Datatilsynet oppgitt over usikre nettjenester

Glad Minfastlege ble stengt, men mange flere synder.

Nettjenesten Minfastlege ble raskt stoppet da justisminister Knut Storberget denne uken ble klar over løsningens horrible mangel på sikkerhet.

I flere år har nettjenesten fungert som den reneste ID-knekker. Uten autentisering har hvem som helst her kunnet avdekke folks fødselsnummer.

- Det er gledelig at vi nå kan konstatere at politisk ledelse har sett alvoret i situasjonen og tatt affære, sier avdelingsdirektør Leif T. Aanensen i Datatilsynet, som i flere år har advart om løsningens manglende sikkerhet.

Dette er imidlertid ikke den eneste nettjenesten som utgjør et problem med hensyn til personvern og sikkerhet mot ID-tyveri.

- Det er vanskelig å tallfeste hvor mange løsninger det dreier seg om, men veldig mange nettsider i privat og offentlig sektor har svakheter, sier Datatilsynets avdelingsdirektør.

Problemet er ofte at innloggingsmekanismen er svak. Enkelte baserer seg på én-faktor autentisering, altså bare brukernavn og passord, ifølge Aanensen.

- Det anser vi som en svak autentiseringsmekanisme. Mange tjenester beveger seg i grenseland i forhold til informasjonen de skal beskytte.

Aanensen ønsker ikke å navngi konkrete eksempler på hvem som synder, men forteller at det dreier seg om nettjenester både blant televirksomheter, offentlig og kommunal sektor.

Han legger til at kritikken deres også skyldes manglende infrastruktur i samfunnet. Datatilsynet har i mange år snakket om behovet for sikker elektronisk ID og elektronisk signatur.

- Det er mange gode initiativer til offentlig ID, men fortsatt er situasjonen at en slik infrastruktur ikke eksisterer, sier Aanensen.

Datatilsynet gjennomfører om lag 150 kontroller hvert år, blant annet for å avdekke svakheter ved informasjonssikkerhet. Problemenes blir dokumentert i tilsynets kontrollrapporter. Brudd med regelverket fører til varsel om vedtak som pålegger virksomhetene å utbedre løsningene.

    Les også:

Til toppen