Rotevatn reagerer på korona-kommunikasjonen til Oslo: – Helt unødvendig at man blir kontaktet på en suspekt måte
Venstres nestleder måtte google seg fram til hvem og hva Helseboka gjør, for å skjønne at SMS-en om tredje vaksinedose var ekte.
Denne artikkelen er over to år gammel.
Denne uken fikk stortingsrepresentant og nestleder i Venstre, Sveinung Rotevatn en SMS han trodde var et phishing-forsøk. Men det viste seg at det var Helseboka, på vegne av Oslo kommune som ville informere om at han kunne bestille seg time for tredje vaksinedose.
Nokon som veit om dette er svindel eller ikkje? “Helseboka” er visst ei reell greie. Men dette såg jo ganske jalla ut. pic.twitter.com/LP7ABimPhc
— Sveinung Rotevatn (@Rotevatn) January 3, 2022
– Jeg er nok litt mer skeptisk enn andre, og det har med min bakgrunn å gjøre fra å sitte i regjering og på Stortinget. Vi har fått god opplæring i IKT-sikkerhet fordi vi sitter med mange sårbare systemer. I tillegg ble jeg utsatt for et phishing-forsøk rett før jul, men i en helt annen forbindelse, forteller Rotevatn til KOM24.
Stusset over flere ting
I desember mottok han en SMS fra Posten som så meget troverdig ut, og han var nær ved å trykke på lenken.
– Det er nok derfor jeg har piggene litt ekstra ute da jeg mottok meldingen fra Helseboka. Men det var også flere grunner til at jeg reagerte i dette tilfellet her. For det første kom det en SMS fra en aktør jeg ikke hadde hørt om, og ikke fra kommunen eller et helseforetak.
Rotevatn forteller at han googlet seg fram til hva og hvem Helseboka er for å forstå at dette var ekte. Likevel var det flere ting i selve SMS-en han stusset over.
– Jeg synes det var et rart språk, og det er en av de typiske tingene man bør være oppmerksom på. Meldingen begynte med «Hei. SR har fått en viktig melding» og videre skrives det «tredje oppfriskningsdose». Det er ikke noe som heter tredje oppfriskningsdose, det heter enten booster eller tredje vaksinedose. De må klare å skrive et ordentlig språk.
Unødvendig suspekt
Deretter reagerer han på lenken nederst i meldingen.
– Det er ikke vanlig fra offentlige myndigheter å legge ved en lenke på denne måten. Og når URL-en virker mistenkelig ved at det ikke er en. no-adresse eller at det går via en offentlig aktør, som for eksempel Altinn eller kommunen selv, tror jeg enhver IT-avdelingen ville stått fast ved at man ikke skal trykke på lenken.
Han mener det er viktig å være føre var, og da han først fikk verifisert at dette var en ekte melding fra kommunen, har han ikke noe å utsette på tjenesten.
– Jeg synes særlig det offentlige har et ansvar for å gå foran som et godt eksempel, og i dette tilfellet tror jeg det kunne vært løst enkelt ved en løsning via en offentlig nettside eller kommunens nettside.
Lene Wium, som er COO i HelseApps mener det pekes på en viktig problemstilling i samfunnet.
– Vi i Helseboka setter sikkerhet og personvern høyt i de teknologiske tjenestene vi leverer. Årsaken til at vi benytter oss av blant annet SMS er at dette i utgangspunktet er en sikker og effektiv måte å nå innbyggerne på. Samtidig er vi alltid åpne for nye innspill og vi vil nevne dette i dialogen med kommunene som bruker våre tjenester, slik at vi sammen kan se på forbedringer.
Helseboka er i dag i bruk hos over 130 kommuner, flere helseforetak og en rekke aktører innen primærhelsetjenesten.
En ekspert KOM24 har snakket med reagerer på bruken av SMS, det kan du lese mer om lenger nede i saken.
Ingen nasjonal løsning
Teamleder koronakommunikasjon i Oslo kommune, Caroline Bremer sier at SMS-innkalling har vært en effektiv løsning for å gi beskjed til alle i alle aldersgrupper, og at dette er den løsningen kommunen har hatt til dette formålet ettersom det ikke finnes en nasjonal løsning.
– Det er i tillegg en løsning veldig mange er kjent med i og med at mange har tilgang til mobiltelefon. Kommunen bruker flere kanaler for å nå ut med informasjon i tillegg til SMS, også i forbindelse med vaksineinformasjon, men ved en SMS vil man kunne logge seg kjapt på sin bruker i Helseboka og finne et tidspunkt til vaksinering som passer for seg ved sitt vaksinesenter.
Hun sier videre at det er laget en SMS-mal fra Helseetaten som bydelene kan bruke og tilpasse til sitt behov, og det jobbes kontinuerlig med klart språk og god informasjon fra hvert enkelt vaksinesenter.
– Det er ved flere anledninger informert om at Helseboka er bestillingsløsningen som benyttes som apparat for timebestilling til vaksinering slik at befolkningen skal kunne kjenne dette igjen i SMS.
Trykk på lenker man stoler på
Bremer forteller at de jobber kontinuerlig med informasjon i en slik SMS slik at befolkningen forstår hva formålet er, hvem som er avsender og hvilke valg man kan ta etter en slik melding.
– Det vil alltid være noen som vil utnytte slike kommunikasjonsflater, noe som er veldig uheldig. Vi anbefaler å kun trykke på lenker fra avsender man stoler på. Helseboka og Oslo kommune vil være det. Det er også klart vi er opptatt av informasjonssikkerhet i Oslo. Vi har god dialog med Helseboka, og vet at de setter sikkerhet og personvern høyt i sine løsninger, noe Oslo kommune også gjør.
Kan senke terskelen for svindel
– Det finnes måter man enkelt kan gjøre det tryggere, sier Anne Siri Koksud Bekkelund om vaksinasjons SMS-ene, til KOM24.
Hun jobber som prosjektleder i Teknologirådet, og sier hun forstår at intensjonen er å gjøre det enklest mulig å bestille time for å vaksinere seg.
– Det er veldig lett å utgi seg for å være noen man ikke er via SMS. Jeg kan enkelt gå inn på en nettside der jeg selv bestemmer hvem som skal stå oppført i avsenderfeltet, sier Anne Siri Koksud Bekkelund i Teknologirådet.Foto: Ingvild Østraat
– Men når Oslo kommune sender ut viktig informasjon fra en annen avsender enn seg selv, som ikke alle kjenner til, og i tillegg legger ved en lenke som ser merkelig ut, kan dette bidra til å senke terskelen for svindel. Neste gang du får en lignende SMS, kan det nemlig være fra noen som forsøker å lure deg.
Hun forklarer hvor enkelt man kan SMS-spoofe, fordi dette er en usikker teknologi.
– Det er veldig lett å utgi seg for å være noen man ikke er via SMS. Jeg kan enkelt gå inn på en nettside der jeg selv bestemmer hvem som skal stå oppført i avsenderfeltet. Riktignok finnes det begrensninger, men generelt er det ikke vanskelig å utgi seg ut for å være noen andre, enten det er et telefonnummer eller et annet navn man velger. Vi har allerede sett eksempler på at noen uten gode hensikter har brukt denne teknikken, og utgitt seg for å være Oslo kommune.
– Man skal ikke behøve å lure
Bekkelund understreker at hun forstår intensjonen fra kommunen, men at viktig informasjon bør formidles på en klarere måte, slik at man ikke undrer seg over om det er et forsøk på svindel.
– Jeg forstår at kommunen ser på SMS-kommunikasjon som en enkel og effektiv måte å nå ut til alle innbyggerne fordi den stort sett leses raskt av mottaker. Men SMS-svindel er en stor risiko. Det bør avveies om man skal velge den enkleste løsningen eller velge en tryggere metode.
I likhet med Rotevatn mener hun kommunen burde vurdert å skrive at mottaker kan bestille time ved å logge seg inn via Oslo kommunes hjemmeside, eller brukt tryggere kommunikasjonsformer.
– Man skal ikke behøve å lure på om en så viktig beskjed er svindel.
- Helseboka har kommentert i forbindelse med uttalelsene fra Bekkelund. Deretter er de forlagt uttalelsene fra Rotevatn, men har ikke kommentert disse fredag.