Her kan vi se hvordan lenken som skjuler seg bak epost-adressen til styreleder Morten Irgens hos Norsis faktisk leder til en ekstern mottaker som ikke er involvert i ansettelsen av den nye toppsjefen. Faksimile fra Norsis' nettside.

NORSK SENTER FOR INFORMASJONSSIKRING

Her gjør Norges formelle ekspertise på forebyggende it-sikkerhet en sikkerhetstabbe

Feil e-postadresse i stillingsannonsen for ny direktør.

Norsis

  • Norsk senter for informasjonssikring
  • Organisert som en stiftelse med ekspertise på forebyggende it-sikkerhet
  • Driver utstrakt informasjons- og foredragsvirksomhet mot privat og offentlig sektor og innbyggere
  • Startet som et forsøk i regi av Sintef i 2002, permanent virksomhet finaniert av næringslivet fra 2006
  • Senere etablert som et ressurssenter under tidligere Fornyings- og adminisytrasjonsdepartementet, delfinansiert av Justisdepartementet siden våren 2013
  • Har også ansvaret for tjenestene slettmeg.no, idtyveri.info og sikkert.no
  • En del av den voksende klyngen rundt it-sikkerhet på Gjøvik

Norsk senter for informasjonssikring (Norsis) gjorde selv en sikkerhetstabbe i jakten på sin nye toppsjef.

Potensielle søkere blir bedt om å kontakte styrelederen på mobil eller e-post, men lenken i e-postadressen fører til en mottaker utenfor organisasjonen.

Lenket til Virke

Tore Larsen Orderløkken har ledet virksomheten siden starten i 2006, men nå er han i ferd med å takke av til fordel for stillingen som konserndirektør for sikkerhet hos it-giganten Evry.

Tidligere i sommer startet jakten på hans etterfølger. Stillingen som ny direktør ble lyst ut, med søknadsfrist 20. august.

Mandag denne uken publiserte Norsis en artikkel på sin egen hjemmeside, med utdrag fra stillingsannonsen.

Teknisk Ukeblad gjør et intervju med styreleder Morten Irgens, som kan fortelle om flere henvendelser fra folk som er interessert i å ta over sjefsjobben.

Under intervjuet oppdager TU en feil med den oppgitte e-postadressen:

Ved å kikke på lenken som er aktivert under styrelederens adresse, åpner Outlook en ny melding med en helt annen adressat:

Jarle Hammerstad, direktør for samfunnskontakt hos Hovedorganisasjonen Virke.

Les også: Microsoft må gi innsyn i epost

Forvekslet

Dette innebærer at mennesker som tar vil ta elektronisk kontakt med Norsis' styreleder om direktørstillingen, i stedet røper sine mulige fremtidsplaner for helt andre personer utenfor organisasjonen.

Irgens kjente ikke til feilen før TU informerte om det under intervjuet.

TU åpnet den aktuelle siden med to ulike nettlesere og fikk samme resultat.

Også styrelederen opplevde det samme: Hans e-postadresse var byttet ut med en ekstern adresse.

– Jeg kan ikke forklare hvordan dette har skjedd, sier Morten Irgens.

– Men jeg skal kontakte ledelsen i Norsis og finne ut av det, understreker han.

Les også: Hele Norge spleiser på 10 professorater i cybersikkerhet

Menneskelig svikt

Hos Norsis tar det kort tid før fungerende direktør Tone Hoddø Bakås kontakter TU.

Hun ønsker å forklare hvorfor landets fremste ekspertorgan på forebyggende it-sikkerhet har publisert lenker som kan sende sensitiv informasjon til feil mottaker.

– Her har det rett og slett skjedd en menneskelig svikt. I tillegg har vi hatt en svikt i våre rutiner for kvalitetssikring, sier Hoddø Bakås.

Teknisk er det snakk om at dataprogrammer husker en lang rekke e-postadresser som er brukt av programmet tidligere. Et e-postprogram vil gjerne hente frem forslag på mottakere når du skriver inn deler av navnet.

– Noen ganger får vi for mye hjelp av e-postsystemene, sier Norsis-sjefen.

Med andre ord har den som forfattet stillingsannonsen bekreftet feil mottaker som programmet foreslo, og ingen har oppdaget lenke-feilen før innholdet ble publisert.

Les også: Avdekket store feil i antiviruspakker - her bryter de seg inn i Symantec

Fungerende direktør Tone Hoddø Bakås kommer til å gå gjennom Norsis' rutiner etter sikkerhetstabben i jakten på ny leder. Jan Tore Øverstad/Norsis

Signaleffekt

Gjennom 12 år har Norsis etablert seg som landets fremste ekspertise på forebyggende sikkerhet.

Ekspertene på Gjøvik er delfinansiert av Justisdepartementet og benyttes flittig som rådgivere og foredragsholdere for både bedrifter og offentlige virksomheter.

– Hva slags signaleffekt kan denne saken gi?

– Vi må bare beklage det som er skjedd. Det viser at menneskelige feil kan skje. Vi kommer til å gå gjennom være egne rutiner på dette, svarer Tone Hoddø Bakås.

– Hvilke konsekvenser kan det få hvis søkere til direktørstillingen sender informasjon om sitt kandidatur til feil mottaker?

– Det avhenger litt av hvor mye detaljer de oppgir i en e-post. I en e-post bør man som en regel ikke oppgi informasjon man mener er sensitiv, nettopp fordi den kan komme på avveier. Tenk bare på hvor ofte e-post blir videresendt til andre. Og jeg tror at søkere til en slik jobb vil være årvåkne personer og velge å ringe styrelederen hvis det er snakk om sensitive temaer, sier hun.

Se TUTV om Norsis advarsler: Slik foregår et innbrudd i mobilen din

Næringslivets Sikkerhetsråd

I dette tilfellet har hun rett.

Jarle Hammerstad hos Virke opplyser at han ikke har mottatt noen e-poster relatert til toppjobben i Norsis.

– Dette var ukjent for meg.

Han satt som styreleder for Næringslivets Sikkerhetsråd inntil i fjor.

– Det kan være forklaringen på at min adresse kan ha dukket opp i Norsis' systemer, sier Hammerstad.

– Med den bakgrunnen - hvilken holdning har du til at Norsis selv har gjort en slik feil?

– Det ønsker jeg ikke å kommentere så lenge det ikke ble feilsendt noe e-post til meg. Men det er fint at du gjorde meg oppmerksom på saken, sier han.

Norsis har nå rettet opp e-postlenken med korrekt adresse.

Les også:

Hva er den største utfordringen ved personvern?  

Universitetet i Oslo nest best i Norden på nett

Norge får Nordens beste anlegg for hemmelige data