Den offentlige anbudsportalen Doffin lagrer brukernes passord i klartekst. Slik har det vært siden nettjenesten ble etablert for syv år siden.
Ubekymret
- Difi har kjent til at passordene lagres i klartekst i halvannet år. Men vi har ikke vurdert dette til å være noen vesentlig sikkerhetsrisiko. Men dagens leverandør Millstream jobber med å vurdere dette. Vi har også [kryptering av lagrede passord] med som krav når ny Doffin skal lages, sier Difis avdelingsdirektør offentlige anskaffelser, Dag Strømsnes til digi.no.
Ifølge ham ble dagens Doffin laget i 2005 etter datidens krav til teknologi. Han legger ikke skjul på at en oppgradering er nødvendig.
- Er dere ikke redd for at nåværende løsning med lagring av passord i klartekst kan svekke tilliten til tjenesten?
- Nei, vi er ikke det, selv om vi erkjenner dette og tar inn nye krav i den nye løsningen. Vi er ikke kjent med tilfeller der dette har skapt problemer, sier Strømsnes.
Elendig sikkerhet
Sikkerhetsrådgiver Per Thorsheim reagerer med vantro. Han har lenge vært klar over svakhetene i Doffin og hevder at sikringsnivået er mer eller mindre helt fraværende.
- Alt er sikkerhetsmessig dårlig med Doffin. Dette er heller ikke en løsning som bare er i bruk i Norge. Akkurat samme brukes i Storbritannia med like hårreisende dårlig passordsikkerhet, sier Thorsheim til digi.no.
Poenget hans er at enhver nettjeneste må ha et minimum av sikkerhet, uavhengig av hva de håndterer av data.
Alt er sikkerhetsmessig dårlig med Doffin - Det er jo en brukerkonto med passord som leder tilbake til en person i en organisasjon. Kommer disse passordene på avveie kan de gi tilgang til andre tjenester med mye større skadepotensial, sier Thorsheim, som sikter til fenomenet med at folk har en tendens til å bruke samme passord i flere tjenester, mot alle råd.
Rot forsinker Doffin 2.0
Alt dette skal etter planen bli bedre i en ny versjon av den offentlige innkjøpsportalen, men den er kraftig forsinket.
Doffin II skulle opprinnelig stå klar fra nyttår. Slik blir det ikke.
Årsaken er at Difi i august ble felt i KOFA (Klagenemda for offentlige anskaffelser) for brudd på anbudsreglene. Her møtte altså etaten som skal sørge for gode offentlige anskaffelser seg selv i døra, og det med innkjøp av selve anskaffelsesportalen(!)
- Det som skjedde i KOFA var at vi fikk en avgjørelse mot oss. De mener vi burde ha avvist leverandøren som vi hadde innstilt som vinner av Doffin II-konkurransen. Vi har tatt beslutningen fra KOFA til følge, sier avdelingsdirektør Dag Strømsnes.
Det var nåværende leverandør Millstream som var innstilt som vinner. Etter KOFA-dommen ble de tvunget vekk fra kontrakten. Da gjensto den andre finalisten, EUS Holding Ltd.
- Vi tok da en revurdering av det andre tilbudet og fant ut at også de måtte avvises. Vi har derfor valgt å avlyse konkurransen og gå i forhandlinger direkte med Millstream og EUS Holding.
Men det stopper ikke der.
Saksøker Difi
EUS Holding har saksøkt Difi. I Oslo tingrett i neste uke vil de prøve få avvisningen fra Difi kjent ugyldig.
Forhandlingene med de to leverandørene er lagt på is inntil dette søksmålet er avgjort.
Først en gang på nyåret vil Difi kunne gå videre og forhåpentligvis utpeke en leverandør som skal lage nye Doffin. Kontrakten har en anslått verdi på 40 millioner kroner over åtte år.
Konsekvensen av anbudsproblemene er at Difi begynner å få dårlig tid. Kontrakten med Millstream løpet ut ved nyåret. De har riktignok opsjon på videre drift med nåværende leverandør Millstream som løper ut neste år. Uansett ser Doffin II nå ut til å bli opptil ett år forsinket.
- Innen 1.1.2014 må vi ha en ny tjeneste på plass. Vi tar sikte på å nå det målet, sier Difis avdelingsdirektør.