Advarer om usikker digital post: – Altinn-Kenneth kan bli syfilis-Synne

Nasjonal sikkerhetsmyndighet advarer sterkt mot forslaget til digital postkasse fra det offentlige. Statens egne eksperter frykter at sensitiv informasjon, for eksempel mellom leger og pasienter, kan komme på avveier.

Postkasser og digitale postkasser (montasje)

Det offentlige vil at befolkningen skal gå over fra gammeldags papirpost i postkassene sine til digitale løsninger. Her representert ved produktene Digipost fra Posten Norge og det danske produktet E-boks som begge ventes å kunne legge inn tilbud til det offentlige om digitale postkasser.

Foto: montasje av faksimiler fra Digipost/E-boks og Johannessen, Sara / SCANPIX

Regjeringen har som ambisjon at innbyggerne skal få all post fra det offentlige digitalt, og ikke som vanlig papirpost. Omleggingen er ventet å skje allerede neste år.

Da vil du få tilbud om å slutte å få viktig post fra det offentlige i posten, men i stedet motta informasjonen i en digital postkasse.

Les også: Slutt med papirbrev fra Staten

Det betyr at også post fra legen eller fra offentlige organer, som fram til nå har blitt ansett som for usikkert til å sende digitalt, etter omleggingen skal sendes over internett.

Direktoratet for forvaltning og IKT (Difi), som håndterer saken, bekrefter overfor NRK at de digitale postkassene skal kunne brukes til å sende informasjon til deg og meg om alt fra tildeling av barnehageplass, til sensitive, taushetsbelagte helseopplysninger.

Den offentlige virksomheten som skal sende posten, må selv vurdere om løsningen er egnet i forhold til innholdet i dokumentene.

For å få til dette, vil staten gi deg og meg tilbud om en digital postkasse. Jobben med å levere denne postkassetjenesten er nå satt ut på anbud, og prosjektet presenteres som «sikker digital post fra forvaltningen».

At systemet er sikkert er imidlertid ikke alle enige i.

Nasjonal sikkerhetsmyndighet (NSM) advarer om at brukernes personlige, sensitive opplysninger vil formidles sikkert fram til de nye «digitale postkontorene», men at de deretter i prinsippet vil bli behandlet som åpnede brev i de såkalt sikre postkontorene.

– NSM anser det svært uheldig å etablere en digital tjeneste hvor sikkerheten er lavere enn tilsvarende manuell/tradisjonell/analog tjeneste, skriver senioringeniør Lars Olaussen i Nasjonal sikkerhetsmyndighet på etatens fagblogg om it-sikkerhet.

NorCERTs operasjonssentral

NSM driver en egen operasjonssentral for it-sikkerhet, og overvåker fra NorCERT store deler av norske nettverk på jakt etter farer og angrep.

Foto: Nasjonal sikkerhetsmyndighet (NSM)

Han jobber i NSMs avdeling for teknologi, seksjon for kryptoutvikling. Nasjonal sikkerhetsmyndighet (NSM) er statens høyeste fagetat for sikring av sensitiv informasjon. De jobber både med topphemmelige systemer for Forsvaret, og med tilsyn og råd for sikkerhet til etater som folk flest har et forhold til i det daglige.

– Som om postmannen åpner brevene før han legger dem i postboksen

E-post i seg selv er ikke sikkert. I dagens dataverden er vanlig e-post uten ekstra sikkerhetstiltak å regne som å sende teksten på baksiden av et postkort: Alle kan i teorien lese budskapet på veien fra deg som avsender til den lander i postkassa til mottakeren.

E-postmeldingene kan i prinsippet leses både i nettverkssystemer på vei over internett, i servermaskiner på veien og til slutt i systemene for e-post som mottakeren bruker. Det eneste som kreves er at den som vil lese innholdet har tilgang til datasystemene, enten fordi de eier dem, eller fordi de har brutt seg inn i maskinen.

Den digitale e-posten i seg selv er ikke lukket inne i noen konvolutt som ikke er lov å åpne, slik reglene postverket krever for god, gammeldags analog post.

Anonyme postbokser

Post som sendes med postvesenet følger strenge regler, og ingen får lov til å åpne brev på veien. Det er dog teknisk mulig i de nye digitale løsningene, ifølge NSM.

Foto: Illustrasjonsfoto: www.colorbox.com

For å løse dette må det brukes kryptering som låser innholdet inne i en «pakke» som bare kan åpnes med riktig nøkkel. Denne typen kryptering skal brukes i de nye digitale postkassene, men ikke helt fram til mottakeren.

– Selv om dette hindrer at meldingsformidleren får innsyn i alle dokumentene den formidler, hindrer den ikke at postboksleverandøren får innsyn i alle dokumenter den håndterer for sine brukere. Dette er tilsvarende at man sender papirbrev og postmannen åpner brevet før hun legger det i mottakerens postboks, skriver NSMs fagekspert Lars Olaussen i Nasjonal sikkerhetsmyndighet (NSM).

NRK har vært i kontakt med NSM om kritikken de har kommet med mot løsningene for digitale postkasser. Ekspertorganet står ved kritikken, og uttrykker at de skarpe ordene i fagbloggen og i høringsinnspillene fortsatt gjelder.

Frykter at Altinn-Kenneth skal bli til «barnefordelings-Bjarne» eller «syfilis-Synne»

Meldingene fra leger eller andre vil bare være låst fram til «det digitale posthuset». Det skyldes at de alle sammen låses med den samme nøkkelen – posthusets nøkkel eller sertifikat, og ikke den enkelte mottakers personlige nøkkel. Hvis alle hadde hatt hver sin digitale nøkkel, ville man hatt det som på fagspråket kalle ende-til-ende-kryptering.

NSM anbefaler sterkt slik kryptering.

Uten en slik løsning frykter de nye IT-skandaler i det offentlige, som da Altinn plutselig ga tilfeldige brukere tilgang til skatteinformasjonen til en uskyldig mann ved navn Kenneth .

– Når mer sensitiv informasjon enn skatteopplysninger blir gjort tilgjengelig elektronisk, er det nødvendig å sikre at man ikke opplever flere Altinn-Kenneth-tilfeller, som barnefordelings-Bjarne eller Syfilis-Synne, advarer Olaussen i NSM.

Alvorlig sikkerhetsbrudd hos Altinn

Dette synet møtte mange av dem som logget seg inn på Altinn. De kom inn på kontoen til en 36 år gammel Oslo-mann som het Kenneth.

Foto: Skjermdump

Etaten har sendt inn sine bekymringer i høringsrundene for de nye digitale postkassene, men føler ikke at sikkerhetsbekymringene deres er tilstrekkelig hørt.

Direktoratet for forvaltning og IKT (Difi), som planlegger og skal innføre de digitale postkassene, vil likevel ikke kreve ende-til-ende-kryptering, slik ekspertene i NSM ønsker, fra løsningen settes i drift.

Slike ekstra sikkerhetskrav, som sikrer at dokumentene er låst helt fram til deg som mottaker, kan likevel komme senere. Difi mener at det ikke finnes gode og brukervennlige løsninger for ende-til-ende-kryptering i dag, men presiserer at når det kommer, vil valgt løsning enkelt kunne ta det i bruk.

Derfor har de nå varslet Justis- og beredskapsdepartementet.

Difi: – Vi har gjort en bred risikovurdering

Difi forteller til NRK at ethvert sikkerhetstiltak har positive og negative effekter. Sikkerhet handler om både konfidensialitet, integritet og tilgjengelighet. Difi foretar helhetlige risikovurderinger for å balansere krav og tiltak.

– Hva har dere å si til at NSM mener det er fare for at informasjon kommer på avveie?

– Vi har hatt en dialog med NSM, og har lyttet til vurderingene og anbefalingene fra dem. Sikkerhet har mange aspekter, og vi må vurdere både konfidensialitet, integritet og tilgjengelighet. Vi synes at NSM i for stor grad har hatt fokus kun på konfidensialitetsbeskyttelse. Vi har gjort en bred risikovurdering der det balanseres opp mot andre krav, sier fagdirektør Birgitte Jensen Egset, som leder Sikker post-programmet hos Difi, til NRK.

Birgitte Jensen Egset

Fagdirektøren Birgitte Jensen Egset har ansvaret for prosjektet med sikre digitale postkasser i Direktoratet for forvaltning og IKT (Difi).

Foto: Difi

Direktoratet med ansvaret for innføringen av sikker digital kommunikasjon mener at også ende-til-ende-kryptering medfører ulemper som må vurderes opp mot gevinstene.

Som eksempler trekker de fram at krypterte meldinger blir uleselige hvis innbyggeren glemmer koden eller mister smartkortet, at søk ikke fungerer i kryptert informasjon og at tilgang fra ulike plattformer er vanskelig fra for eksempel nettbrett.

Ende-til-ende-kryptering for å gi økt konfidensialitet, vil dermed kunne gi redusert tilgjengelighet.

– Er det ikke slik at dette er mindre sikkert en vanlig papirpost, og at det kan sammenlignes med å åpne konvoluttene på posthuset før de blir lagt i postboksene, slik NSM skriver?

– Nei, det er en vurdering som vi ikke deler. Vår vurdering er at løsningen er vel så god som vanlig papirpost, sier Egset.

Difi forteller at sikkerhetsvurderingen fra ekspertene i NSM ikke er like bred som den de har gjort med en risikovurdering.

– De har så langt vi kjenner til heller ikke gjort en kost-nytte-vurdering av tiltaket. Noe som vi er pålagt å gjøre etter økonomiregelverket når vi skal i gang med å etablere en slik løsning som dette, sier fagdirektøren.

– Handler dette altså om penger?

– Nei, dette handler ikke utelukkende om penger. Det handler i størst grad hvordan man veier tilgjengelighet og konfidensialitet, svarer Egset.

Fagdirektøren forteller også at planene om at alle skal få informasjon fra det offentlige digitalt også inneholder en mulighet for å reservere seg. Dermed kan man velge aktivt å fortsette å få informasjon fra det offentlige på papir i vanlige brev.

– Er det trygt for deg og meg å motta sensitiv informasjon fra det offentlige gjennom disse postkassene?

– Ja, det mener vi. Dette skal bli en trygg, god og brukervennlig løsning, sier Egset.

SISTE NYTT

Siste meldinger