Myndighetene advarer mot lenker, men sender dem selv

Jeg mottok nylig en SMS fra Østfold fylkeskommune, med en invitasjon til å delta i en spørreundersøkelse via en lenke.

SMS-en så ut som rene tekstbokeksemplet på en smishing-kampanje. Det er på tide at offentlige aktører følger opp sine egne sikkerhetsanbefalinger.

Allerede det at SMS-en har en klikkbar lenke, bør vekke mistanke. I tillegg har man her benyttet en lenke med et utenlandsk domene (cnfrmt.eu).

Mitt inntrykk er at det er en konsensus i sikkerhetsmiljøet at man lar være å gjøre det – nettopp fordi trusselaktørene bruker dette aktivt for å lure oss.

Altinn har vært tydelige på at de aldri sender lenker i verken e-post eller SMS, en praksis som burde være normen for offentlig sektor.

Jeg gjorde det man burde, jeg lot være å klikke på lenken. Deretter kontaktet jeg fylkeskommunen for å få avklart om det faktisk var de som hadde sendt ut SMS-en. Det bekreftet de.

Dette reiser et viktig spørsmål: Hvorfor benytter offentlige aktører metoder de selv advarer folk mot?

Digitaliseringsdirektoratet skriver: «Grunnet økning i svindel via usikre kanaler, som SMS og e-post, anbefaler Digitaliseringsdirektoratet å unngå all bruk av lenker i varsler». Likevel sender fylkeskommunen nettopp det; en SMS med en lenke.

Fylkeskommunen skriver tilbake i en e-post: «Ja, vi er helt enige med deg og har meldt det tilbake til FHI. FHI sliter med å finne et godt alternativ …»

At det ikke finnes et bedre alternativ for å distribuere denne informasjonen, er oppsiktsvekkende i et stadig mer digitalisert samfunn. Man kan argumentere for at offentlige aktører spilles dårlig, når de ikke gis verktøy til å følge opp de rådene som er gitt fra øvrige myndigheter.

Det er et paradoks å fraråde personer ukritisk å klikke på lenker når man selv velger å bruke de samme metodene.

I en tid hvor vi til stadighet blir forsøkt svindlet via nett, må offentlige organer gå foran som et godt eksempel.

Når de gjør det motsatte, svekker det tilliten, og folk lærer feil: «Noen lenker fra det offentlige kan man jo trykke på likevel.»

Det er forståelig at det kan være vanskelig å finne en bedre løsning for å distribuere informasjon som dette. Kanskje mister man noen respondenter dersom man kun ber folk gå til en offisiell nettside.

Samtidig mister man også dem som oppfatter meldingen som svindel, nettopp fordi man har advart mot slike SMS-er.

Dette handler om mer enn bare denne ene SMS-en. Det handler om sikkerhet som en helhetlig samfunnsoppgave.

Hvis myndighetene forventer at innbyggerne skal ha god digital dømmekraft, må de selv gå foran som et tydelig eksempel. Enten må rådene tilpasses virkeligheten, eller så må offentlige aktører få muligheten til å etterleve dem i praksis.