26. august 2018

Datamaskiner i skolen – et tveegget sverd

Jill Walker Rettberg er en jeg lytter til med interesse, men argumentasjonen i kronikken "Prisen for en digitalisert skole" har jeg trøbbel med. Nå kjenner jeg riktignok premissene for en kronikk i avisen. Det er ikke der nyansene kommer frem, men likevel har jeg vanskelig for å se hvilke konstruktive løsninger dette peker på.

Bare så det er sagt: Jeg deler så absolutt bekymringene og er selv på jakt etter gode løsninger. Når jeg for tiden holder på med "Robotassistert undervisning" har jeg stresset leverandøren nettopp for å få på plass løsninger som fungerer offline. Det lar seg gjøre når vi skal bruke roboter for å lære elever å eksperimentere med programmering og talegrensenitt. Men det er verre når vi beveger oss inn på skylagring, samskriving og deling av data.

Men til kronikken. Bakgrunnen er at alle bergenske åttendeklassinger får hver sin Chromebook til skolestart. Jill skriver at Google selger disse datamaskinene til skoler over hele verden til nær kostpris og med gratis programvare.

"I praksis kjøper Bergen kommune datamaskiner til barna våre ved å selge persondataene deres", ifølge Jill. Nå skriver hun riktignok at "staten har en databehandleravtale med Google, og EUs nye personvernsforordning, GDPR, setter klare retningslinjer for hvordan persondata skal beskyttes. Men er dette godt nok?"

Problemet med Google er at de er så store, at de driver i så mange forskjellige segmenter. Videre at de er særdeles flinke til det de gjør. Google har fingrene i flere sider av det digitale livet vårt enn de andre som leverer teknologi til skolene: Apple og Microsoft, samt dels Facebook. Google blir imidlertid en potensielt større "ulv" fordi de også selger reklame. Dermed kan en se for seg de scenariene som Jill skisserer – de vil potensielt vite veldig mye om elevene. Hun viser videre til rapporten Spying on Students, fra Electronic Frontier Foundation, der det påpekes at "foreldre og barn ikke har noe valg. Det går i praksis ikke an for en forelder å si nei, barnet mitt skal ikke ha Googlekonto. Skolen bestemmer at Google skal ha barnas persondata, og så må vi bare stole på at de følger reglene."

"Er dette verdt prisen?", spør Jill.

For å kjenne litt skikkelig på det tok jeg fram Chromebooken for å skrive dette, til og med for å poste det gjennom Googles bloggtjeneste Blogger.

Hva er de gode alternativene? Det er det jeg lurer nå jeg på. Hvilke digitale løsninger skal vi bruke i skolen?

Problem 1: Skylagring
Når innholdet vårt havner på ulike servere gir vi potensielt fra oss noe av kontrollen. Dermed er på problem 3 & 4 nedenfor, medmindre vi dropper hele greia. Dvs vi kan jo se for oss at institusjoner drifter denne type tjenester selv på egne servere. En ideell løsning, men neppe en særlig realistisk vei å gå.

Løsningen på problemer med skylagring er ende til ende kryptering slik at mine data sendes og lagres kryptert, slik at de bare kan leses av meg og de jeg gir tilgang. Jeg har ikke nok teknisk innsikt til å vite om det faktisk lar seg gjøre, men det virker som om dette kan gjøres både av brukere og på administratornivå. Det er lett å se for seg at dette er komplekst, ikke minst når en deler dokumenter mellom mange forskjellige brukere og med ulike tilgangsrettigheter.

Samtidig er det nettopp dette som gjør skylagring så effektivt. Selv begynte jeg å skrive med Writely allerede i 2005. Tjenesten ble kjøpt av Google og dannet grunnlaget for Google Docs. Siden den gang har jeg ikke snudd meg tilbake. Google lagrer dermed svært mange dokumenter, som selvsagt forteller mye.

Problem 2: Maskinlæring
Datamaskiner kan finne sammenhenger mennesker selv ikke kan oppdage ved å sammenholde mange ulike typer data. Jo mer data en har tilgang til desto mer kan maskinene finne ut. Google er så definitivt noen med tilgang til mye data. Det bringer oss imidlertid igjen videre til problem 3 & 4.

Problem 3: Du kan egentlig ikke stole på noen
Tillit (tro på at noen er til å stole på) er en vanskelig sak. I prinsippet kan vi ha tillit til mennesker, men det blir litt vanskeligere med selskaper. Selsakper gjør vi gjerne avtaler med. Det er ikke helt lett å se hva Google skal gjøre i tillegg til de avtalene de inngår med profesjonelle brukere, som skoleeiere. En kan si mye om Google og lignende selskaper, men de redegjør i alle fall skikkelig for personvern for G Suite for Education.

Så er spørsmålet:

Problem 4: Du må likevel velge noen du stoler på
Google har publisert et eget whitepaper knyttet til GSuite der de skriver: "There is no advertising in the G Suite Core Services, and we have no plans to change this in the future. Google does not collect, scan or use data in G Suite Core Services for advertising purposes." Vi vet ikke om de gjør det de sier. Vi har egentlig bare to valg: stole på det de sier eller la være å benytte tjenesten.

Før du bestemmer deg kan du dykke enda lenger ned i detaljene i from av Data Processing Amendment to G Suite.

Et forsøk på oppsummering
Min eldste Chromebook er fire år. Rimelig maskin, men fremdeles fullt oppegående. Ingen maskin har gitt meg så lite trøbbel. Det skal godt gjøres å finne bedre forhold mellom pris og ytelse enn det Chromebooks tilbyr. De oppdateres fullstendig sømløst, dvs slutt på maskiner som henger når timen begynner. Du får ikke bedre verktøy for samskriving enn GSuite. Det er med andre ord veldig mye som er positivt med verktøyene som Google leverer.

Noen av problemene har vi vært innom.

Det litt triste med dette er at slike innlegg leses av noen slik fanden leser bibelen. Slik sett er dessverre ikke debattinnlegget særlig opplysende.

Oppdatering 3. oktober 2018:

Ny artikkel i Bergens Tidende om dette temaet: "Professor advarer mot Google i skolen". BT har snakket med Liz Sproat, sjef for G Suite for Utdanning i Europa, som understreker at alle data fra elevenes G Suite-kontoer kan slettes av skolen når elevene slutter. Vesentlig poeng synes jeg. Dvs skolen må ha kontroll med Google-kontoene.

Min egen erfaring er stort sett begrenset til høyere utdanning, men her synes det som om det er Googles tjenester for samskriving som brukes av studentene uansett – i alle fall blant de som har tatt i bruk slike verktøy. Problemet er at da har vi (altså høgskolen) minimal kontroll på tilgang og deling.

Ellers tror jeg resonnementet i den opprinnelige posten står seg.

Oppdatering: Aftenposten har en videosak der de har testet Chromebook:

3 kommentarer:

  1. Det er skremmande at slike skytenester kan vite meir om deg enn din næraste familie. Egentlig bør det ikkje vere aktuelt å tvinge barn inn i ein slik mekanisme. Då seier det seg sjølv at ein ikkje kan bruke tenesta.

    Den einaste måten å 100% unngå å bli utsett for utnyttinga desse IT-selskapa driv med, er å berre bruke fri programvare. Richard Stallman & co har rett i det. Grunnlaget er, som du er litt inne på, at det ikkje er mogleg å stole på nokon. Difor må ein ha full tilgang til kjeldekoden og køyre programma på eigne maskiner. Ellers vil det gå an å bli utnytta, og som me ser blir det gjort i svært mange (alle?) tilfeller. Så enkelt er det.

    Sjå også:

    https://www.gnu.org/philosophy/who-does-that-server-really-serve.html

    SvarSlett
    Svar
    1. Jeg er jo så absolutt enig i prinsippet og anerkjenner absolutt at Stallman har et godt poeng. Samtidig er jeg en smule pragmatisk og tror ikke vi kommer utenom at noen andre enn oss selv drifter de tjeneste vi benytter. Jeg ville nok utsette meg selv for langt større risiko ved å forsøke å drifte denne type tjeneste selv sammenlignet med å bruke Googles skylagring. I så tilfelle må vi forholde oss til avtaler, og da virker det på meg som Google har gjort en skikkelig jobb. Både med hensyn til avtalenes innhold og ved å gjøre dem tilgjengelig på norsk og ta hensyn til norsk rett.

      I avtalen skriver Google eksplisitt at de ikke bruker de dataene som brukeren legger inn i GSuite til noen andre formål. Jeg antar at MIcrosoft og Apple har lignende formuleringer for å imøtekomme europiske krav til personvern.

      For å være på den sikre siden er kanskje kryptering veien å gå. Da ikke bare kryptering av trafikken, men kryptert lagring på serverne i skyen. Så vidt jeg kan skjønne skal dette være mulig å sette på systemeier-nivå. Dvs at Bergen kommune kan skru på kryptering av de dataene eleven lagrer hos Google. Dette virker jo så seriøst som det kan bli og så vist jeg kan lese tyder det på at data krypteres på serverne som default – "Customer data that is uploaded or created in G Suite services is encrypted at rest,...". Det skjer selvsagt en dekryptering ved bruk, der Google er mellommann, så problemet er uansett ikke helt borte.

      Men jeg synes det er vanskelig å se for seg hvordan en skal kunne sikre brukerne bedre uten at det går vesentlig ut over selve tjenesten.

      Slett
  2. Kort blandes fra tid til annen. I kronikken som denne posten kommenterer blir det nevnt et sikkerhetsbrudd knyttet til det påloggingssystemet som bergensskolene benytter. Dette har lite med det som ellers diskuteres å gjøre, men bare så det er sagt: Bergen kommunes pressemelding angående nevnte sikkretsbrist virker som et forsøk på å rette baker for smed. Det som skrives om politianmeldelse kan vanskelig tolkes annerledes enn at kommunen forsøker å få det til å se ut som om ansvaret for slett sikkerhet ligger et annet sted enn hos dem selv. Slikt holder ikke. Paradoksalt nok kan det være et ganske godt argument for å sette ut tjenester til tredjepart, som har sikkerhet høyere på agendaen. Torgeir Waterhouse i IKT-Norge kommenterer saken treffende.


    Hva menigmann kan lære av saken: totrinns autentisering er lurt (f eks via SMS, som tillegg til brukernavn og passord), mens vi venter på enda bedre systemer for sikker pålogging.

    SvarSlett

Kommentarer er svært velkommen. På grunn av problemer med spam må jeg imidlertid godkjenne kommentarer før de publiseres. Vanligvis skjer dette i løpet av noen timer.