Altinn slo BankID-alarm

Fryktet ny selvangivelse-kollaps.

Et notat digi.no har fått tilgang til viser at Altinn var svært bekymret for hvilke konsekvenser innføringen av BankID i Altinn ville få på systemet når selvangivelsene blir lagt ut i april.

Skandalene

Altinn-løsningen er statens store prestisjeprosjekt i arbeidet med å digitalisere offentlig sektor. Men kritikken har haglet mot systemet som ikke har taklet trafikken når selvangivelsen både i 2011 og 2012 ble lagt ut.

Altinn-kollapsene har av flere blitt sett på som en av de store truslene mot digitaliseringsarbeidet som nå pågår for fullt i offentlig sektor.

BankID

I fjor høst ble BankID innført som identifikasjonsløsning på Altinn og ID-porten. Siden svært mange benytter seg av BankID for å få tilgang til nettbanker så myndighetene at de kunne øke bruken av Altinn og andre offentlige nettjenester betraktelig ved å koble inn systemet. Dette har blitt gjort i Danmark og det har ikke manglet på danske råd til fornyingsminister Rigmor Aasrud om å bruke BankID.

Advarte

I notatet digi.no har fått tilgang til advarer avdelingsdirektør Kjersti Lauritzen om at BankID blir innført uten at det er testet.

I et notat fra avdelingsdirektør Kjersti Lauritzen advarte Altinn om innføringen av BankID.
I et notat fra avdelingsdirektør Kjersti Lauritzen advarte Altinn om innføringen av BankID.

– AEI (Altinn) stiller seg svært positivt til at BankID innføres som en påloggingsmekanisme i ID-porten, men er kritisk til at BankID innføres uten at det er gjennomført ende-til-ende tester og tester som verifiserer ytelsen ved maks belastning før produksjonssetting. Dette er tester som må gjennomføres i hele verdikjeden Altinn/ID-Porten/BankID, skriver Lauritzen i notatet.

For å komplisere det hele skal det komme en ny selvangivelsesløsning i Altinn II plattformen, WebSA. Prosjektet med dette ledes av skatteetaten innenfor rammene av Altinn II programmet. Innføringen av BankID blir beskrevet som en risikofaktor for det omfattende selvangivelses-prosjektet.

Notatet digi.no har fått tilgang til er sladdet av departementet, så offentligheten får altså ikke svar på hvilke konkrete risikomomenter Altinn-organisasjonen advarte departementet om.

Last ned dokumentet her (pdf)

Ville ha svar

Men i svaret som kom fra næringsdepartementet, som eier Altinn-plattformen, fremgår det tydelig at dette var advarsler som ble tatt på største alvor.

Næringsminister Trond Giske fikk mye kritikk forrige gang Altinn klappet sammen. Bildet er fra en pressekonferanse på Stortinget der ministeren måtte forklare seg.
Næringsminister Trond Giske fikk mye kritikk forrige gang Altinn klappet sammen. Bildet er fra en pressekonferanse på Stortinget der ministeren måtte forklare seg. Bilde: Per Ervland

– Vi har bedt om og fått denne informasjonen tidligere, og lagt informasjonen til grunn i vår behandling av saken. Nå er BankID allikevel lansert som et påloggingsalternativ fra den 27. november, skriver avdelingsdirektør Emma C. Jensen Stenseth i et brev til Altinn-organisasjonen datert 17. desember 2012.

– I forbindelse med at saken ble regjeringsbehandlet, ble FAD, NHD og FIN (fornyingsdepartementet, næringsdepartementet og finansdepartementet, red. anm) bedt om å vurdere risikoreduserende tiltak i forbindelse med bruk av elektronisk ID knyttet til utlegg av selv-angivelsen for 2012. Det er viktig at løsningen nå blir tilstrekkelig gjennomtestet i tide til at det kan tas en beslutning av om BankID bør brukes som påloggingsalternativ i forbindelse med utleggelse av selvangivelsen, skriver departementet.

De ber derfor Altinn komme med sine råd til departementet om dette før fristen for bestilling av testkapasitet går ut. De ber også om informasjon om hvorvidt det er enighet eller ikke mellom Altinn og de andre som har ansvar i denne sektoren. ID-Porten, som sørger for at de som får tilgang til Altinn er identifisert, er Direktoratet for forvaltning og IKT som er underlagt Fornyingsdepartementet.

Med andre ord: Det ble diskutert på regjeringshold om at BankID eventuelt ikke skulle brukes når hundretusenvis av nordmenn logger seg på for å sjekke skatten senere i vår.

Last ned brevet her (pdf)

Hemmelighold

Da digi.no startet å jobbe med saken du nå leser, søkte vi om å få innsyn i en del sentrale brev som har gått mellom Næringsdepartementet og Brønnøysundregistrene /Altinn.

Svaret fra Brønnøysundregistrene, som eier Altinn-plattformen, var at de ville undra dokumentene fra offentligheten. Men etter en klagerunde fikk vi tilgang til en svært sladdet versjon fra Nærings- og handelsdepartementet.

Selv om Altinn-tjenesten er en offentlig eid tjeneste, synes det å være vanskelig å gi offentligheten innsyn i hvilke vurderinger etaten gjør seg i forbindelse med sikkerhet og drift.

– Skal ikke bli et problem

Når vi i digi.no begynte å stille spørsmål til Næringsdepartementet, Skatteetaten, Difi og andre om bekymringene som ble løftet i brevet, var tonen en annen. Ingen ville snakke om bekymringene. Nå er nemlig alt i orden.

– I Altinn vil sikkerhet alltid ha høyeste prioritet. Vi har mottatt informasjon fra BankID og Difi som gjør at vi ikke er bekymret for BankID som del av ID-porten. Vi vil utføre flere tester for ytterligere å forsikre oss om at stabiliteten i BankID ikke skal være et problem. Partene har en felles interesse av at gjennomføringen av selvangivelsesperioden går bra, og er enige om videre framdrift. Vi samarbeider tett i forberedelsene til årets høyvolumsperioder, skriver Altinns informasjonsavdeling i en e-post til digi.no datert forrige uke.

– Løpende dialog

Også i Direktoratet for forvaltning og IKT (Difi) synes ikke bekymringen for årets selvangivelse å være stor. Avdelingsdirektør Tone Bringedal svarer dette på spørsmålene fra digi.no:

«Brønnøysundregistrene, Skattedirektoratet og Difi samarbeider tett og har løpende dialog i forberedelsen av utleggelsen av selvangivelsen. Innfasingen av BankID i ID-porten har sammenfalt i tid med forbedringer og testaktiviteter i Altinn plattform. Spørsmål som Brønnøysundregistrene og NHD har hatt om BankID, er belyst gjennom et felles prosjekt om Altinn og ID-porten som en forberedelse til høyvolumperiodene rundt selvangivelsen.»

Avdelingsdirektøren skriver videre:

«Prosjektet har pågått store deler av høsten, og det er gjort gjennomganger og tester sammen med BankID, og justeringer i både ID-porten og Altinn for å heve ytelsen. Vi føler oss trygge på at vi i fellesskap er godt forberedt på årets høyvolumperioder.»

Samtidig fikk vi dette svaret fra Næringsdepartementet. Der fremgår det at testene ikke er over – men at alt tyder på at det vil være uproblematisk med innføring av BankID.

Det ble full krise i fjor vår da Altinn klappet sammen for andre år på rad. Bildet er fra krisemøte i Brønnøysundregistrene som drifter den sentrale tjenesten. Om dette skjer en gang til vil det kunne skade digitaliserings-strategien til offentlig sektor.
Det ble full krise i fjor vår da Altinn klappet sammen for andre år på rad. Bildet er fra krisemøte i Brønnøysundregistrene som drifter den sentrale tjenesten. Om dette skjer en gang til vil det kunne skade digitaliserings-strategien til offentlig sektor. Bilde: Brønnøysundregistrene

«Nærings- og handelsdepartementet har mottatt en foreløpig vurdering fra Altinn som bekrefter at BankIDs infrastruktur er solid, men at ytterligere testing skal gjennomføres før departementet mottar en endelig tilrådning. Tilbakemeldinger så langt tyder på at bruk av BankID for pålogging i Altinn er uproblematisk, også i forbindelse med tilgjengeliggjøring av selvangivelsen.»

Det er med andre ord ikke sikkert at BankID blir mulig å benytte for å sjekke selvangivelsen – selv om alle de berørte etater nå føler seg ganske trygge på at det vil virke.

Altinn-angst

Dersom Altinn ikke skulle takle årets selvangivelser, for tredje år på rad, er det ventet betydelige reaksjoner. For regjeringen står mye på spill: Deres digitaliseringsstrategi hviler på at offentlig sektor utvikler løsninger som faktisk virker og som ikke klapper sammen.

Dessuten vil en ny nedetid avdekke at det er veldig mange aktører som har sitt å si når det gjelder Altinn og debatten om det er så smart å la en aktør, ett system (Altinn) være en så viktig del av vår digitale infrastruktur vil blusse opp med full styrke.

    Les også:

Til toppen