bezpieczeństwu narodowemu. Bezpieczeństwo systemu Windows zależy więc od utrzymania w tajemnicy szczegółów zastosowanych w nim rozwiązań technicznych. I chociaż amerykańskie prawo zabrania dokonywania analizy skompilowanego kodu programu (reversed engineering), to jak dotychczas nie przeszkodziło to w łamaniu zawartych w produktach Microsoftu zabezpieczeń przed kopiowaniem. Nic więc dziwnego, że również kolejne luki w mechanizmach bezpieczeństwa Windows są systematycznie ujawniane.

Nieufność użytkowników w stosunku do systemów zamkniętych nasilają jeszcze afery, takie jak znalezienie w 1991 r. klucza o nazwie "NSAKEY", sugerującego związek z amerykańska agencją wywiadowczą National Security Agency, w bibliotece Microsoft Crypto API w Windows NT Service Pack 5. Pomimo iż eksperci wykluczyli wykorzystanie tego klucza jako "tylnej furtki" w oprogramowaniu Microsoft przez amerykańskie służby specjalne, wiele rządów, w tym niemiecki i francuski, postanowiło wymienić oprogramowanie stosowane w kluczowych dla bezpieczeństwa państwa systemach.

Obecnie system Linux jest używany m.in. przez wywiady USA, Kanady, Francji, Anglii, Hiszpanii i Singapuru. Sama National Security Agency stworzyła wersję systemu Linux o zwiększonym poziomie bezpieczeństwa - Security-Enhanced Linux (SELinux) - i udostępniła jej źródła (http://www.nsa.gov/selinux/index.html). Już w lutym 2000 francuski minister kultury i komunikacji ogłosił wymianę dotychczas wykorzystywanego oprogramowania komercyjnego na kombinację Red Hat Linux, serwerów Apache i Zope. Powodem tej zamiany były obawy dotyczące bezpieczeństwa systemów zamkniętych. W czerwcu 2002 niemieckie Ministerstwo Spraw Wewnętrznych podpisało kontrakt z IBM na wdrożenie systemów linuksowych, by "zwiększyć bezpieczeństwo poprzez zapobieganie monokulturze".

Kalifornijska społeczność open source, wspierana przez IBM i Red Hat, przedłożyła propozycję regulacji Digital Software Security Act, która miałaby nakazywać wykorzystanie wyłącznie oprogramowania open source w administracji stanu Kalifornia, gdyż umożliwia ono weryfikację stosowanych mechanizmów bezpieczeństwa.