Jeg har forståelse for at Indre Fosen kommune ønsker å forenkle og effektivisere håndteringen av henvendelser og ikke minst bedre sikkerheten.
Men vi er ikke der i dag at vi kan se bort fra e-post. Mulighetene for bedre sikkerhet, brukervennlighet og automatisering finnes.
Vil ikke ha e-post
Den 19. oktober skrev Digi om Indre Fosen kommune, som ikke vil motta henvendelser på e-post, men ber innbyggerne bruke en egenutviklet løsning med pålogging fra ID-porten.
Kommunen sliter med å lage filtre som både stopper nettfisking og slipper gjennom alle legitime e-poster. Ansatte på postmottaket må «nærmest ha en syvende sans» for å avdekke nettfisking, mener kommunen. Samtidig sparer de store ressurser på automatiseringen og innhentingen av metadata som løsningen krever, og de har en sikker måte å hente inn vedlegg med sensitivt innhold på.
Kommunen mener e-post er en utdatert teknologi. Så enkelt er det ikke!
E-post er et sett med åpne standarder (protokoller, formater) som har utviklet seg i de årene internett har eksistert, og det finnes mange løsninger for e-post.
Kommunene må også forholde seg til lovverket, både om personvern og sikkerhet, og om offentlighet og saksbehandling. Forvaltningsloven pålegger forvaltningen å gi mulighet for skriftlige henvendelser. E-post er den mest etablerte måten å gjøre dette på og er noe som reguleres av regelverket. Er det da anledning til kutte det ut?
.png)
Kommunen erkjenner svikt: Mobbesaker lå åpent tilgjengelig
Sikkerhetskultur og gode verktøy
Kommunens viktigste argument er sikkerhet, og skjema-løsningen kan fremstå som et godt alternativ. Men enkelte sikkerhetseksperter vil si at egenutviklede løsninger som dette kan introdusere nye sårbarheter.
Hvis man skal fjerne e-post som en angrepsflate fullstendig, må man fjerne e-post helt. Er det realistisk? Med en god sikkerhetskultur og gode verktøy kan man beskytte seg mot trusler som phishing og infiserte dokumenter.
Privatpersoner må stadig håndtere spam og svindel-epost. Det er ikke urimelig å forvente at en profesjonell organisasjon skal gjøre det samme.
Uansett må man gjøre risikovurderinger, planlegge for hendelser, dokumentere, gi opplæring til ansatte og mye mer.
E-post var ikke opprinnelig laget med tanke på sikkerhet, og det er selvfølgelig en utfordring. Det finnes også muligheter for å gjøre noe med det.
Finnes allerede løsninger
Én ting er tiltak mot spoofing og spamming, en annen er mulighet for ende-til-ende kryptering av sensitivt innhold. OpenPGP og S/MIME er aktuelle åpne standarder for kryptografi, men er i praksis ikke så tilgjengelig dersom du ikke har IT-kunnskaper godt over gjennomsnittet. De e-post-verktøy de fleste benytter, støtter heller ikke dette uten videre.
Vi kan ikke forlange at folk benytter e-post med kryptering. At kommunen skal være tilgjengelig på de ulike kommersielle plattformer som tilbyr ende-til-ende kryptering, er også mye forlangt.
Men så har staten faktisk lagt opp til at innbyggere skal ha tilgang til et verktøy som støtter sending og mottak av brev med potensielt sensitivt innhold i samhandling med det offentlige: Digital postkasse, med Digipost eller danske e-boks, og Altinn.
Innbyggerne skal ikke bare kommunisere med kommunen, men en rekke virksomheter pluss privatpersoner. Det blir lett et virvar av tjenester og plattformer man må forholde seg til, som man må logge seg på.
Hvis man kunne velge en plattform man er komfortabel med og kommunisere med alle gjennom denne, hadde det sannsynligvis vært både enklere og sikrere.
Slik valgfrihet krever åpne standarder.
Det går mot nytt IT-system for Oslo-barnehagene
Pålagt å bruke åpne standarder
Offentlig sektor er derfor pålagt gjennom forskrift å benytte åpne standarder i samhandling.
Hvilke standarder som skal eller bør brukes, er nærmere beskrevet i referansekatalogen for IT-standarder (Digdir). Det inkluderer standarder for e-post, og lite tyder på at de forsvinner fra referansekatalogen med det første.
Digital inkludering betyr også at det så langt som praktisk mulig skal legges til rette for at folk kan delta i samfunnet digitalt, tross ulike forutsetninger. Åpne standarder og fleksibilitet er viktig både for dette, for valgfrihet og for konkurranse i markedet.
Å kutte ut e-post kan høyne terskelen for å henvende seg for dem som av ulike årsaker takler e-post best.
Jeg tror ikke vi skal undervurdere hvor mye lettere det kan være for noen å sende en e-post med et enkelt spørsmål heller enn å logge seg på med BankID og fylle ut et skjema. Hvis svaret er en henvisning til en annen tjeneste for mer sensitive henvendelser, er også det et svar.
Fortsatt behov for e-post
Selv om e-post ikke er en fullgod løsning i sensitive saker, bør likevel alle offentlige virksomheter kunne nås på e-post. E-post er noe de fleste er kjent med og benytter, det er en åpen standard som gjør det mulig å legge til komponenter for å støtte saksbehandling. Og det gir (i hvert fall i teorien) endebrukere mer kontroll med sine egne data. Vi bør jo ikke glemme hensynet til personvern og sikkerhet.
Det kan også være behov for å kontakte kommunen anonymt, ved både varsling og sensitive spørsmål. Kanskje er ikke e-post løsningen. Det er heller ikke ikke et webskjema hvor man må logge inn og identifisere seg.
Visma med stor IT-blemme: – Vi tar hendelsen alvorlig
