Altinn er ikke sikkert nok, mener KS – går tilbake til papirpost [Ekstra]

[Redaksjonen.]

Altinn er ikke sikkert nok, mener KS – går tilbake til papirpost [Ekstra]

[-Birger-]

Så de mener det er bedre å sende på papir i en konvolutt som enhver i bedriften kan åpne? Of det uten noen form for registrering om hvem som leser?

Hva er logikken her? Her kan digi med fordel ta noen oppfølgingsspørsmål.

[Gjest Slettet-aEAbw77a]

Vi har tidligere sendt arkivuttrekk til ett statlig foretak pr. post med person sensitive detaljer. Hvor mottaker klagde at de aldri mottok noe. Det viste seg at det hadde blitt mistet på postmottaket til det statlige foretaket.

De kunne ikke motta pr. epost som krypter vedlegg, fordi det var ikke sikkert nok. Endte med rekommandert post... ¯\_(ツ)_/¯

[The Avatar]

-Birger- skrev (2 timer siden):

Så de mener det er bedre å sende på papir i en konvolutt som enhver i bedriften kan åpne? Of det uten noen form for registrering om hvem som leser?

Hva er logikken her? Her kan digi med fordel ta noen oppfølgingsspørsmål.

Forskjellen ligger nok at når eit papirbrev blir opna og lest av den i bedrifta som har ansvar for innkomne brev så er det ikkje lenger KS sitt problem at bedrifta har organisert seg slik at posten blir opna på postmottaket.

Risikoen for at personopplysningar kjem på avveie er like stor eller kanskje også større med papirbrev, men KS kan då gøyme seg bak at så lenge det stod rett namn på konvolutten så kan ikkje KS ha ansvaret for at andre opner brevet.

 

Det er nok kun veldig små bedrifter som har organisert seg slik at det berre er dagleg leiar som opner posten som er sendt til virksomheita, dei aller fleste bedrifter har eigne avdelingar som tek seg av posten.

Eg ser uansett ikkje det heilt store problemet, dersom ein må sende brev til ein namngitt person i bedrifta og det berre er denne namngitte personen som skal kunne sjå brevet så er det ikkje verre enn at ein sender brevet til denne personen. Einaste forskjellen er då at den namngitte personen må opne det digitale brevet med sin personlege bank-ID.
Reint praktisk er det ikkje den store forskjellen, for å kunne ta på seg rolla som bedrifta i altinn så må ein uansett bruke sin private innlogging som igjen er knytt opp mot bedriftsrolla. Bedriftene har ikkje eigen bedrifts-ID, den som skal styre bedrifta må uansett ha privat bank-ID.

[Ximalas]

I denne artikkelen nevnes 4000 aksesspunkter. I https://www.digi.no/artikler/debatt-de-statlige-felleslosningene-er-ikke-problemet/510297 nevnes 4000 integrasjonspunkter. Hva er egentlig dette?

[EremittPåTur]

Bryter du deg inn i Altinn stjeler du en mengde info til en million kunder. Bryter du deg inn i en konvolutt stjeler du info til 1 person, begrenset kun til det brevet evt. handler om og du må gjøre innbruddet i den korte tidsrammen konvolutten er tilgjengelig. Logikken er enkel. Konvolutt er langt sikkrere.

[-Birger-]

EremittPåTur skrev (På 10.7.2021 den 14.47):

Bryter du deg inn i Altinn stjeler du en mengde info til en million kunder. Bryter du deg inn i en konvolutt stjeler du info til 1 person, begrenset kun til det brevet evt. handler om og du må gjøre innbruddet i den korte tidsrammen konvolutten er tilgjengelig. Logikken er enkel. Konvolutt er langt sikkrere.

Du er på bærtur Eremitt 😉

Her er det ikke snakk om at en bryter seg inn i Altinn som system eller knekke krypteringen. Det er  hvem som kan åpne en Altinn forsendelse som er ankommet mottakeren.

Knekker en det bakenforliggende systemet er det totalt likegyldig om en formidler korrespondanse via epost eller brevpost.

[EremittPåTur]

On 7/24/2021 at 10:43 AM, -Birger- said:

Du er på bærtur Eremitt 😉

 

Det er mulig, har nettopp saftet 12 liter saft så det var mye bær...

Bytheway... kan ikke være så veldig på bærtur når KS tusler tilbake til konvolutt selv. Og historien viser vel at info stjeles over en lav sko fra slike systemer allerede.

Endret 27. juli 2021 av EremittPåTur