Hopp til hovedinnhold

Å lenke eller ikke, det er spørsmålet

20. des 2022

Dette er en vurdering om vi, for Digital Postkasse til innbyggere, skal fraråde eller forby bruk av lenker (URL) i varsler via SMS og/eller e-post.

Ser vi tilbake på perioden med pandemien, ble Digital Postkasse til innbyggere ansett å være en kritisk samfunnsfunksjon. Bakgrunnen for denne utnevnelsen var å opprettholde forsvarlig drift i en vanskelig situasjon. Man mener at Digital Postkasse til innbyggere er en så sentral og viktig kommunikasjonskanal for det offentlige mot innbyggere, at vesentlige driftsforstyrrelser ikke må forekomme. Indirekte vil dette også speile hen på konfidensialitet og integritet knyttet til løsningen. Man skal kunne ha høy tillit til at det som kommuniseres via en kritisk samfunnsfunksjon er til å stole på.

Verktøy for svindlere

For en tid tilbake fjernet en av postkasseleverandørene lenker fra varsler. I begrunnelsen pekes det på at lenker i SMS og e-post dessverre er blant de mest brukte verktøyene i svindlernes verktøykasse, og virksomheters praksis med å sende ut lenker i disse kanalene bidrar til å opprettholde risikoen for at innbyggere blir svindlet. Det pekes på at skal man kommunisere med sine brukere, bør det gjøres på en måte som ivaretar alles sikkerhet på en god måte. Nettsvindel har blitt så utbredt at man må vurdere om det i det hele tatt er greit å bruke utrygge kommunikasjonskanaler som SMS og e-post til å formidle lenker så lenge det bidrar til å opprettholde en praksis som i økende grad misbrukes.

Aktuelt tema

Digitaliseringsdirektoratet følger med på trusselbildet og råd som gis fra fagmiljøer. De siste årene har vi skrevet et par artikler relatert til den tydelige dreining som har skjedd over tid. Tekniske tiltak har blitt så bra at det svake leddet i kjeden, mennesket, blir målet. Alle de store mobilselskapene har gjennom 2022 hatt store utfordringer med å filtrere bort ulike former for telefonsvindel. Banker er på ballen for å hjelpe brukerne å unngå svindel. Både nettvett.no og Norsk kommunikasjonsmyndighet (NKOM) har veiledere og artikler som tar for seg temaet. Man skal heller ikke glemme Datatilsynet eller Norsk Sikkerhetsmyndighet (NSM).

I en artikkel fra februar 2022 peker eksperter på at de vil ha slutt på lenker i SMS og e-post:

Økende kommunikasjon på e-post og SMS med klikkbare lenker fra seriøse aktører, også det offentlige, kan utilsiktet ha banet vei for svindlerne, frykter Omland. Befolkningen stoler mer på slike lenker.

I artikkelen vises det også til at det til tider blir brukt tjenester som tilbyr lenkeforkortelser som bitly.com. Det gjør det vanskelige å skille om dette er en lenke fra det offentlige eller en svindler.

Tillit er kritisk

I oktober 2022 kom NSM med Nasjonalt digitalt risikobilde 2022. Her pekes det blant annet på DDoS-angrepet i slutten av juni 2022 på utvalgte offentlige sider:

Kritiske tjenester ble ikke rammet, men det som er veldig kritisk – og bekymringsverdig – er at det rokker ved tilliten til viktige funksjoner i samfunnet vårt. Og tilliten i det norske samfunnet er i seg selv et mål for trusselaktører. Den tilliten må vi beskytte og opprettholde

Samlet sett står vi ovenfor et komplisert og sammensatt trusselbilde. Dette krever at summen av tiltak må være høy for å sikre at vi bevarer tilliten til viktige/kritiske samfunnsfunksjoner.

Vår vurdering

Dreiningen og økning i svindel via usikre kanaler utgjør en stor risiko. Verdenssituasjonen er radikalt endret i 2022. Vi må så langt som mulig unngå at noe svekker tilliten til Digital Postkasse til innbyggere, en kritisk samfunnsfunksjon.

Digitaliseringsdirektoratet sin anbefaling er at en unngår å bruke lenker i varsler som går i usikre kanaler. Målet er å ivareta tilliten til formidling av informasjon fra det offentlige.

Profilbilde
Seniorrådgiver, Digitaliseringsdirektoratet

Arild Bjørk

Forfatter

Profilbilde
Arild Bjørk
Seniorrådgiver, Digitaliseringsdirektoratet

Kommenter

Felt merket med en rød stjerne (*) er obligatoriske.

Innholdet i dette feltet blir holdt privat og vil ikke bli vist offentlig.