Når sirenene uler er det ikke sikkert du kommer frem til kriseinfo.no

Kategori: Samfunn

Denne beskjeden møter deg på enkelte Android-telefoner når du prøver å besøke Kriseinfo. Foto: Martin Gundersen CC BY 4.0


Stadig flere av oss tar i bruk mobilen når krisen er ute. Sikkerhetsekspert Per Thorsheim stiller spørsmål om Direktoratet for samfunnssikkerhet og beredskaps tar en av sine informasjonssider på alvor.

På Twitter har det siden 13. juni pågått en debatt om hvor godt rustet kriseinfo.no er til å informere om det skulle være, ja … en krise. Samme dag varsles også Kriseinfo om problemer ved deres nettsiden.

På egne nettsider står det at:
«Kriseinfo.no er en nettportal som formidler viktig informasjon fra myndighetene til befolkningen før, under og etter kriser.»

Det henvises også til Kriseinfo i medier og på andre nettsider drevet av Direktoratet for samfunnssikkerhet og beredskap (DSB).

Men som flere påpeker har nettsiden ikke et oppdatert sikkerhetssertifikat (HTTPS) og enkelte Android-telefoner klarer ikke å åpne nettsiden.

Atle Frenvik Sveen ble for eksempel møtt av beskjeden «nettsiden kan ikke nås» da han prøvde å besøke Kriseinfo:

Dette kan møte deg om du besøker kriseinfo.no på Android-mobil. NRKbeta har prøvd med flere mobiler som opplever den samme feilen og sannsynligvis skyldes en såkalt redirect-feil. Foto: Skjermbilde

Skriver man inn m.kriseinfo.no vil siden likevel kunne besøkes for Android-brukere.

Fredag ettermiddag lurer Sveen også på hvorfor nettsiden ikke på noe sted har nevnt den store skogbrannfaren eller de pågående brannene på Sør- og Østlandet.

Da var den nyeste saken på Kriseinfo datert til 14. mai og omhandlet kraftig vind på Vestlandet.

Først fredag klokken 21.35 legges det ut en sak om skogbrannene i Sør-Norge.

– Uholdbart

Onsdag 13. juni klokken 12.42 sender Sveen sin første bekymringsmelding til Kriseinfo.

Atle Frenvik Sveen ble overrasket over alle problemene ved Kriseinfo. Foto: Privat

I eposten legger han fram feilene og kommer med denne dommen:
«… at dette ikke fungerer på en offentlig side som er ment å brukes i en krisesituasjon er uholdbart. Jeg anbefaler å ta en runde med de som har ansvaret for dette asap og få det fikset!»

Også i en påfølgende epost anbefaler Sveen Kriseinfo om å gi beskjed til IT-ansatte som har kompetanse til å løse problemet.

Torsdag klokken 11.14 svarer DSBs pressevakt «Takk for info!». Siden har også minst én person til kontaktet direktoratet.

Trivielle tekniske problemer

Flere IT-kyndige personer jeg har vært i kontakt med beskriver begge problemene som forholdsvis enkle å rydde opp i.

Per Thorsheim. Foto: Martin Gundersen CC BY 4.0

Sikkerhetsekspert Per Thorsheim sier at det burde ta én til to timer å fikse et sikkerhets-sertifikat til nettsiden. Det gjør det mulig å verifisere at din tilkobling til en nettside ikke er manipulert av noen andre og det gjør at andre ikke kan overvåke hva du gjør på nettsiden.

Slik ser det ut når en side ikke har HTTPS:

Foto: Skjermbilde

Direktoratet for forvaltning og ikt anbefaler blant annet kryptering (HTTPS over TLS) på alle offentlige nettsider. NRKbeta har tidligere skrevet at det er mange offentlige sider som ikke overholder denne anbefalingen, men det bør kunne stilles større krav til nettsider som er knyttet til samfunnsberedskap.

– Vi skal være de første til å beklage

Seniorrådgiver Inger Johanne Fjellanger ved DSB opplyser om at Kriseinfo bare er en av flere kanaler de bruker for å gi informasjon til befolkningen.

– Vår kommunikasjonsstrategi når det gjelder skogbrann har i stor grad vært basert på bruk av sosiale medier og informasjon gjennom lokale brannvesen og fylkesmannen, sier Fjellanger.

Hun forteller at skogbrannene fredag ettermiddag er så omfattende at det ville bli omtalt på Kriseinfo, noe det ble senere på kvelden.

Om de tekniske problemene sier Fjellanger:
– Vi er klar over at det har vært og fortsatt er noen problemer, noe vi skal være de første til å beklage. Vår tekniske leverandør jobber med saken, men dessverre har det ikke vært noen enkel løsning, og det er også et kostnadsspørsmål.

– For øvrig er vi i dialog med Justis- og beredskapsdepartementet om videreutvikling av løsninger for krisekommunikasjon til befolkningen.

– Dette er ikke et kostnadsspørsmål

– Hvis det som er statens offisielle nettside for kriser ikke klarer å bli fikset på et par uker på grunn av tilsynelatende banalt enkle feil å fikse, da kan vi ikke stole på den tjenesten, sier Per Thorsheim.

Han understreker at «hoder ville rullet» om noe lignende hadde skjedd hos en privat aktør som for eksempel en bank eller nettbutikk.

– Dette er ikke et kostnadsspørsmål. En så viktig side som dette skal fungere, punktum.

Saken er oppdatert med en spesifisering om at man kan besøke nettsiden ved å skrive m.kriseinfo.no.

***

Hvor stor andel av domener eid av det offentlige i Norge bruker HTTPS? Under ser dere siste status basert på våre skanninger:

32 kommentarer

  1. På min Android-telefon får jeg nøyaktig samme feil (redirect til ikke-eksisterende domene) som illustrasjonen.

    Litt grundigere undersøkelser (openssl s_client -connect http://www.kriseinfo.no:443) viser at http://www.kriseinfo.no er satt opp med et sertifikat som er gyldig for disse navnene:

    a248.e.akamai.net
    *.akamaihd-staging.net
    *.akamaized.net
    *.akamaihd.net
    *.akamaized-staging.net

    – noe som etter mitt hode ser ut som at nettstedet ikke er ferdig konfigurert, siden akamai-sertifikatet under normale omstendigheter før eller under produksjonssetting skulle vært byttet ut med et som var gyldig for for eksempel

    kriseinfo.no
    http://www.kriseinfo.no
    m.kriseinfo.no

    og kanskje et par andre navn en hadde tenkt å bruke.

    Begge disse feilene burde som Per Thorsheim sier være enkle å fikse, og til helt ubetydelig kostnad. Gitt altså at en har personer innen rekkevidde med basiskompetanse i konfigurering av webservere.

    Svar på denne kommentaren

    • Jeg er fullstendig klar over det. Redirecten fungerer også fra http://www.kriseinfo.no

      Men: det er 2018, og det er snakk om en offentlig nettside. Slike redirects er ikke rocket science, og for noen som kan dette (i motsetning til de(n) som har satt opp ting nå) er dette en enkel sak å fikse.

      Vi kan ikke kreve at man må skjønne dns, domenenavn og redirects for å komme til en nettportal med info om krisesituasjoner. Er man noen gang stresss er det kanskje nettopp i en krisesituasjon?

    • Anders (svar til Anders)

      Ser det har kommet med i artikkelen også (lagt inn i etterkant eller jeg som overså det?).

      @Sveen, @Hansteen: Ja, det var ikke ment som noen unnskyldning, bare en saksopplysning, selvsagt burde det fikses.

    • Hei,
      jeg la inn en setning i bunn om at jeg oppdaterte saken med spesifiseringen. Det skjedde etter at jeg leste Anders kommentar, men glemte å svare i farten.

  2. Jonas Nilsen

    Skal være helt ærlig her, aldri hørt om sida en gang. Så mye hjelp hadde den vært for meg i en «krisesituasjon». Kommer helt sikkert til å glemme den i løpet av neste måneden igjen også.

    Svar på denne kommentaren

    • Da er vi to. Aldri hørt om dette før nå.

      Men lurer på en ting: når det ble forbudt å vanne plenen for noen uker siden så fikk jeg tekstmelding på det. Ville de også sendt ut en tekstmelding om det var skogbrann i området mobilen min befinner seg?

  3. Geir Amundsen

    Største problemet er at NRK P1 ikke lenger er å finne på radio.Det er det innisielle kommunikasjonen som avgjør om ting kommer frem. DAB og websiden kriseinfo er det vell få som får inn når den virkelige krisen er et faktum.

    Svar på denne kommentaren

  4. Men det er ikke også ganske gammeldags å ha en egen m.kriseinfo.no i disse tider med responsive nettsider? Da hadde man sluppet det problemet med sertifikat som ikke fungerer på «mobilversjonen» av nettsiden.

    Jeg synes uansett det er veldig skremmende at de sidene som vi skal kunne søke informasjon fra, ikke hadde så mye informasjon da disse flyalarmene gikk, men først etterpå at det hadde vært en øvelse…

    Svar på denne kommentaren

  5. Kommunen der jeg bor ble varslet om dagbøter fordi nettsidene ikke hadde universell utforming, noe som sskapte stor ståhei i lokalpresse og sosiale medier.

    Skulle tro at dette her var betydelig mer alvorlig. Ikke bare er siden mangelfullt oppdatert, men den mangler helt grunnleggende sikkerhetsaspekt (sertifikat).

    Dette føyer seg pent inn i regjeringens mangelfulle innsats for å sikre beredskapen i landet.

    Svar på denne kommentaren

  6. Gjorde et forsøk på å finne nærmeste tilfluktsrom i forbindelse med flyalarm i juni. Fikk etter noe tid en lenke til en database med noen få tilfluktsrom. Skulle man stole på den, har Hordaland fylke samlet plass til ca 10 000 personer…

    Svar på denne kommentaren

  7. Fredrik de Lange

    Hvilken totalt inkompetent leverandør er dette? Kostnadspørsmål for hvem? Leverandøren leverer da åpenbart ikke det kunden har spesifisert? Dette er helt utrolig.. Selv en 16-åring med teknisk interesse hadde fikset dette på ti minutter. Blir helt matt av slikt.

    Svar på denne kommentaren

    • Det er et veldig godt spørsmål. Leverandøren burde asap rette opp feilen.

      En annen ting er jo at ikke Fjellanger svarer at det er noe de skal ta opp med leverandøren.

      Får litt vibber av at noen «som er så flink på data» har satt opp denne suppa i lunchen..

  8. Karl Martin Lund

    Et like stort problem med siden er vel at jeg og to andre normalt oppegående, voksne mennesker i tillegg til et par andre kommentatorer som kom meg i forkjøpet ikke har hørt om den…

    Svar på denne kommentaren

  9. Sjur Andre Dalland

    Den beste, og mest robuste løsningen til informasjonskanal har myndighetene valgt å legge ned. Nemlig FM. I stedet skal det brukes mer eller mindre, helst mindre, finurlige digitale informasjonskanaler som ikke fungerer i dag, og som aldri kommer til å fungere. Spesielt ikke i en krisesituasjon.

    Svar på denne kommentaren

  10. Christoffer B

    Tror mange her overser en viktig ting her. Poenget med kriseinfo.no er ikke å være en tjeneste for å faktisk gi god krise informasjon til befolkningen, det er en tjeneste for at byråkratene i diverse direktorater og departement skal kunne forsvare budsjettene sine og ha ryggdekning for at de gjør noe i fastsettelse av neste års budsjett. Så kan Evry eller andre ta betalt millioner for noe en 16 åring kan lage på så timer. Slik kan man holde det gående i årevis med prosjekter, møter, handlingsplaner og ansettelse av flere folk og konsulenter. At ingen vet om tjenesten, at den er ræva elendig og ingen noen gang kommer til å bruke den i en krise er underordnet.

    Svar på denne kommentaren

  11. Vilander Hansen

    Jeg vet at Semac har levert varslingsløsninger til bl.a kommuner i Norge som bl.a gjør at om du er i nærheten eller nærmer deg en geografisk lokasjon/krise, så blir du automatisk varslet… eller om du er folkeregisteret ivdetcaktuelle området etc. Gratis i bruk, noen tusenlapper i mnd. lisens. Dette er nærmeste hyllevare idag og for å varsle hele Norges befolkning er ingen større jobb enn å varsle en middels stor by i Europa/USA 😁

    Svar på denne kommentaren

  12. Dette synes jeg dere burde grave mer i.

    Det er ikke holdbart å beklage her, de skal fikse det pronto. Jeg jobber i IT-industrien og både DNS og sertifikater er helt elementære greier å fikse.

    Her må vi kreve faktiske svar på hvorfor dette ikke er i boks, ikke svada og løfter.

    Svar på denne kommentaren

  13. Da kriseinfo.no ble satt opp i sin tid ble det diskutert hvorvidt vi skulle ha SSL-sikring eller ikke, men den gang var dette en prioriteringssak mellom tilgjengelighet og integritet. I og med at løsningen er satt opp med Akamai (for å sikre tilgjengelighet) ville det kreve å sette opp SSL kreve sertifikater som omfatter alle Akamai-servere. Dette ville blitt svært kostbart, og det ville gått ut over svartiden til nettstedet. Vi diskuterte å legge ut en SSL-tjeneste på utsiden av Akamai, slik at brukere som ville kunne gå til en side med SSL. Problemet ville bl.a. bli at denne tjenesten nok ville bli fortrukket tjeneste og dermed alltid være nede.

    Driftsmulighetene har imidlertid endret seg siden den gang og vi har over en lengre periode vært i en prosess der vi utreder andre muligheter for veien videre for kriseinfo.no. (Nettstedet generelt har jo som flere påpeker også behov for oppgradering og modernisering. Beklageligvis har denne avklaringen tatt noe lenger tid enn ønskelig.)

    Så lenge vi drifter løsningen på Akamai har det altså vært en kostbar affære å legge løsningen over på https. Dermed har det heller ikke vært noen god løsning å gjøre dette midlertidig som et quick-fix i og med at vi har håpet å kunne relansere kriseinfo.no på ny plattform og med nytt driftsrigg.

    Etter en lengre dialog med Akamai viser deg seg nå at de har endret måten å håndtere SSL-sertifikater på, slik at kostnadsbildet for å implementere SSL-tjenesten i Akamai ser radikalt annerledes enn tidligere. Kort sagt skal man nå kunne legge på SSL- sertifikatet på front enden, og at Akamai kan bruke denne konfigurasjonen. Dermed kan vi nå implementere dette uten altfor store kostnader, noe vi naturligvis har iverksatt.

    Dette blir likevel å regne som en midlertid løsning i og med at vi har flere utfordringer med kriseinfo.no, hovedsakelig som følge av nettstedets alder. Derfor har vi besluttet å sette opp kriseinfo.no på nytt, som en svært enkel, men tilgjengelig og oppgradert løsning. Vi er i gang med dette arbeidet og forventer å lansere den nye siden før årsskiftet.

    Vi ønsker samtidig å minne om at kriseinfo.no kun har mandat til å samle og videreformidle informasjon som allerede er publisert av norske myndigheter, i og med at kriseinfo.no er en lenkeportal. Portalen er dermed et supplement til myndighetenes egne nettsteder og sosiale kanaler, og ikke en varslingskanal eller førstehåndskilde til kriseinformasjon fra myndighetene.

    Svar på denne kommentaren

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.