Ingen håndhever sikre offentlige nettjenester

Statens faginstanser kjente sårbare MinFastlege, men har ingen virkelig myndighet.

MinFastlege fungerte inntil nylig som landets beste verktøy for ID-tyver.

Først da justisministeren selv ble offer for løsningens hacker-potensial, ble det endelig fart på sakene. Nettstedet ble beordret stengt på flekken.

Hvem har egentlig det overordnede ansvaret når sikkerheten svikter ved offentlige nettjenester?

Datatilsynet visste om sårbarheten i MinFastlege og advarte allerede for to år siden, men uten at noen løftet en finger.

Direktoratet for forvaltning og IKT (Difi), som har i oppgave å styrke regjeringens arbeid med fornying av offentlig sektor, var også kjent med nettjenestens svakhet.

- Vi kjente til problemet, og har gjort det i lengre tid, men vi har ikke ansvar eller myndighet til å pålegge noen å utbedre sikkerheten, sier Difi-sjef Hans Christian Holte til digi.no.

Det har ifølge Holte vært kontakt mellom fagmiljøet i IT-direktoratet og miljøene hos Nav som i sin tid var eier av MinFastlege, og senere Helsedirektoratet som nå administererer den.

- Fra vår side har det vært gjort klart at de hadde mulighet til å gå over til en sikrere løsning, men det må være Nav eller Helsedirektoratet som tar beslutningen, sier Difi-sjefen.

Difi utvikler MinID og har fått i oppgave å samkjøre elektronisk ID for alle offentlige tjenestetilbydere. Direktoratet får i år 80 millioner kroner over statsbudsjettet for å utvikle sikre elektroniske ID-løsninger for det offentlige.

Burde ikke de også ha ansvar eller myndighet for å pålegge innføring av bedre sikkerhet? Holte svarer diplomatisk på spørsmålet.

- Det er regjeringen som må bestemme hvor sterke samordningskrav man må ha på IT-politikken. Vi har et godt samarbeid på mange områder, så jeg vil ikke på bakgrunn av denne saken si at vi må ha en utvidet myndighet. Det legges noen sentrale rammer, innenfor disse må hver enkelt virksomhet ta sitt eget ansvar. Vi mener vi er inne på et godt spor, for eksempel gjennom at offentlig sektor nå skal følge felles prinsipper for IT-arktitektur.

- Det viktigste vi gjør er å sørge for at flest mulig tar i bruk MinID, mener han.

- Vanskelig organisert

Heller ikke Norsk Senter for Informasjonssikring (NorSIS), som er en del av regjeringens satsing på informasjonssikkerhet i Norge, har myndighet til å pålegge noen noe som helst. De er bare et rådgivningsorgan, et opplysningskontor for sikkerhet.

- Hvem har skylda når den offentlige IT-sikkerheten svikter?

- Det er litt vanskelig å svare på, men det må jo være de som forvalter opplysningene. Kanskje burde man hatt et departement eller organ som forvalter sikkerheten overordnet, men dette med informasjonssikkerhet er vanskelig organisert fordi det er fordelt på flere departementer, sier seniorrådgiver Hans Marius Tessem i NorSIS.

Per i dag er det altså ingen som har et helhetlig ansvar på dette viktige området, og dermed sitter man igjen med inntrykket av at det er opp til det enkelte statlige organ å selv sørge for at sikkerheten blir ivaretatt.

    Les også:

Til toppen