Det er brutt ut strid mellom Nasjonal sikkerhetsmyndighet (NSM) og Direktoratet for forvaltning og IKT (Difi) om sikkerheten i den digitale postkassen som regjeringen ønsker å innføre for landets innbyggere fra neste år. Striden står mellom to store og meningsberettigede statlige aktører innen sikkerhet og IKT, noe som merkes i landskapet. NRK og Teknisk Ukeblad har allerede vært ute med gode artikler om saken.

NSM-logo

Difi-logo

Siden jeg jobber med informasjonssikkerhet og kryptering med produktet Ensafer følte jeg behov for å blogge om denne nyheten. Nå kan man si at dette er et smalt tema som ikke fanger den brede oppmerksomheten. Men slik bør det ikke være siden de fleste i Norge får en slik digital postkasse i løpet av neste år. Og varsleren Edward Snowden har til fulle vist en hel verden i det siste at Internett ikke er en sikker sone. Tvert imot. Dermed skjønner alle at tjenester vi bruker til daglig ikke har fullverdig sikkerhet mot hacking, trojanere, FBI og andre som ønsker å snoke i dine data hos f.eks. Facebook, Twitter, Dropbox, Google eller Microsoft. Problemet er stort og økende, så vi ser bare toppen av isfjellet.

Bakgrunn for nasjonal digital postkasse

Fornyings-, administrasjons- og kirkedepartementet (FAD) sendte i november i fjor ut en pressemelding om en anbudskonkurranse om levering av digital post til innbyggere og næringsliv i Norge. I ingressen stod det: “I 2014 skal du selv få velge hvilken digital postkasse du vil bruke for å motta digital post fra det offentlige. Dette er klart etter at fornyingsminister Rigmor Aasrud har besluttet at de digitale postkasseleverandørene skal få konkurrere om disse tjenestene.” 

Regjeringens DigitaliseringsprogramForslaget er et ledd i regjeringens digitaliseringsprogram som ble lagt frem i april 2012 med mål om å forenkle og effektivisere offentlig sektor – og spare penger. Det var en lengre strid i fjor om utvikling og leveranse av den digitale postkassen skulle konkurranseutsettes eller om statlige Altinn skulle brukes. Konklusjonen ble det første. Heldigvis.

Difi fikk i oppgave fra FAD å forberede og gjennomføre anskaffelsesprosessen, og de utarbeidet derfor et utkast til kravspesifikasjon som de ba om tilbakemelding på i en artikkel på sine nettsider den 21.12.12. En rekke aktører ga sitt høringssvar ved fristens utløp den 31.01.13, herunder NSM, og rekken av svar finnes på Difi sine nettsider her. For interesserte sjeler finnes Difis høringsbrev her og kravspesifikasjonen er her.

I april i år sendte FAD ut en pressemelding om at regjeringen foreslår endringer i forvaltningsloven slik at digital kommunikasjon blir hovedregelen når forvaltningen kommuniserer med innbyggere og næringsliv i fremtiden. Det er i seg selv en stor milepæl i Norge siden vi i alltid har hatt fysisk post som standard med digital post som opsjon. Det er på høy tid å innføre dette, både for å effektivisere det offentlige og gjøre ting enklere for borgere og næringsliv. Det blir mulig å reservere seg slik at man opprettholder dagens ordning med fysisk post, noe som er viktig for noen (men stadig færre) personer.

Den 31. mai i år sendte FAD ut en ny pressemelding der det heter: “Anskaffelse av digital postkasse for innbyggerne er lyst ut. Alle innbyggere vil få tilbud om å motta sikker digital post fra forvaltningen i sin selvvalgte, digitale postkasse i løpet av 2014.” Den er verdt å lese  da den gir mer informasjon om saken.

Dermed er løpet i gang, anbudspapirene er sendt ut, og fristen for å levere tilbud for prekvalifisering er i morgen. En ny ære er på gang – dog ikke uten torner som denne saken viser.

Stridens kjerne

Kort fortalt består striden i at NSM mener at den digitale postkassen ikke blir sikker nok med dagens leverandørkrav fra Difi, mens Difi på sin side mener at sikkerheten blir ivaretatt på en god nok måte – og at NSM ikke ser helheten i saken. Tonen er skarp fra NSM sin side, og de er tross alt høyeste sikkerhetsmyndighet i Norge. Det at Difi ikke imøtekommer NSM sin kritikk, er mildt sagt interessant – og det vekker nå medienes interesse. Og min.

Litt lengre fortalt: NSM var en av aktørene som ga sitt høringssvar i januar, noe de da skrev om på sin blogg her. De uttrykte skepsis til ulike forhold i kravspesifikasjonen, og anbefalte flere forbedringer med følgende konklusjon:

“NSM anbefaler at det etableres en offentlig eID med krypteringsnøkler som kan benyttes for ende-til-ende-sikring av dokumenter mellom det offentlige og landets borgere. En slik løsning vil også kunne benyttes av andre og legge grunnlaget for sterkere autentisering, integritets- og konfidensialitets-beskyttelse på Internett. Dersom slik offentlig eID ikke etableres, anbefaler NSM at Altinn styrkes og sikres slik at denne tjenesten kan håndtere all kommunikasjon mellom det offentlige og landets borgere.”

Dermed hadde de levert sitt viktigste argument: Løsningen blir ikke sikker nok fordi den mangler “ende-til-ende kryptering”. De har et godt poeng her. Mer om det nedenfor.

I løpet av våren ble det klart at Difi ikke etterkom kritikken, noe som medførte at NSM i juni sendte et skriv til Justis- og beredskapsdepartementet der de uttrykte sin sikkerhetsvurdering. Her gjentar de kritikken fra sitt høringssvar, noe som må sies å være klar melding ut. Det førte i sin tur til et svar fra Difi en uke senere der de tilbakeviser mye av kritikken. Og dermed er de så og si like langt.

Altinn-Kenneth, Barnefordelings-Bjarne og Syfilis-Synne

Siste stikk i saken kom den 26. juni når NSM skrev et blogginnlegg med tittelen “Usikker digital postkasse”. Der oppsummerer de hele saken og gjentar i klare ordelag sin kritikk av Difi. I hht. NRK bekrefter de kritikken også i ettertid. De gjentar altså sitt hovedargument om behovet for ende-til-ende kryptering, og avslutter blogginnlegget slik:

“NSM forstår at det kan være vanskelig å stille krav om at sertifikater skal benyttes for kryptering når slike sertifikater ikke har stor utbredelse i samfunnet. Det er allikevel nødvendig at sikkerheten ligger til grunn for å ta i bruk digitale tjenester. Når mer sensitiv informasjon enn skatteopplysninger blir gjort tilgjengelig elektronisk, er det nødvendig å sikre at man ikke opplever fler Altinn-Kenneth tilfeller, som barnefordelings-Bjarne eller Syfilis-Synne. De siste ukers avsløringer om spionasje, utro tjener og hacking viser tydelig hvor viktig konfidensialitetsbeskyttelse og kryptering er.”

Altinn-Kenneth høres kryptisk ut, og refererer det til en dataskandale i fjor vår når Altinn brøt sammen og andre fikk opp hans sin selvangivelse på Altinn i et gitt tidsrom. Det har jeg tidligere blogget om her.

Hva er egentlig problemet?

Det er et godt spørsmål som det er vanskelig å svare enkelt på. Men NRK-artikkelen sier det på en god måte i sin ingress: “Nasjonal sikkerhetsmyndighet advarer sterkt mot forslaget til digital postkasse fra det offentlige. Statens egne eksperter frykter at sensitiv informasjon, for eksempel mellom leger og pasienter, kan komme på avveier.” Det bør vekke mange siden det kommer fra NSM.

Videre beskrives de problemet slik: “E-post i seg selv er ikke sikkert. I dagens dataverden er vanlig e-post uten ekstra sikkerhetstiltak å regne som å sende teksten på baksiden av et postkort: Alle kan i teorien lese budskapet på veien fra deg som avsender til den lander i postkassa til mottakeren…Den digitale e-posten i seg selv er ikke lukket inne i noen konvolutt som ikke er lov å åpne, slik reglene postverket krever for god, gammeldags analog post.” Godt sagt.

Det er i slike tilfeller man bruker kryptering for å kode innholdet slik at det ikke kan leses av andre enn avsenderen eller den/de som den autoriserer til å lese innholdet. Det skjer ved bruk av krypteringsnøkler. Dette skal brukes i den nye nasjonale postkassen, men da ikke ende-til-ende mellom avsender og mottaker. I stedet brukes det bare delvis slik at leverandøren av postkassen kan åpne innholdet fordi man bruker dennes krypteringsnøkkel. Det blir som å ha en husnøkkel som er en kopi av en nøkkel som en fremmed person har. Ikke noe mange ønsker hvis de ikke må. NSM beskriver dette treffende på bloggen sin:

“Dette er tilsvarende at man sender papirbrev og postmannen åpner brevet før hun legger det i mottakerens postboks.”

De krever derfor at det benyttes ende-til-ende kryptering, noe de skriver at Difi ikke vil gjøre begrunnet med at det ikke er mange konfidensialitetssertifikater tilgjengelig i markedet og at ingen av postboksleverandørene kan tilby støtte for ende-til-ende-kryptering “out of the box” i dag. NSM har rett i at ende-til-ende kryptering er eneste måte å gi fullgod sikkerhet slik at ikke meldingsformidler eller postkasseleverandør får innsyn i innholdet. Difi sin begrunnelse er nok riktig mtp. dagens markedssituasjon, men det er etter mitt syn ikke et godt nok argument mtp. en fremtidig løsning. Det er stadig flere som tilbyr slike sertifikater, og det er også løsninger som tilbyr ende-til-ende kryptering som kan brukes i fremtidige løsninger – selv om de ikke er “out of the box” i dag. Her er det nok snakk om valg av perspektiv og hvilket sikkerhetsnivå man vil sette for løsningen. Det er ikke mitt bord å avgjøre.

Cloud.pngDifi argumenterer også med at innbyggernes sikkerhetsforståelse er lav og at utstyret de bruker kan være dårlig sikret, noe som setter begrensninger på hva slags informasjon som kan sendes selv om ende-til-ende kryptering brukes. Her svarer NSM helt rett ved å påpeke at trusselen mot den enkeltes datautstyr er betydelig mindre enn mot postboksleverandørens komplette lager av alle dokumenter til befolkningen – dersom det lagres ukryptert.

Det er gode tekniske argumenter NSM stiller opp med, noe jeg støtter. Men det må samtidig nevnes at Difi har gode argumenter mtp. løsningen som helhet vurdert i en større sammenheng der det også foreligger andre krav som tid, kostnad, leveringstid, etc. Jeg anbefaler derfor at Difi sitt svarbrev til NSM leses for å belyse saken fra begge sider.

Hva er så løsningen?

Det har vært utallige saker i media det siste året om datainnbrudd som viser at mange kjente tjenester ikke er sikre nok, og Edward Snowden viser hvor lett det er som ansatt å ta med seg informasjon fra innsiden. Så det er ikke bare eksterne aktører som er en trussel, også ansatte hos leverandører og andre utgjør en trussel slik mange har påpekt – f.eks. EU sitt eget sikkerhetsorgan Enisa som i denne rapporten bl.a. tar opp det som en sikkerhetsrisiko. Man må altså være den eneste som har nøkkelen til sitt eget hus.

Rent teknisk har NSM rett i at ende-til-ende kryptering er løsningen. Det at aktuelle leverandører ikke har det pr. i dag, og derfor ikke kan levere raskt nok, er naturligvis et problem. Men det finnes i dag løsninger som bruker sertifikater og krypteringsnøkler for å gi ende-til-ende kryptering på en god og sømløs måte – om enn ikke som digitale postkasser slik Difi sier det.

Ensafer 1

La meg bruke eget produkt som eksempel siden vi ikke er aktuell leverandør her: Ensafer krypterer sensitiv informasjon man ønsker å lagre og dele via Internett ved bruk av ende-til-ende kryptering, og vi gjør det både ved å kryptere i egen nettsky og ved å kryptere andre løsninger som Dropbox. Og vi har nå en intern betaversjon som viser at vi tillegg kan kryptere epost med tilsvarende kryptering. Og den gode nyheten er at all kompleksitet og bruk av krypteringsnøkler og sertifikater er skjult for brukerne. Sikkerhetsmodellen har basis i forskning ved Universitetet i Tromsø der Invenia for tiden kommersialiserer denne forskningen i form av et produkt som skal skaleres globalt. Selv om vi kun er en av få løsninger som gjør dette i verden i dag, kommer det stadig flere løsninger på ulike områder.

Det er muilg å løse, men tar sannsynligvis lengre tid enn det Difi har. Og de mener at dagens krav uten slik kryptering gir god nok løsning. Det kan jeg ikke motsi da det er deres bord. NSM kan imidlertid si dem imot med fylde, så det blir spennende å se utgangen på denne striden. Stay tuned!

Til slutt vil jeg anbefale å lese artiklene hos NRK og Teknisk Ukeblad som var opphavet til mitt blogginnlegg.