– Altinn har vokst seg for stor

Sikkerhetsekspert Geir Engh-Hellesvik i KPMG er kritisk til å øke mengden sensitiv informasjon i Altinn. Tjenesten har vokst ut av sine egne sko, mener han.

Geir Engh-Hellesvik, sikkerhetsekspert KPMG

Til tross for eller på grunn av den store veksten i Altinn mener Geir Engh-Hellesvik, sikkerhetsekspert i KPMG, at man bør tenke nøye over om Altinn-løsningen skal fortsette.

Foto: Sjur Ø. Knudsen / NRK

Alle tjenestene på Altinn er nå stengt, etter at det tirsdag kveld ble meldt om et alvorlig sikkerhetsbrudd i systemet.

Et mål at Altinn skal bli større

Da personer som ønsket å se sin selvangivelse logget seg inn i systemet i går ettermiddag, fikk de opp personopplysninger om et ektepar i Oslo. Skattedirektoratet har varslet Datatilsynet og Finansdepartementet om hendelsen.

Da selvangivelsene ble gjort tilgjengelige i går, gikk Altinn ned. Men Altinn er mer enn bare et nettsted der vi kan sjekke skatteoppgjøret og levere selvangivelsen. Altinn er en felles innrapporteringskanal fra bedrifter og personer til det offentlige.

Altinn er et felles nettsted for flere offentlige etater, og det er et mål at flere skal slutte seg til løsningen. Men nå er Altinn stengt, og vil ikke bli åpnet igjen før feilen er rettet.

Alvorlig sikkerhetsbrudd hos Altinn

Sensitive opplysninger om et ektepar i Oslo ble i går offentliggjort i Altinn.

Foto: Altinn / Skjermdump

– Har vokst ut av sine egne sko

– Dette er et system som ble lagd for et titall oppgaver for tre etater. og så er det puttet på stadig mer. I dag skal det i Altinn utføres 700 oppgaver for over 30 etater, sier Geir Engh-Hellesvik, sikkerhetsekspert i KPMG.

Han mener at ideen med Altinn er god, og at løsningen forenkler oppgavene for vanlige folk og næringslivet.

Løsningen er internettbasert der skjemaene sendes elektronisk fra en internettportal, enten direkte fra den skjemaet gjelder, eller via profesjonelle skjemautfyllere som regnskapsførere. For bedrifter er det også mulig å rapportere direkte fra virksomhetens datasystemer uten å fylle ut skjemaet på skjerm.

– Altinn er et offer for sin egen suksess. Altinn løser en enorm oppgave, men er bygget med for liten kapasitet, og har billedlig talt vokst ut av sine egne sko, sier Engh-Hellesvik.

Store mengder sensitiv informasjon

Han mener derfor at man nå må se om denne løsningen skal fortsette.

– Altinn har blitt for stort i forhold til det det skal takle av oppgaver. Og det er lite fornuftig å pakke flere tjenester inn i Altinn, spesielt etter tirsdagens konfidensialitetsbrudd, mener sikkerhetseksperten.

På oppdrag fra Nærings- og handelsdepartementet utførte DNV i fjor en rapport som blant annet konkluderer med at Altinn er ustabilt. Rapporten er unntatt offentligheten, og lite er derfor kjent fra den.

Engh-Hellesvik er ikke kritisk til at en teknisk løsning som Altinn går ned én dag i året, når «alle» skal sjekke selvangivelsen sin. Men han mener at tirsdagens konfidensialitetsbrudd er alvorlig.

– For det finnes helt sikkert mørketall, sier Engh-Hellesvik.

Konfidensialitetsbruddet er spesielt alvorlig når Altinn ønsker å bli større, blant annet med planer om å innlemme storsatsingen Digipost.

– Mengden sensitiv informasjon der vil øke. Og den er allerede betydelig, sier Engh-Hellesvik.