Datatilsynet vil kryptere din epost

Datatilsynet vil kryptere din epost

Etterlyser løsning som kan brukes av hvem som helst i Norge.

- Vi sammenligner jo epost med det å sende et åpent postkort: Det går stort sett veldig bra, men det kan komme på avveie og da får en tillitssvikt, sier Leif T. Aanensen, seniorrådgiver i tilsynet, til Computerworld.

I et brev fra slutten av juli, adressert Direktoratet for forvaltning og IKT (Difi), etterlyser tilsynet en løsning for sikring av epost.

«Datatilsynet har observert den sterkt økende forventning om å kunne sende og motta beskyttelsesverdig informasjon på elektronisk post eller tilsvarende. Slike forventninger stilles ikke bare i forhold til den periodiske samhandling mellom borgeren og de store statlige forvaltningsorganene, men også på daglig basis,» skriver tilsynet i brevet.

- Vi har sett tydelig gjennom vår forvaltningsprosess at dette er en problemstilling man sliter med, sier Aanensen.

Ideelt sett fungerende for alle

Han mener det er en del som sender innhold i åpne eposter som egentlig burde være kryptert. Aanensen ser ikke bare for seg at en statlig løsning kunne vært nyttig for kommunikasjon mot staten, men også komme kommunikasjonen som eksempelvis foregår mellom advokater og klienter, mellom politi og teleselskap eller mellom advokat og politi til gode.

- På tvers av sektorer generelt, sier Aanensen.

Datatilsynet ser for seg at det bør utformes en ikke-proprietær løsning som kan fungere som modul til anerkjente epost-programmer og som gir en tilfredsstillende beskyttelse. Viktige premisser er at løsningen må fungere på tvers av sektorgrenser, og gjerne også fra borger til borger.

Den må ikke kompromittere eller kortslutte vanlige sikkerhetsmekanismer, som for eksempel filtrering av søppelpost, virus eller annen skadelig kode. Den bør fortrinnsvis baseres på kommende løsning i for eksempel nasjonalt id-kort med bruk av signaturer basert på kvalifiserte sertifikater.

Har ventet på markedet

Datatilsynet har forgjeves ventet på at markedet selv driver frem en løsning som kan brukes, men føler nå for å ta grep.

- Vi har jo ventet på dette ganske lenge, og i påvente av at markedet kommer med en løsning, kan de jo hende en statlig aktør kan være pådriver. Datatilsynet kan ikke nødvendigvis ta den rollen. Vi mener det hører med til Difis rolle og funksjoner, sier Aanensen.

Han mener man har kommet langt i dataalderen, men at epost er en gammel traver som blir å sammenligne med «Ponnyekspressen i vesten».

- Og det er jo et dilemma i 2010. Faktum er at eposten passerer mange servere og ligger lagret i klartekst. Du kan jo forestille deg situasjoner hvor en stor epostserver fikk lekkasje der eposter som ligger midlertidig lagret fort kunne fått store konsekvenser for Norge. De fleste store internettleverandørene har jo epost-tjenester, i praksis samler man alle eggene i en kurv.

Utreder elektronisk postkasse

Direktør Hans Christian Holte i Difi har lest brevet og vil antakelig gå i dialog med Datatilsynet via et møte i slutten av august. Holte vil gjerne høre mer om hva tilsynet ser for seg før han kommenterer i detaljnivå, men tror helt klart de og Datatilsynet har noe å snakke om.

- Problemstillingen de tar opp i forhold til epost bør vi se i sammenheng med arbeidet knyttet til utstedning av en meldingsboks - en felles elektronisk postkasse - for det offentlige. Foreløpig er det på utredningsstadiet, men tanken er at det skal bli en meldingsutvekslingsmulighet tilsvarende kryptert epost, men som vil innbefatte en type påloggingsløsning, sier Holte.

Det er departementet som har bedt Difi utrede denne meldingsboksen som potensielt kan ende opp med å bli myndighetenes måte å kommunisere mer borgerne og næringslivet på. Men hvorvidt denne postkassen også skal kunne brukes for eksempel mellom næringsliv og borgere, eller mellom borgere og andre borgere, er fremdeles uavklart.

- Vi er enig med Datatilsynet i at det er behov for en sikrere meldingskommunikasjon mellom innbyggere, næringsliv og forvaltning enn vanlig epost gir, så det er et greit utgangspunkt for diskusjon. Jeg vil nok høre litt mer fra Datatilsynet hva de ser for seg, så på bakgrunn av det korte brevet vil jeg ikke mene så mye om hvilke muligheter som ligger her.

Ettersom meldingsboksen er under utredning vet ikke Holte når den kommer, eller om den i det hele tatt kommer. Senere i prosessen vil Difi gjennomføre en samfunnsøkonomisk analyse av prosjektet.

Les om: