Nyansatt sikkerhets-topp i Difi, Lilian Røstad, mener det hadde vært mer usikkert dersom staten ikke hadde gått for en felles digital postkasse. Tirsdag offentliggjorde direktoratet de fire aktørene som er aktuelle for å bli leverandører av denne tjenesten. (Bilde: Difi)

– Mer usikkert uten fellesløsning

Difi forsvarer digital meldingsboks.

Om kort tid starter forhandlingene med de som vil levere en sikker elektronisk meldingsboks til offentlig sektor. Det er Direktoratet for forvaltning og IKT (Difi) som er ansvarlig for anskaffelsen, som vil bestemme hvem som skal fordele og levere alle offentlige brev som sendes elektronisk.

Men veien frem til anskaffelsen har vært preget av uro. Nasjonal sikkerhetsmyndighet gikk i våres ut og advarte mot løsningen, slik Difi hadde skissert den. De argumenterte for, men har ikke fått gehør for, en komplett ende-til-ende kryperting fra avsender til mottaker. I løsningen som Difi har spekket til leverandørene vil meldingene bli kryptert frem til e-postboksen. I tillegg er det stilt strenge krav til postkasseleverandørenes håndtering av den elektroniske posten.

Satt på spissen: Uten ende-til-ende kryptering vil leverandøren av meldingsboksen, i teorien, kunne smuglese korrespondansen mellom stat og borgere.

– Det er ikke gode og brukervennlige nok løsninger for ende-til-ende kryptering i markedet i dag. Vi har tatt høyde for at slike løsninger kan komme på sikt i anskaffelsesprosessen, men per i dag er dette ikke tilgjengelig i markedet, sier Birgitte Jensen Egset. Hun er leder for Difi sitt program for sikker digital post.

Tirsdag ble det kjent hvilke aktører som konkurrerer om den potensielt lukrative kontrakten. Les mer om det her: Disse kan levere offentlig e-post

- Vi har gjort en bredere sikkerhetsvurdering enn hva Nasjonal sikkerhetsmyndighet har gjort, med

fokus på integritet og tilgjengelighet i tillegg til konfidensialitet, supplerer Tone Bringedal, som er

leder for digital forvaltning i Difi, og tillegger at de er i tett dialog med NSM, både gjennom brev og i den faglige linjen.

Difi har nettopp ansatt Lilian Røstad, tidligere sikkerhetsansvarlig fra Lånekassen, som ny leder for

seksjon for informasjonssikkerhet. På spørsmål om hva som er den største sikkerhetsutfordringer knyttet til en løsning for digital post, svarer hun:

– Det er å ikke tilby en løsning. Det er behov for en felles løsningen for sikker digital post, sier Røstad.

– Det er tilstrekkelig sikkerhet i denne løsningen, påpeker Røstad og viser til at det per i dag ikke

finnes noen gode ende-til-ende krypteringsløsninger som både er sikre og som sørger for at det blir

enkelt å bruke for publikum.

PGP (Pretty Good Privacy) har vært tilgjengelig i over 20 år, men det er fremdeles veldig få som

bruker den, sier Røstad til digi.no.

Det er også en sannsynlighet for at en eventuell server som skal servere den digitale posten ikke vil

ligge i Norge. Siden både et danskeid, svenskeid og irskeid-selskap er blant tilbyderne, og siden Norge er et EØS-land, vil den «digitale postombæringen» kunne skje utenfor landets grenser.

– Her ligger det felles EU-lovgivning i bunn, så kravene til beskyttelse av informasjonen er de samme, sier Egset.

    Les også:

Til toppen