I løpet av neste år skal all kommunikasjon mellom deg og det offentlige digitaliseres. Alle nordmenn vil få tilbud om en egen digital postkasse der du kan motta alle brev fra det offentlige. Tjenesten skal være sikker, lover regjeringen.

Men Nasjonal sikkerhetsmyndighet mener ditt behov for sikkerhet ikke er godt nok tatt vare på i de nye digitale postkassene. Løsningen gir ifølge NSM dårligere sikkerhet enn en tradisjonell papirbasert løsning.

— Åpner konvolutten

Fagmyndighetene for sikkerhetstiltak i forvaltningen er ikke nådig i sin karakteristikk av løsningen som ble valgt:

— Dette tilsvarer at en offentlig etat legger et brev i en konvolutt og sender dette med posten fram til postmannen. Ved distribusjon åpner postmannen konvolutten, tar brevet ut og legger det deretter i adressatens postkasse, heter det i er brev til Justisdepartementet.

I brevet gjør NSM oppmerksom på at deres advarsler gitt i høringsrunden i januar ikke ble hørt da Direktoratet for forvaltning og IKT (Difi) 31. mai i år utlyste en anbudskonkurranse for digital postkasse.

Dårlig sikkerhet

NSM ønsker en løsning som er kryptert både fra sender og mottaker, men ingen av de ferdigsydde løsningene som er på markedet tilbyr dette. Difi har sagt at de gjerne vil gå over på en slik løsning etter hvert, men de vil ikke legge det inn som et krav i utgangspunktet. Difi mener dessuten at sikkerheten i utgangspunktet er så lav at en sertifikatbasert løsning med ende-til ende-kryptering ikke nødvendigvis gir forbedret sikkerhet.

Advarer mot private

Nasjonal sikkerhetsmyndighet ser så alvorlig på saken at de advarer mot at private aktører skal få håndtere tjenesten.

— NSM har derfor anbefalt at tjenesten Altinn styrkes og benyttes fremfor en ikke-betrodd tredjepart. Så lenge informasjonen ikke krypteres ende-til-ende, vurderer NSM det som avgjørende at private aktører ikke får tilgang til informasjonen som formidles mellom staten og dens borgere, heter det i brevet til Justisdepartementet.

For ressurskrevende

I sitt svarbrev skriver Difi at sikkerhetskonseptet og løsningene som er valgt «møter sikkerhetsutfordringene på en god måte». Direktoratet vil forholde seg til de løsningene som allerede finnes på markedet. Ingen av dem tilbyr ende-til-ende kryptering som er avgjørende for NSM:

— Difi anser utviklingen av en egen sikkerhetsprofil som uforholdsmessig ressurskrevende, heter det i svarbrevet.

Frykter ikke private

Direktoratet stiller seg også uforstående til advarselen mot å la private aktører få hånd om den digitale kommunikasjonen mellom myndighetene og borgerne.

— Både Altinn og ID-porten driftes av private aktører, og Altinn-løsningen er også utviklet av private aktører, skriver Difi som viser til at danske myndigheter har brukt private til å drifte danskenes digitale postkasse.

Kommunikasjonsdirektør Mona Strøm Arnøy i Nasjonal sikkerhetsmyndighet ønsker ikke å utdype kritikken av den manglende sikkerheten i digital postkasse.

— Vi har gitt uttrykk for vår faglige syn på løsningene som er sendt ut på anbud. Det skal holdes møter i høst om saken både med Justisdepartementet og Difi. Der vil vi møte med en åpen og løsningsorientert holdning, sier hun til NTB.