Altinn er åpnet

Altinn åpnet igjen fredag kl 11. Sikkerhetsfeilen er isolert til en standard IT-komponent som er svært mye brukt i tilsvarende løsninger over hele verden.

- Vi er veldig glade for at vi nå har funnet feilen slik at vi kan åpne Altinn igjen. Vi beklager de problemene det har medført for brukerne våre, men vi måtte ivareta sikkerheten. Folk kan nå føle seg trygge på at personopplysninger ikke kommer på avveie, sier fungerende direktør i Brønnøysundregistrene Håkon Olderbakk.

- Vi vil naturligvis gjøre en meget grundig gjennomgang av denne hendelsen. Sammen med Veritas sin evaluering og andre evalueringer vil dette være et viktig fundament for å gjøre Altinn bedre og mer robust i framtiden, sier Olderbakk.

Standard IT-komponent
Feilen er isolert til en standard IT-komponent som sørger for at systemer skal kunne håndtere stor trafikk på en mer effektiv måte. Komponenten er levert av et anerkjent internasjonalt IT-selskap, og brukes i svært mange tilsvarende systemer i privat og offentlig sektor, både i Norge og internasjonalt.

Lagret i hurtigminne ved en feil
Når mange brukere skal hente samme innhold, tas ofte en mekanisme kalt «caching» i bruk. Det innebærer at generelt innhold, som bilder o.l. ikke hentes fra de bakenforliggende serverne, men lagres i et hurtigminne. Serveren trenger dermed ikke å hente fram de samme dataene hver gang en ny bruker spør etter dem, og systemet takler derfor mye mer trafikk. Personopplysninger skal ikke kunne lastes ned og «caches» i Altinn, men en utilsiktet hendelse i «cachemodulen» førte til at en persons navn og fødselsnummer ble synlig for andre brukere i Altinn i en periode på 17 minutter før løsningen ble stengt ned kl 18.34 tirsdag 20. mars.

Ingen andre kjente tilfeller
Basefarm AS, som drifter Altinn for Brønnøysundregistrene, har vært i tett dialog med produsenten av komponenten de siste dagene. Ifølge produsenten er det ikke rapportert lignende tilfeller av feil fra andre kunder. Feilen er av en karakter som ikke har latt seg avdekke i alle de testene som er gjennomført på Altinn det siste året, og den er heller ikke identifisert som et problemområde i Veritas sin evalueringsrapport.

Kan bli økt ventetid
Fjerning av «cache»-funksjonaliteten kan føre til at systemet blir tregere ved høy belastning. Flere deler av løsningen er nå optimalisert og ytelsestester er utført de siste dagene med gode resultater. Altinn.no vil også få et enklere utseende en periode, for å sikre at all kapasitet brukes til å betjene våre brukere.

- Til tross for at det er iverksatt tiltak for å redusere tregheten, er det dessverre sannsynlig at brukerne i perioder vil oppleve å møte «køplakaten» oftere enn vi skulle ønske. Det gjelder spesielt i perioder med ekstra stor trafikk, som når skatteoppgjøret legges ut, sier Håkon Olderbakk i Brønnøysundregistrene.