Monday, February 24, 2014

Personvern hos våre politiske partier


I valgkampens innspurt høsten 2013 sjekket jeg om de politiske partiene i Norge overholdt personopplysningsloven og de krav/anbefalinger som er gitt av Datatilsynet. Det jeg fant var såpass overraskende at jeg tipset Aftenposten, som selv kontrollerte, og fikk en klar tilbakemelding om lovbrudd for partiene da de henvendte seg til Datatilsynet. Saken til Aftenposten ligger tilgjengelig her.

I tillegg kritiserte jeg også partiene Høyre og Venstre for svak epost sikkerhet, også dette gjennom Aftenposten.

Nå, 6 måneder senere, var det tid for å sjekke hvilke partier som har holdt sine løfter og etablert den sikkerheten de er lovmessig pålagt å ha.


La oss ta det positive først; 

MDG, Venstre, Høyre og Frp har etablert kryptering for å sikre personvernet ved innmelding i partiene. Høyre har også flyttet sin epost tjeneste hjem til Norge. Der slutter de gode nyhetene.

Kryptering på websider for innmelding

[Klikk på bildet for full størrelse]
Arbeiderpartiet har kryptering, men har ikke gjort endringer i sin løsning, slik at de identifiserer seg fortsatt med et sertifikat tilhørende en ekstern gratis bloggtjeneste når man vil melde seg inn. Enkelt forklart kan det anses som bruk av falsk legitimasjon av den helt åpenbare sorten. De skjuler også krypteringen, slik at det er vanskelig for menigmann å sjekke om man faktisk får personvernet ivaretatt.

NKP, Rødt, Senterpartiet, Krf, Pensjonistpartiet og Demokratene har fortsatt ikke etablert det lovpålagte minimum for å beskytte sensitive personopplysninger (her: politisk oppfatning og evt medlemskap).

Piratpartiet har en for meg akseptabel måte å håndtere innmelding på (innbetaling via bank), mens De Kristne ber om å få innmelding tilsendt via ukryptert epost.

Selv om Venstre har etablert en kryptert løsning (venstre.alreadyon.com), så vil innmelding via deres vanlige hjemmeside fortsatt gå ukryptert. Jeg håper at dette bare er snakk om en kort overgangsperiode før den nye løsningen er den eneste i bruk.

Samtlige partier benytter digitale sertifikater fra ulike utenlandske leverandører for å bekrefte sin identitet. Det er gjennomgående billige eller til og med gratis sertifikater som er tatt i bruk, i den grad tillit skal diskuteres. Det skal sies at en norsk leverandør av digitale sertifikater er tilgjengelig, og som ellers både anbefales og benyttes for bl.a. ALTINN og andre tjenester.

Mest overraskende er dog oppsettet fra Høyre; selv om de benytter kryptering på sin side dugnad.hoyre.no, så tillater oppsettet uautorisert avlytting av absolutt all kommunikasjon på en relativt enkel måte. En konfigurasjonsfeil som en kvalitetskontroll enkelt burde ha fanget opp. Det gjør ikke saken bedre at de annonserer på siden at alt innhold nå går kryptert, slik konfigurasjonen er pr dags dato.

Plassering av webserver

Personvern på tvers av landegrenser kan være en utfordring grunnet ulik lovgivning, hvor Norge står sterkt sammenlignet med de fleste land. I så måte er det grunn til å stille spørsmål om hvorfor SV har sin webserver plassert i Tyskland, MDG står i Nederland, Høyre har valgt å bruke Amazon (EU), mens Frp er plassert i Finland. Er det mulig å be om innsyn i databehandleravtalen disse partiene skal ha etablert med sine leverandører for mottak og behandling av sensitive personopplysninger?

De øvrige partier har sine webservere plassert i Norge, enten hos en ekstern leverandør eller under egen kontroll. Like fullt er databehandleravtale også aktuelt her.

Epost sikkerhet

[Klikk på bildet for full størrelse)
Siden mine kontroller i august 2013 har tjenesten starttls.info blitt lansert. Dette er en gratis tjeneste, utviklet og driftet av Einar Otto Stangvik, på ide og forespørsel fra meg. Med denne tjenesten kan man enkelt kontrollere om mailservere på Internett tilbyr gratis, brukertransparent og opportunistisk kryptering av epost. Tenk på det som at din epost sendes sikret i en låst metallboks, fremfor å sendes som et postkort som alle langs veien kan lese.

Når man ønsker å sende epost til de politiske partiene går de fra din maskin via din epost leverandør til partiets epost server, og derfra til mottaker. Som i august 2013 finner jeg at Venstre sender sin epost via Google i USA. Det gjør også SV og MDG, mens Krf sender sin epost via Microsoft i England. 

De øvrige partiene har sine epost servere plassert i Norge.

NKP, Rødt, Senterpartiet, Pensjonistpartiet, og De Kristne støtter ikke slik epost kryptering.

Arbeiderpartiet har støtte for epost kryptering, men oppsettet muliggjør allikevel full avlytting av all kommunikasjon grunnet konfigurasjonsfeil som en kvalitetskontroll burde ha fanget opp. Det samme gjelder Piratpartiet.

Oppsummering

Både de svakheter og lovbrudd som her påpekes kan enkelt og raskt korrigeres av kvalifisert personell. I flere av tilfellene ligger det ingen eller beskjedne eksterne investeringer for å overholde krav og anbefalt god praksis. Etter 6 måneder ville jeg ha forventet at dette for lengst var utbedret.

Jeg håper virkelig at partiene vil ta dette seriøst, og ikke skylder på små budsjetter eller mangel på tid. Flere, om ikke samtlige partier, har involvert seg stort i personverndebatten i løpet av de siste 1-2 år. Jeg er glad for det, men ønsker virkelig å se at man også tar ansvar i eget hus for egne uttalelser.