Det er ikke lenge til det har gått to døgn siden Kenneth uforskyldt ble rikskjendis. Det som kanskje fortonet seg som en liten glipp i starten vokste seg på få timer til en stor og nasjonal skandale som i fylte alle mediekanaler. Hva det gjelder? Vel, hvis du er en av de få som ikke vet hva det gjelder – så ser nettsidene slik ut i skrivende stund:

image

Ja, det dreier seg om Altinn; den store snakkisen de siste par dagene. Det startet mandag ettermiddag på følgene måte i hht. Jørn Ferkingstad i Altinn sitert av Aftenposten.no:

Klokken 18.17 logget vedkommende inn på Altinn. Mens han var logget på skjedde det en alvorlig feil i løsningen. Skjermbildet fra hans side er blitt feilaktig lagret i minnet på en av våre servere. Alle som har prøvd å logge seg inn mellom 18.17 og 18.35 har sett denne siden.

“Vedkommende” er altså Kenneth. Og fordi mange tusen logget seg på Altinn i disse kritiske minuttene, har informasjon om ham blitt vist tilsvarende mange ganger.

Urovekkende holdning

Det som er urovekkende i artikkelen ovenfor er at Informasjonsdirektør Ove Skåre i Datatilsynet sier: “Det at en person opplever at tusenvis av folk får se akkurat hans selvangivelse skal man ta på fulle alvor. Det er viktig at denne personen får en unnskyldning og om nødvendig også kompensasjon. Når det er sagt, vil slike ting skje fra tid til annen. Systemene blir aldri ufeilbare.”

Det første har han rett i. Det siste er bør ikke være holdningen her til lands; dvs. at vi må akseptere at slikt vil skje fra tid til annen. Det er faktisk en fallitterklæring i forhold til å sikre sensitiv informasjon for befolkningen. Det at det glipper ut et og annet bilde fra fototjenester på nettet eller at statusoppdateringer på Facebook siver ut er så, det at personlig informasjon med fødselsnummer lekker ut fra myndighetene er noe helt annet. Næringsminister Trond Giske har heldigvis en annen holdning i hht. Digi.no:

Det er helt uholdbart at Altinn må stenge ned systemene sine på den dagen alle vil sjekke selvangivelsen sin.

Og bra er det. Og dette følges opp av andre sentrale personer. Direktør i Næringslivets Sikkerhetsråd, Erlend Løkken, sier følgende i hht. Aftenposten.no: “Det er svært betenkelig at så alvorlige sikkerhetsbrudd og tillitsbrudd kan inntreffe i 2012, spesielt etter alt styret har vært med Altinn tidligere.” Videre sier han, helt riktig, at dette skaper usikkerhet om vi faktisk kan stole på informasjonen vår på Altinn. Og det er poenget her: Tillitssvikt. Professor Svein Johan Knapskog sier i samme artikkel: “Dette er på ingen måte noen vanlig feil og jeg vil tro at Altinn ikke uten videre kan slutte at dette er et engangstilfelle”. Det kan man trygt kalle urovekkende.

Etterpåklokskap

Nå er det lett, i etterpåklokskapens lys, å skrike opp om denne saken med kritikk i både øst og vest. Det har mange rikspolitikere blitt friste til å gjøre, og da spesielt de som er i opposisjon på Stortinget. Noen har vektige argumenter, mens andre skummer fløten av en sak for å tjene billige politiske poenger. Det tar likevel ikke bort alvoret i en situasjon som koker ned til følgende: Manglende datasikkerhet og tillitsbrudd.

Og nettopp det har Skatteetaten allerede skjønt når de la ut følgende melding i går:

Fungerende skattedirektør Svein Rune Greni svarte i går på spørsmål i en nettdebatt hos VG, noe du kan lese her hvis du vil ha mer etterpåklokskap. Jeg har for øvrig gjennomgått diverse nettnyheter for å prøve å destillere det hele ned til en knippe gode innlegg – men det ble rett og slett for mye. Det rant over i alle kanaler. Så la meg bare ta med forsiden på VG nedenfor som viser at dette ble en stor sak, og så overlater jeg til leserne selv å søke på Google.

image

Bak kulissene

Hvis vi går litt bak kulissene, så er det kommet frem at Altinn ble “slaktet sønder og sammen” av DNV i fjor i følge NA24.no. Dette er en evaluering som Trond Giske betimelig offentliggjorde i går, og der levnes Altinn som system liten ære. Rapporten kan du lese her.

Oppsummert er det ikke tvil om at dette er en skandale, og nyhetsbildet har helt riktig vært fylt av denne saken de siste par dagene. Mange kritiske og kompetente røster har kommet til orde, mens andre har skreket opp med tynne begrunnelser for å få 15 sekunders berømmelse. Nå har den store nyhetsbølgen lagt seg, og Altinn jobber på spreng for å få rettet feil slik at Altinn igjen kan vende tilbake til normalen.

Problemet nå er ikke at privatpersoner ikke får sjekket selvangivelsen, men at norsk næringsliv ikke får utført viktige tjenester i portalen. På E24.no sier fiskeeksportør Arne Røst i Ålesund følgende: “Portalen må komme opp igjen i løpet av dagen, ellers vil det være en katastrofe. Vi er avhengige av å få utstedt rapporter via Altinn, og hvis ikke det er mulig så vil eksporten stoppe opp”. Klarere kan det ikke sies.

Når Altinn er fikset ikulissene, er det tid for analyse, læring og ettertanke. Det blir en minst like viktig debatt som kommer til å berøre mange forhold, og da spesielt datasikkerhet, personvern og privathet på Internett. Jeg hilser en slik debatt velkommen fordi både samfunn, bedrifter og personer for lenge har unnlatt å se på medaljens bakside; dvs. hva som skjuler seg bak Internett sin fortreffelighet og enkelhet i det å lagre og dele data. På baksiden skjuler det seg mange farer, noe medias søkelys på sikkerhetsbrudd på Internett det siste året viser.

Andre blogginnlegg

Jeg har tidligere blogget om datasikkerhet, eller mangelen på det, og innleggene finner du ved å klikke her. Jeg tillater meg likevel å nevne mitt forrige innlegg om 2012 som krypteringens år i en usikret verden. For kryptering har mitt selskap Invenia jobbet med i flere år, og vi har nå lansert produktet Ensafer som gjør nettopp det; sikrer sensitiv informasjon som man ønsker å lagre og dele på Internett med bruk av avansert kryptering (uten at brukerne merker det).

Ensafer er ikke en løsning som erstatter Altinn, ei heller bøter på deres problemer, men jeg nevner det fordi mange land i verden har begynt å fokusere på informasjonssikkerhet; spesielt USA og EU. Norge har liksom haltet etter, men jeg tipper pipen får en annen lyd etter Altinn-skandalen. Og mange mener at kryptering er den beste måten å sikre sensitiv informasjon på.

La meg også nevne at Paul Chaffey har skrevet et godt blogginnlegg i dag med tittelen “Noen tanker om Altinn”. Og vi er ikke de to eneste som blogger om dette nå, så forvent mange synspunkter uttrykt via blogger og sosiale medier.

Kloke ord

La meg på tampen ta med et sitat fra personvernforkjemperen og tidligere direktør i Datatilsynet Georg Apenes hentet fra VG.no:

Jeg tenker at det enda er noen dager til 1. april. Dessverre er ikke dette en spøk. Jeg tror dette er noe vi vil oppleve at skjer igjen; Systemene bryter sammen og det får fatale følger for en eller flere. Ting som ikke skal skje skjer likevel. Det er ikke noe nytt i det.

Han mener myndighetene ikke er i stand til å ta personvernet og sikkerheten til den enkelte alvorlig nok. “IT-systemene er designet for katastrofer. Denne gangen var det en tabbe. Neste gang kan det være terrorister eller andre som utnytter systemene”, sier han. Og det er mitt poeng: Informasjonssikkerhet må ivaretas på en bedre måte. Det kommer til å tvinge seg frem.

Nav i hælene

Til slutt tar jeg med en nyhet som druknet i Altinn-skandalen: NAV ble også rammet av et sikkerhetsbrudd på tirsdag. En mann fra Karmøy fikk fri adgang til en søknad om uførepensjon fra en ukjent kvinne. Mer om det her.

Jeg har sagt mitt . Diskusjonen om Altinn og datasikkerhet vil imidlertid fortsette. Heldigvis.