Hållbar digital informationshantering baserat på öppen källkod

MalinÅ

Under hösten 2020 fram till vintern 2021 genomförde vi på Arbetsförmedlingen en förstudie i myndighetens möjlighet att anskaffa ett öppet licensierat e-arkiv. Resultatet var en rapport om strategiska vägval för e-arkiv (Af-2021/0001 1174). Vi har nu sammanfattat några intressanta (enligt oss) punkter från rapporten

Vi såg initialt under utredningen problemområden för e-arkivet kopplade till inlåsningseffekt och hållbarhet i hanteringen av Arbetsförmedlingens information.

Problemområden
Inlåsningseffekt innebär att en verksamhet eller organisation blir beroende av en viss leverantör och att man kan få problem när man vill exportera eller hantera information utanför en specifik systemlösningen. Det skapar en effekt att användaren inte har möjlighet att lämna leverantören utan att antingen lägga stora resurser och en hög kostnad på flytt av information eller problem att lösa ut sin information utan att acceptera en viss informationsförlust.

En proaktiv och hållbar digital informationshantering innebär att det finns kontroll över hur informationen skapas, används och förvaras. Det i sig ställer krav på de IT-system som ska hantera informationen. Genom att utgå från t.ex. öppna standarder och specifikationer vid hanteringen av informationen säkerställer man förståelsen och funktion av information över tid

Öppen källkod som lösning
I samband med att koden och dess dokumentation finns öppet tillgängligt skapas en transparens för hur e-arkivet fungerar och vad som händer med information som hanteras av e-arkivet i olika instanser. Detta bidrar till informationens autenticitet över tid då det går att se och spåra vad som hänt informationen och därigenom kan man lite på informationens innehåll i större utsträckning.

Öppen källkod ger även användaren ett visst oberoende genom att man kan vara oberoende från särskilda utvecklare. I samband med att dokumentationen om källkoden även ligger öppet är det möjligt att flera olika utvecklare att sätta sig in i e-arkivet och bedriva support eller genomföra utveckling. Oberoendet ger även användaren tillgång till bland annat en vidgad marknad, och därmed ett större utbud av kunskap och expertis. Detta motverkar den så kallade inlåsningseffekten.

Offentlig sektor ska inom ramen av LOU genomföra upphandlingar och dessa upphandlingar behöver med vissa mellanrum genomföras på nytt. Det här kan medföra risker för informationshanteringen inom olika IT-system när data behöver migreras. Beroende på hur ofta en ny upphandling krävs, är detta en potentiell stor risk för hållbarheten av informationen. Det här innebär att alla e-arkiv kommer behöva migrera information, vilket medför en ökad risk för informationsförlust med stora konsekvenser i och med mängderna information ett e-arkiv kan innehålla. En mitigering av den här risken vore att minimera mängden byten av e-arkiv. Här är lösningar med öppen källkod rimlig eftersom en myndighet har större kontroll över när/hur avveckling och migrering sker. Avveckling av ett informationssystem är utan tvekan oundvikligt. Men med en lösning baserad på öppen källkod, så finns möjlighet att förlänga livscykeln på e-arkivet.

Hör gärna av er med synpunkter på hur vi resonerar och saker ni tycker vi ska ta med oss tillbaka till vårt arbete med e-arkivet

//Malin Åkerlund och Rickard Lundstedt (IT-arkivarier)

joho68

@MalinÅ Tittade ni på några specifika plattformar?

(Som involverad i både utveckling och drift av plattformar med/på/av Öppen Källkod så blir jag såklart nyfiken.)

-Joaquim

MalinÅ

@joho68
Vi gjorde några översiktliga analyser av RODA (http://roda.jobtechdev.se/#welcome) och EssArch (https://www.essolutions.se/essarch/). Framförallt gällande funktion av systemen men även utifrån CHAOSS-metriken för hållbart community. Det vi kom fram till vid den tidpunkten var att möjligheten till ett svenskt community var större med RODA, vilket vi därefter har gjort en POT för.

I dit arbete med öppen källkod, har ni använt någon mjukvara för analys av community för de system/plattformar ni använder? Vi gjorde en manuell analys men har sett att det verkar gå att göra smidigare.

jonor

Nosad underhåller ju en programvarukatalog med en kategori för arkiv-verktyg. Det vore intressant att koppla programvarukatalogen till utvärderingar och analyser av programvarorna.

Utifrån katalogen ser det ut som fler använder ESSArch i nuläget. Vilka kriterier talar för bättre förutsättningar för en svensk gemenskap/community med RODA?

Vad står POT för?

https://nosad.se/katalog

Arkiv- och katalogverktyg

• Access to Memory (AtoM)
  Används av: SGU, Kungliga biblioteket

• Archivematica
  Används av: SGU
  Se även: AOAIS - Ett nätverk för Archivematica och AtoM i Sverige

• CollectiveAccess
  Används av: Extern lista
  Beskrivning: En webbaserad databas och ett katalogiseringverktyg för museer, arkiv och digitala samlingar.
  Se även: Collective Access Sverige

• ESSArch
  Används av: Svensk Riksarkivet, Norska Arkivverket, Sydarkivera, Svenska kyrkan, Luftfartsverket, Sjöfartsverket

• NetarchiveSuite
  Beskrivning: Verktyg för insamling och arkivering av hemsidor.
  Används av: Kungliga Biblioteket

• Roda
  Används av: Tullverket

Matself

Hej! Är den rapporten öppna data? (Af-2021/0001 1174)
Leverantörsberoende och inlåsta data är i hög grad fallet för hantering av geodata, en av de viktigare datatyperna för att förverkliga en digital samhällsbyggnadsprocess.

joho68

@MalinÅ Nej, några verktyg har jag/vi inte använt för analys av community. Vi tittar ofta på parametrar som hur aktivt ett projekt är, hur gammalt det är, osv; utöver sedvanliga punkter som funktionalitet, säkerhet, etc.

Men min "bedömning" är att vi är alldeles för dåliga på att använda Öppen Källkod i Sverige (och många andra delar av världen).

MalinÅ

@jonor
Absolut, och det diskuteras lite inom arkiv-kretsar om hur man på bästa sättet tillgängliggör och sammanställer våra tester för olika verktyg/system.

Ja, det är information från vår rapport som vi har uppdaterat delar av den katalogen med Den skulle däremot behöva uppdateras då jag har hört rykten om att Luftfartsverket och Sjöfartsverket gått vidare från EssArch.
Det är några olika myndigheter som håller på med ett införande av RODA, och där man har ett perspektiv för att vara med och skapa ett community.
Sen verkar det som att intresset för Archivematica (https://www.archivematica.org/en/) ökat i samband med en utvärdering som Sydarkivera gjort där de kom fram till att det var bästa e-arkivet baserat på öppen källkod. Vet ej om de publicerat rapporten öppet, men det går snabbt att höra med dom om man vill ha mer information.

POT står för Proof of Technology, och det är i princip ett test för att säkerställa att tekniken fungerar. I vårt fall var det ett test för att se om systemet fungerar i vår miljö och uppfyller våra krav på funktionalitet.

MalinÅ

@Matself
Hej!
Den är inte licensierad som öppen data, däremot är den en offentlig allmän handling som NOSAD lagt upp på sin webbplats över lästips: https://nosad.se/tips.

Förstår problematiken med geodata! Har du tittat något på mer standardiserade metadatastrukturer och möjligheten att kravställa på dessa? Jag vet att DILCIS (EU-nivå) tagit fram en: https://dilcis.eu/content-types/cs-geospatial-data

Vet inte hur väl den lirar med strukturen för Lantmäteriets grunddata däremot..

Ingegerd

@MalinÅ
Hej!
Finns möjlighet att ta del av er rapport Af-2021/0001 1174?
MVH/Ingegerd

jonass

@Ingegerd Bra rapport, men jag kanske är lite partisk. (från arbetsförmedlingen). Rapporten finns under nosad.se/tips och en direktlänk är https://gitlab.com/open-data-knowledge-sharing/wiki/-/wikis/uploads/c7d94fc0e6bdea26df7182e54b6e6683/Rapport_långsiktig_informationshantering_E-arkiv.pdf

elias

@MalinÅ
Hej Malin och Rickard,
Bra jobbat! Ni har helt rätt i att öppen källkod är bra för att undvika inlåsning och ger mycket bättre möjlighet att hålla saker igång över tid.
Om ni kan förklara det här för fler inom myndighets-Sverige har ni gjort en jätteviktig insats. Tack!

PerAnd

@MalinÅ

På sidan 18 står det:

"I förstudiens hot- och riskanalys upptäcktes 7 risker med en riskbedömning inom det här intervallet, varav en är specifik för COTS-lösningar och benämns nedan."

I tabellen finns dock bara 6 risker redovisade. Saknas det nån eller är det ett skrivfel?

MalinÅ

@PerAnd Hej!
Förlåt för supersen återkoppling, det här kom när jag var på semester tyvärr.
Det kan absolut vara ett skrivfel som du är inne på. Det finns flera bilagor till rapporten som inte har publicerats, du får gärna begära ut dessa från Arbetsförmedlingen så skickar vi över dom. Du kan begära ut dom här: https://arbetsformedlingen.se/kontakt/ta-del-av-allmanna-handlingar

En av bilagorna är hela riskbedömningen

MalinÅ

@elias Tack så mycket Vi försöker lyfta detta inom vårt ämnesområde, dvs arkiv och digitalt bevarande, så att vi kan börja titta på lösningar. Men det är ju ibland lite segt i början och vi som yrkesgrupp är beroende av att nå fram till andra professioner inom IT för draghjälp.

MalinÅ

@Ingegerd Hej! Du fick som tur är en länk nedan till rapporten som är publicerad via NOSAD men vill du ta del av bilagorna som hör till kan du begära ut dom här: https://arbetsformedlingen.se/kontakt/ta-del-av-allmanna-handlingar

PerAnd

@MalinÅ Det är mycket möjligt att jag läst rapporten lite slarvigt, men en generell synpunkt är att jag saknar en stor del av den säkerhetsanalys som ni (väl?) borde göra eller ha gjort inom ramen för ett sådant här arbete.

Främst tänker jag på värdering (informationsklassning) av den information som ni kommer att hantera i e-arkivet, med tillhörande konsekvensnivåer, skyddsåtgärder osv. Det är inte helt säkert att alla de produkter som ni behandlar (och har utvärderat) i rapporten klarar, exempelvis, en sårbarhetsanalys.

MSB kom med en uppdatering av sin "Vägledning för säkerhetsåtgärder i informationssystem" i fredags, där man i kapitel 3 ganska väl utvecklar vilka aktiviteter en myndighet bör genomföra inför en anskaffning av ett nytt IT-system. Och en del av de aktiviteterna kan absolut användas även vid en förstudie/produktutvärdering. Se också MSBFS 2020:7.

https://www.msb.se/sv/publikationer/vagledning--sakerhetsatgarder-i-informationssystem/

Informationsklassning antar jag att ni som Arkivarier har svart bälte i!

MalinÅ

@PerAnd Hej
Det resonemang som finns med i förstudien är generellt hållet för förstudien var främst till att utforska och resonera kring om Arbetsförmedlingen borde välja ett e-arkiv baserat på standardsystem eller på öppen källkod. För att därefter koppla till ett förslag på strategi för digitalt bevarande. Tester och vidare analyser(inklusive de för att säkerställa säkerheten) kopplade till specifika systemlösningar kommer ju alltid behöva göras innan ett skarpt införande. Vi nämner däremot potentiella åtgärder/konsekvenser av en säkerhetsskyddsanalys under kapitel 2.7.3.. De resonemangen är främst hämtade från SSC arbete men vi ser att det är frågor som blir relevanta för alla myndigheter.

Det jag försöker förklara är att förstudien inte bör ses som en utvärdering av specifika systemlösningar. Alla omnämnde av specifika lösningar är del av en omvärldsbevakning för marknaden av e-arkivsystem.

Informationsklassningen är även en stor del i leveransprocessen där varje leverans klassas, så där har du rätt att det är något vi gärna håller på med