Staten har en intern konflikt på gang, der Nasjonal sikkerhetsmyndighet (NSM) kommer med sterk kritikk av sikkerhetsnivået i digital postkasse.
Tjenesten er ute på anbud, og her stilles det ikke krav til kryptering hele veien fra avdender til mottaker, såkalt ende-til-ende-kryptering.
– Dette er tilsvarende at man sender papirbrev og postbudet åpner brevet før hun legger det i mottakerens postboks, skriver senioringeniør Lars Olaussen hos NSM på virksomhetens blogg.
Les også: Altinn har ferdig digitalpostløsning, men regjeringen vil kjøpe nytt
Fare for flere Kenneth-saker
Direktoratet for forvaltning og ikt (Difi) har ansvaret for å anskaffe den nye tjenesten og går for en løsning der postboksleverandørens eget sertifikat benyttes for kryptering.
Da blir brevene dekryptert hos leverandøren når de plasseres i mottakers innboks.
Dermed er innholdet tilgjengelig i åpen tekst, og medarbeidere hos den leverandøren har mulighet til å lese brevene mellom offentlige etater og innbyggere.
Dette kan være sensitiv informasjon, som helse- eller skatteopplysninger.
NSM har fått direkte informasjon fra Difi om at det ikke vil bli stilt slike krypteringskrav fordi det ikke er mange konfidensialitetssertifikater tilgjengelig i markedet og at ingen av postboksleverandørene kan tilby støtte for ende-til-ende-kryptering.
NSM aksepterer ikke denne holdningen.
«Når mer sensitiv informasjon enn skatteopplysninger blir gjort tilgjengelig elektronisk, er det nødvendig å sikre at man ikke opplever flere tilfeller av Altinn-Kenneth, som Barnefordelings-Bjarne eller Syfilis-Synne», skriver Olaussen på NSMs sikkerhetsblogg.
Les mer: Altinn-brukere ble logget inn på feil konto
Angrep på hele lageret
Her trekker han også frem Difis holdning om at kryptering hele veien ikke øker sikkerheten fordi folk flest har for dårlig sikkerhet på sitt private datautstyr.
NSM mener at trusselen mot slikt datautstyr er lav i forhold til hvor fristende det vil være for hackere å gå løs på en postboksleverandørs komplette dokumentlager.
– Konsekvensen av et sikkerhetsbrudd hos leverandøren vil ha store konsekvenser. Alle lagrede dokumenter her kan bli kompromittert eller komme på avveie, skriver senioringeniøren.
I sitt høringssvar til Difi i vinter foreslo NSM at problemet løses med en offentlig eID.
Dette er et id-kort med krypteringsnøkler som kan benyttes for ende-til-ende-sikring av dokumenter mellom det offentlige og landets borgere.
– En slik løsning vil også kunne benyttes av andre og legge grunnlaget for sterkere autentisering, integritets-og konfidensialitets-beskyttelse på internett.Dersom slik offentlig eID ikke etableres, anbefaler NSM at Altinn styrkes og sikres slik at denne tjenesten kan håndtere all kommunikasjon mellom det offentlige og landets borgere, skriver NSM-sjef Kjetil Nilsen.
Ensidig fra NSM
Difi mener at NSM bare tenker på «konfidensialitetsbeskyttelse og kryptering», mens direktoratet må se hele bildet. Det handler om risikovurderinger, akseptabel risiko og å finne balansen mellom konfidensialitet, integritet og tilgjengelighet.
– Kryptering hele veien har ulemper som må veies opp mot gevinstene, sier fagdirektør Birgitte Jensen Egset i en kommentar til Teknisk Ukeblad. Hun leder Sikker post-programmet hos Difi.
Ett eksempel er at krypterte meldinger blir uleselige hvis innbyggeren glemmer koden eller mister smartkortet.
– Og søk fungerer ikke i kryptert informasjon. I tillegg blir tilgang fra ulike plattformer, som nettbrett, vanskelig, påpeker Egset.
Kan bli bygget inn senere
Difi avviser ikke at det er behov for ende-til-ende-kryptering, og det kan bli aktuelt senere, i følget et brev fra Difi til NSM 18. juni i år.
Dette er NSM skeptisk til. Deres erfaring er at det er mer ressurskrevende å få til en sikker løsning når man tar hensyn til sikkerhet senere i utarbeidelsen av løsningen.
Direktoratet avviser at dette betyr større kostnader.
– Postkasseleverandørene kan ta slik funksjonalitet i bruk uten at avsendevirksomheter eller meldingsformidler må endre sin løsning. Dermed vil det ikke påløpe økte kostnader for å ta i bruk ende-til-ende kryptering i løsningen, kvitterer fagdirektøren hos Difi.
Ingen ny Kenneth-skandale
– Hva med faren for en ny Kenneth-sak? NSM advarer mot at dekryptering hos leverandøren øker faren for innsyn fra uvedkommende.
– Her er det en rekke andre sikkerhetskrav til leverandørene som skal hindre uautorisert innsyn. Her vil jeg ikke gå i detaljer, både av sikkerhetshensyn og fordi detaljene i kravspesifikasjonene ikke er gjort kjent så langt i anbudsprosessen, sier Birgitte Jensen Egset.
Les også:
Dette fylket har det kjappeste bredbåndet
Mens Hiroshi Ishiguro snakker med oss, holder hans robotkopi foredrag i Sveits