Norsk senter for informasjonssikring (Norsis) gjorde selv en sikkerhetstabbe i jakten på sin nye toppsjef.
Potensielle søkere blir bedt om å kontakte styrelederen på mobil eller e-post, men lenken i e-postadressen fører til en mottaker utenfor organisasjonen.
Lenket til Virke
Tore Larsen Orderløkken har ledet virksomheten siden starten i 2006, men nå er han i ferd med å takke av til fordel for stillingen som konserndirektør for sikkerhet hos it-giganten Evry.
Tidligere i sommer startet jakten på hans etterfølger. Stillingen som ny direktør ble lyst ut, med søknadsfrist 20. august.
Mandag denne uken publiserte Norsis en artikkel på sin egen hjemmeside, med utdrag fra stillingsannonsen.
Teknisk Ukeblad gjør et intervju med styreleder Morten Irgens, som kan fortelle om flere henvendelser fra folk som er interessert i å ta over sjefsjobben.
Under intervjuet oppdager TU en feil med den oppgitte e-postadressen:
Ved å kikke på lenken som er aktivert under styrelederens adresse, åpner Outlook en ny melding med en helt annen adressat:
Jarle Hammerstad, direktør for samfunnskontakt hos Hovedorganisasjonen Virke.
Les også: Microsoft må gi innsyn i epost
Forvekslet
Dette innebærer at mennesker som tar vil ta elektronisk kontakt med Norsis' styreleder om direktørstillingen, i stedet røper sine mulige fremtidsplaner for helt andre personer utenfor organisasjonen.
Irgens kjente ikke til feilen før TU informerte om det under intervjuet.
TU åpnet den aktuelle siden med to ulike nettlesere og fikk samme resultat.
Også styrelederen opplevde det samme: Hans e-postadresse var byttet ut med en ekstern adresse.
– Jeg kan ikke forklare hvordan dette har skjedd, sier Morten Irgens.
– Men jeg skal kontakte ledelsen i Norsis og finne ut av det, understreker han.
Les også: Hele Norge spleiser på 10 professorater i cybersikkerhet
Menneskelig svikt
Hos Norsis tar det kort tid før fungerende direktør Tone Hoddø Bakås kontakter TU.
Hun ønsker å forklare hvorfor landets fremste ekspertorgan på forebyggende it-sikkerhet har publisert lenker som kan sende sensitiv informasjon til feil mottaker.
– Her har det rett og slett skjedd en menneskelig svikt. I tillegg har vi hatt en svikt i våre rutiner for kvalitetssikring, sier Hoddø Bakås.
Teknisk er det snakk om at dataprogrammer husker en lang rekke e-postadresser som er brukt av programmet tidligere. Et e-postprogram vil gjerne hente frem forslag på mottakere når du skriver inn deler av navnet.
– Noen ganger får vi for mye hjelp av e-postsystemene, sier Norsis-sjefen.
Med andre ord har den som forfattet stillingsannonsen bekreftet feil mottaker som programmet foreslo, og ingen har oppdaget lenke-feilen før innholdet ble publisert.
Les også: Avdekket store feil i antiviruspakker - her bryter de seg inn i Symantec
Signaleffekt
Gjennom 12 år har Norsis etablert seg som landets fremste ekspertise på forebyggende sikkerhet.
Ekspertene på Gjøvik er delfinansiert av Justisdepartementet og benyttes flittig som rådgivere og foredragsholdere for både bedrifter og offentlige virksomheter.
– Hva slags signaleffekt kan denne saken gi?
– Vi må bare beklage det som er skjedd. Det viser at menneskelige feil kan skje. Vi kommer til å gå gjennom være egne rutiner på dette, svarer Tone Hoddø Bakås.
– Hvilke konsekvenser kan det få hvis søkere til direktørstillingen sender informasjon om sitt kandidatur til feil mottaker?
– Det avhenger litt av hvor mye detaljer de oppgir i en e-post. I en e-post bør man som en regel ikke oppgi informasjon man mener er sensitiv, nettopp fordi den kan komme på avveier. Tenk bare på hvor ofte e-post blir videresendt til andre. Og jeg tror at søkere til en slik jobb vil være årvåkne personer og velge å ringe styrelederen hvis det er snakk om sensitive temaer, sier hun.
Se TUTV om Norsis advarsler: Slik foregår et innbrudd i mobilen din
Næringslivets Sikkerhetsråd
I dette tilfellet har hun rett.
Jarle Hammerstad hos Virke opplyser at han ikke har mottatt noen e-poster relatert til toppjobben i Norsis.
– Dette var ukjent for meg.
Han satt som styreleder for Næringslivets Sikkerhetsråd inntil i fjor.
– Det kan være forklaringen på at min adresse kan ha dukket opp i Norsis' systemer, sier Hammerstad.
– Med den bakgrunnen - hvilken holdning har du til at Norsis selv har gjort en slik feil?
– Det ønsker jeg ikke å kommentere så lenge det ikke ble feilsendt noe e-post til meg. Men det er fint at du gjorde meg oppmerksom på saken, sier han.
Norsis har nå rettet opp e-postlenken med korrekt adresse.
Les også:
Hva er den største utfordringen ved personvern?
Universitetet i Oslo nest best i Norden på nett
Norge får Nordens beste anlegg for hemmelige data