Bare dager etter at det var stor oppmerksomhet rundt mulige svakheter ved tellemaskinene under norske valg, kommer det fram nye avsløringer om sikkerheten ved valgdatasystemene.
IT-konsulenten Jostein Tveit skriver på Twitter at han fikk tilgang til flere såkalte klientsertifikater fra Valgdirektoratet som lå åpent tilgjengelig på nett.
Dette er datafiler som valgmedarbeiderne i kommunene installerer på datamaskinen som brukes for å sende inn valgresultatene via internett. Sertifikatene fungerer som en legitimasjon og dersom man ikke har det riktige sertifikatet installert, vil man heller ikke få tilgang til å koble seg til valgadministrasjonssystemet EVA.
– Ville ikke fått tilgang
Ifølge direktoratets bruksanvisning for sertifikatene får brukerne tilsendt et passord på tekstmelding som de må taste inn for å aktivere det.
Uten dette passordet ville man altså ikke kunne koble seg opp mot EVA.
Men etter at Valgdirektoratet ble gjort oppmerksom på sikkerhetssvikten i går, valgte de likevel å deaktivere de tre sertifikatene som hadde havnet på avveie.
– Dette innebærer ingen sikkerhetsrisiko. I henhold til rutinene våre ble disse sertifikatene likevel deaktivert og kommunene det gjelder fikk tildelt nye, sier kommunikasjonssjef i Valgdirektoratet Kristina Brekke Jørgensen til NRK.
VARSLET: Denne meldingen ble lagt ut på nettsiden for valgmedarbeidere i går etter at feilen var rettet.
Foto: SkjermdumpJørgensen forklarer at selv om man hadde hatt passordet til sertifikatene, ville man likevel ikke kommet lenger enn til påloggingssiden for EVA. Deretter må man logge inn med for eksempel BankID.
– Tofaktor-pålogging gjøres via ID-porten, og kun autoriserte personer med bruker i EVA kan logge seg inn, sier Jørgensen.
Nettleser-problem
Jørgensen bekrefter at sertifikatene legges åpent ut på nettet, men adressene skal ikke være søkbare for uvedkommende. Kommunene må derfor få tilsendt den eksakte nettadressen for å kunne laste disse ned.
Det var disse adressene som likevel ble søkbare i søkemotoren Bing.
Ifølge Jørgensen skyldes dette en oppdatering i Microsofts nettleser Edge (tidligere Internet Explorer) i mai i år.
Nettadresser som åpnes i Edge blir automatisk sendt til søkemotoren Bing. Så selv om lenken kun var ment for én person, blir den søkbar for hele verden i det mottakeren åpner den i Microsoft Edge.
Jørgensen avviser at de legger ansvaret på Microsoft.
– Ansvaret for sertifikatene ligger hos Valgdirektoratet. Oppdateringene i Microsoft Edge er en forklaring på hva som har skjedd, sier hun.
Jørgensen sier de er takknemlige for at de ble kontaktet om sertifikatene, og at de vil se på rutinene i fremtiden.
– Vi evaluerer årets valggjennomføring, og bruker disse erfaringene inn i arbeidet med å stadig forbedre valggjennomføringen.
Flere tilfeller
Tidligere i år fortalte NRK at flere nordmenns fødselsnummer var søkbart på nett hos Brønnøysundregistrene. Også kundedokumenter fra Felleskjøpet kunne søkes opp via Microsofts søkemotor Bing.
– Det er generelt en problemstilling at mange nettjenester ikke har stengt søkemotorene ute fra informasjon som ikke skal være søkbar, sier Torgeir Waterhouse i IKT Norge.
Han tror det mest av alt oppleves pinlig at valgsertifikatene fram til i går lå tilgjengelig for hele verden.
– Disse sertifikatene er passordbeskyttet og har ikke noen verdi i seg selv dersom man laster de ned. Det er mange sikkerhetssteg videre i systemet og man måtte hatt innsideinformasjon om man skulle kunne brukt det til noe som helst, sier Waterhouse til NRK.
