Vips, du er papir-borger

Hvem som helst kan reservere deg – og sabotere statens digital-satsing.

Vips, du er papir-borger
ÅPENT: Et fødselsnummer er alt som skal til for å frata innbyggere deres digitale førstevalg. Svært uheldig, mener IKT-Norge, som ber Difi ta ned løsningen inntil den er bedre sikret.

Tidligere måtte det offenlige be om samtykke for å sende deg elektroniske meldinger, men dette prinsippet ble snudd på hodet med innføringen av «digitalt førstevalg».

Nå er det digital korrespondanse som er hovedregelen. Staten kan spare store beløp ved å slippe å sende ut mer enn 125 millioner papirbrev hvert år.

Men det er fullt mulig å reservere seg.

Et nettskjema fra Direktoratet for Forvaltning og IKT (Difi) gjør dette på aller enkleste vis:

Det holder å fylle inn 11-sifret fødsesnummer og trykke en knapp. Forvaltningen må da sende papirpost til vedkommende.

Ingen autentisering eller innlogging kreves. Du kan avregistrere hvem som helst. Hvem som helst kan avregistrere deg.

Ifølge sikkerhetsekspert Per Thorsheim later det til at Difis skjema også kan misbrukes til å verifisere gyldige fødselsnumre.

– Tjenesten gir beskjed dersom det tastes inn et ugyldig personnummer. Det

i seg selv vil jo verifisere gyldige personnumre.

Dermed kan tjenesten 1) sabotere kommunikasjon på nett og fordyre statens kommunikasjon over på vanlig post og 2) verifisere gyldige personnumre – noe Datatilsynet er opptatt av å forhindre, påpeker han.

Dette avviser Difi, men de bekrefter at hvem som helst kan avregistrere andre. Les hele svaret fra direktoratet nederst i saken.

– Sist men ikke minst, og dette er litt tullete synes jeg, er at jeg må logge meg inn på brukerprofilen min på nett for å oppheve min reservasjon mot kommunikasjon med det offentlige - PÅ NETT, sier Thorsheim.

– Feilslått

Skjemaløsningen ser ut til å ha en alvorlig sikkerhetsbrist, vedgår IKT-Norges direktør internett og nye medier, Torgeir Waterhouse overfor digi.no.

– Ja, dessverre virker det som en tanke om brukervennlighet som har slått helt feil ut.

En tanke om brukervennlig skjema har nok slått helt feil ut, mener Torgeir Waterhouse.
En tanke om brukervennlig skjema har nok slått helt feil ut, mener Torgeir Waterhouse. Bilde: Per Ervland

Fødselsnummer er ifølge Datatilsynet ikke regnet som sensitive opplysninger, og fødselsnumre er heller ikke taushetsbelagt. Det er en kjensgjerning at fødselsnummer ikke bør brukes som legitimasjon, slik Difi har lagt opp til.

Les også: Skremmende lett å finne fødselsnumre

Eller et nyere eksempel: XXL blottla folkeregisteret

Lister over nordmenns fødselsnummer har lekket tidligere. Det er heller ikke en veldig vanskelig oppgave å spore opp program på internett som genererer eller validerer gyldige fødselsnumre.

Resultatet: Via løsningen er det mulig å avregistrere andre personer. Følgelig kan Difis skjema bli brukt til å sabotere det digitale førstevalget.

– Det kan det lett bety, og da kan hvem som vil melde naboen, foreldre, læreren eller andre ut av den digitale prosessen. Vi bør kunne forutsette at Difi har gjort tiltak for å hindre dette. Vil likevel noen som ønsker å skape støy eller å «ta noen» så får de antagelig til det ganske greit. Skal ikke se bort fra at noen fort kan tilby en "melde ut"-tjeneste for å hjelpe folk å lure Difis system, sier Waterhouse.

Difi bør ta sitt skjema offline, inntil løsningen er sikret tilstrekkelig, lyder det klare rådet hans.

Det føles som det har skortet litt på Difis sikkerhetsanalyse, sier Per Thorsheim i rådgivningsfirmaet God Praksis.

– Ikke store endringene som kreves fra Difi her. Krav til innlogging for reservasjon og heving av denne burde være nok.

ENKELT: Vi er opptatt av at det skal være enkelt å reservere seg, sier fagdirektør Birgitte J. Egset i Difi.
ENKELT: Vi er opptatt av at det skal være enkelt å reservere seg, sier fagdirektør Birgitte J. Egset i Difi. Bilde: Difi

Difi: – Begrensede konsekvenser

Det er fagdirektør Birgitte J. Egset som svarer på vegne av IT-direktoratet. Hun er også leder for etatens Sikker post-program. Her følger svaret i sin helhet:

Ved endringer i forvaltningsloven og eForvaltningsforskriften, som trådte i kraft 7. februar i år, fikk forvaltningen generell adgang til å benytte digital kommunikasjon når forvaltningsorgan henvender seg til andre.

For privatpersoner ble det samtidig innført adgang til å reservere seg mot å få enkeltvedtak og andre viktige henvendelser digitalt, se eForvaltningsforskriften § 9.

Da lovendringene ble behandlet i Stortinget ble det fremhevet at valgfriheten skulle være reell og at «reservasjonsordningen skulle utformes slik at personer som ikke mestrer eller har tilgang til nødvendige elektroniske løsninger, ikke må reservere seg gjennom bruk av slike verktøy», se Innst. 342 L (2012-2013).

Dette har vært førende for Difi når vi har utviklet løsningen for å reservere seg mot kommunikasjon på nett.

Man kan reservere seg ved å ringe vår brukerstøtte på grønt nr 800 30 300 eller benytte tjenesten på norge.no.

Det er et bevisst valg at vi ikke krever innlogging med ID-porten for å benytte reservasjonstjenesten, da vi mener det ikke vil være i tråd med føringene fra Stortingsbehandlingen.

Som Digi påpeker kan man reservere andre som man kjenner fødselsnummeret til. For mange kan det være hensiktsmessig å be et familiemedlem eller en annen bekjent om å reservere dem.

Når man reserverer seg via tjenesten på norge.no, får man en sms eller en e-post om at man er reservert, dersom kontaktinformasjonen er registrert i kontakt- og reservasjonsregisteret.

Mer enn 3,5 millioner innbyggere har registrert sin kontaktinformasjon i dette registeret. Man kan da enkelt oppheve reservasjonen om den skulle være urettmessig.

Vi har risikovurdert reservasjonsløsningen. Vår vurdering er at en urettmessig reservasjon har begrensede konsekvenser for de personer som måtte bli rammet – man får vedtak og andre viktige brev fra offentlig sektor på papir i stedet for digitalt. Man kan når som helst oppheve reservasjonen. Urettmessig massereservasjon er et mulig risikoscenario, trolig med sabotasje som motivasjon. Vi har flere tiltak som kan iverksettes om dette skulle bli et problem. Så langt fungerer reservasjonsløsningen etter hensikten og vi er opptatt av at det skal være enkelt å reservere seg for de som ønsker dette.

Påstanden om at reservasjonsløsningen kan brukes til å vaske fødselsnummer medfører ikke riktighet. Feilmeldingen Digi har fremprovosert følger av en logisk validering av fødselsnummer og bekrefter/avkrefter ikke et fødselsnummers gyldighet.

    Les også:

Les mer om: