Sikkerhetshull i Kostra
Det kommunale rapporteringssystemet kalt Kostra har vært tilgjengelig for "hvem som helst".
Kostra er systemet der kommunene skal rapportere inn alle faktiske tall om virksomheten sin. Tall om skolelever, pengeforbruk, budsjetter mv. rapporteres til Statistisk Sentralbyrå. Rapporteringen skal så gi grunnlag for å vurdere ulike kommuner opp mot hverandre, samt være et grunnlag for statlige bevilgningspolitikk overfor kommunene.
Statistisk Sentralbyrå (SSB) har ikke sikret rapporteringsrutinene, og i prinsippet har det vært mulig for "hvem som helst" å sende inn rapporter på ulike kommuner. Det eneste du har trengt er kommunens organisasjonsnummer og det finner man lett via Brønnøysundregistrene.
For dyrt
Overfor Kommunal Rapport bekrefter Tore Eig i dataavdelingen i SSB de faktiske forholdene. Tidligere hadde man en kontrollrutine med telefonisk kontakt hvis kommunene sendte inn rettelser på tidligere innsendte rapporter. Denne rutinen er nå tatt bort, og Eig forklarer overfor Kommunal Rapport at grunnen til dette er at det ble for tungvint.
-- Siden 1980 har jeg ikke hørt om et tilfelle av at tall fra SSB har kommet på avveie, eller andre slike problemer rundt vår datasikkerhet, sier Rune Gløersen, ansvarlig for it-seksjonen i SSB, til Computerworld.
Gløersen mener derfor det blir helt feil å antyde at SSB ikke tar sikkerhetsproblematikk på alvor.
-- Men når systemet ligger helt åpent og i prinsippet kan benyttes av hvem som helst kan man vel ikke hevde at sikkerheten er tatt på alvor?
-- Tidligere har det vært mest fokus å sikre SSBs datasystemer mot innbrudd og misbruk av allerede innsendt informasjon. Med stadig mer nettbasert innrapportering vil problemet med sikring av rett avsender for tallene man mottar blir stadig mer fokusert.
Sikrere blir dyrere
Overfor Kommunal Rapport forteller Eig at SSB diskuterte sikrere løsninger for Kostra, før de valgte den enkle løsningen. De vurderte å forlange at alle data skulle komme fra samme epostadresse, samt at de vurderte løsninger for elektronisk signatur. Dette siste mente de ble altfor dyrt.
-- Etter at dette nå er blitt en mediesak, er det klart vi skal se på rutinene for denne innrapporteringen, og at vi skal vurdere en omlegging, sier Gløersen.
