Posts Tagged ‘sikkerhet’

“Ikke et sikkerhetsproblem” – Ikke bra nok

tirsdag, september 1st, 2009

Politiets nye nettsider får hard medfart i dag. Dagbladet formidler mange gode poenger fra flere eksperter, og VG påpeker at sidene er et eneste stort sikkerhetshull. Man skulle tro at sikkerhet var et viktig kriterium for utvikling av nettsidene til en av de samfunnsinstitusjonene som er aller mest avhengig av etterrettelighet og folkets tillit. I stedet ser det ut til at politiet og deres konsulenter mangler enhver forståelse for grunnleggende IT-sikkerhet. De har slengt hele nettstedet på https – antakelig i den tro at det øker sikkerheten – men ligger (eller lå, det ser ut til at noen har vært ute og plugget hull nå) fullstendig åpne for kryss-side-skripting.

Selv når feilene blir påpekt forstår de ikke alvoret i saken. Prosjektleder Tore Engen uttaler til VG at det “ikke er et sikkerhetsproblem” at Politiets nettadresse kan benyttes til videresending til andre nettsider. Dette til tross for at dette åpner for at hvem som helst kan lure brukere til å sende informasjon ment for politiet til en helt annen mottaker – for eksempel anmeldelser og sensitive henvendelser. I tillegg kan hvem som helst legge ut informasjon som ser ut til å være gitt av politiet, noe Nettavisens skjermbilde fra politi.no demonstrerer på humoristisk vis.

At disse feilene finnes er i utgangspunktet ille nok. Men at prosjektets leder står og sier at disse gapende sikkerhetshullene er bagatellmessige og antyder at de vil bli fikset mest for å slippe at folk maser om det, er urovekkende.

Når det gjelder prisen, som mange har harselert over, er han like avfeiende. “De fleste tenker på nettside for en liten bedrift på ti personer. Der kan man slippe unna med 500 000 kroner i utviklingskostnader.” sier han til Dagbladet. Dersom Engen kjente fagområdet så godt som han burde ville han vite at ingen bedrift med ti personer bruker en halv million på nettsidene sine. De fleste bedrifter på denne størrelsen ligger nærmere fem tusen kroner, bedrifter med sterkt informeringsbehov og svært interaktive nettsteder kommer kanskje opp i femti tusen, altså en tiendedel av den “fillesummen” som nevnes.

De fleste med kompetanse på området forstår at et nettsted med slike dimensjoner og (forhåpentligvis) utbyggingsmuligheter som Politiets er ikke kan utvikles på en måned av en fjortis som sveiver noe sammen av WordPress og noen tilfeldige plugins, og heller ikke kan kjøre på en server satt sammen av brukte deler plassert i en kjeller et sted. Men derfra til 25,6 millioner er det et langt steg. Med bedre prosjektplanlegging burde disse kostnadene kunne vært redusert en hel del.

Når det er sagt, fortjener de litt ros også. Noe av kritikken har gått på at sidene framstår som om de var laget for ti år siden. Jeg mener det enkle designet er et godt utgangspunkt. Det er ikke nødvendig å bruke mengder av bilder, videoer, javascriptmenyer og fancy web2.0-magi for å lage funksjonelle, informative nettsider (selv om man kan lure på hva de brukte all tiden og pengene på når de ikke brukte den til å lage dilldall). Sidene fungerer godt for svaksynte og er fullt funksjonelle selv om man skrur av både bilder og javascript.  Man får håpe (med de summene som er brukt på hardware og software, og det litt pussige grepet med å legge css, bilder og js på hvert sitt eget domene som en form for last- eller forespørselbalansering) at tregheten til sidene er et forbigående problem som vil bli fikset med noen enkle justeringer av flaskehalser i løpet av de neste dagene.

Når det gjelder informasjonsformidling, er ikke utformingen like heldig. De mange pressemeldingene på forsiden kunne med hell vært lagt på en egen underside, eventuelt med visning av den nyeste pressemeldingen i en boks på forsiden. Forsiden burde vært dedikert til formidling av svar på de spørsmålene folk har når de går inn på sidene. Både side- og toppmenyen ser ut til å være greit sortert, sammen med de fire temaboksene, men alle pressemeldingene tar hovedfokus og forkludrer informasjonen i menyene. Her burde de lært av andre offentlige etater som NAV og Lånekassen, nettsteder med liknende formål og bruksmønster som Politiets.

Alt i alt? Noen lyspunkter, men dette er rett og slett ikke bra nok, uansett pris. Andre offentlige etaters nettsider løper i sirkler rundt denne satsningen. Jeg forstår at det er lett å i første omgang gå i forsvarsposisjon og avfeie kritikk når man er stolt over prosjektet man har lansert. Når støvet har lagt seg håper jeg prosjektleder og hans medarbeidere tar til seg det som kommer fram i media i dag med et åpent sinn, og lar seg påvirke i det videre arbeidet med nettsidene. Det meste av kritikken er svært konstruktiv, og bunner i et ønske om bedre nettsider.