Hausten 2020 kom det for ein dag at datasnokar hadde brote seg inn i e-postkontoane til nokre av stortingsrepresentantane og stole sensitiv informasjon. E-post har for lengst vorte ein plass der informasjon av stor verdi vert utveksla, og det som truleg var russiske datasnokar, fekk tilgang til det høgaste nivået i den norske statsstyringa.

Brevpost er ein teknologi for asynkron kommunikasjon som ikkje er så vanleg lenger. For nokre tiår sidan skreiv vi meldingar på eit papirark, putta arket ned i ein konvolutt, skreiv namn og adresse til personen utanpå konvolutten og sette på frimerke.

Så la vi brevet i raude kasser som var spreidde rundt omkring. Postverket (som Posten heitte før 2002) hadde ein stor stab som henta brev og frakta dei til dei adressene og personane som stod på konvolutten. Dei putta breva i grøne kasser utanfor huset til mottakaren eller i låste boksar i oppgangen i blokka.

Denne skildringa av gamaldags post gjer tydeleg at asynkron kommunikasjon avheng av ein fastlagd struktur. I dagens digitale verd vert slike presise reglar for kommunikasjon kalla protokollar, og det finst ei rekke protokollar for e-post.

E-post har vi gjerne tilgang til via ein app på mobilen eller kanskje i nettlesaren. Ein slik app er ein e-postklient. Han viser oss kva e-post vi har fått, og lèt oss lage nye e-brev. For å sende e-post brukar klienten ein utgåande e-posttenar. Han tilsvarar den raude postkassa utanfor postkontoret. For å få tilgang til e-post som kjem til oss, har klienten kommunikasjon med ein innkommande e-posttenar, som tilsvarar den grøne postkassa der vi får papirbreva våre.

Protokollen til Postverket sa at dei skulle tømme postkasser på faste tidspunkt, sjekke frimerket og sortere og fordele breva i utgåande postsekkar. Dei digitale posttenarane brukar ein protokoll kalla SMTP (Simple Mail Transfer Protocol). Meldinga ligg i det som framleis vert kalla ein konvolutt, og i tillegg har meldinga eit brevhovud med avsendar, mottakar, dato og litt meir informasjon.

Ideen om asynkron kommunikasjon på internettet er nesten like gammal som nettet sjølv. Alt rundt 1970 byrja ein å bruke @-teiknet for å adressere meldingar til brukarar på andre maskiner. Det som stod bak @, identifiserte maskina til mottakaren. I dagens e-postadresser viser ikkje dette til ei bestemt maskin, men til ein e-posttenesteleverandør.

Til å byrje med var meldingar ein integrert del av dei generelle dataoverføringsprotokollane. Men ein innsåg fort at e-post trong eigne protokollar. SMTP og enkel e-postprogramvare (sendmail) vart utvikla tidleg på 1980-talet. Ein kunne i utgangspunktet berre sende meldingar som tekst, men systemet vart fort tilpassa slik at ein kunne legge ved alle slags filer. Datakriminalitet var ikkje noko stort problem for førti år sidan, så SMTP var opphavleg utan sikkerheitsløysingar. Men det har ein tatt tak i.

Eit poeng er at alle som har ei fast internettadresse (ein talkode som unikt identifiserer ei datamaskin), kan ha sin eigen utgåande e-posttenar. Dette har gjort det mogleg å distribuere søppel-e-post i store mengder. Avsendaren kan sjølv velje avsendaradresse, og ofte er adressa falsk.

Mange lèt seg lure av e-postadresser som liknar på adresser dei kjenner frå før. For å redusere faren for datasnoking er det vanleg at internettleverandørar i dag ikkje tillèt brukarmaskiner å distribuere e-post, men mange får det no til likevel.

Frå avsendartenaren går e-posten som datapakkar gjennom internettet til ei mottakaradresse. Her fordeler den innkommande tenaren posten og lagrar han, slik at e-post-appen kan få tilgang. Om vi har ein klientapp, for eksempel Apple Mail eller Microsoft Outlook, får vi tilgang til e-posten ved hjelp av ein passande protokoll. Éin protokoll heiter POP (Post Office Protocol) og lastar posten ned til datamaskina og slettar han hos leverandøren. Det vert som om vi tar posten med oss frå den grøne postkassa.

Det er vanlegare å nytte IMAP (Internet Mail Access Protocol). Då vert e-posten liggande igjen, og vi kan få tilgang til han frå andre maskiner enn der vi las e-posten først. Denne løysinga passar godt for dei fleste i dag, sidan vi likar å lese e-post både her og der. Vidare tilbyr e-posttenarar at vi kan organisere e-posten saman med andre tenester, som ei avtalebok.

Vi har samanlikna den innkommande tenaren med den gamaldagse postkassa, men få brukar han som lager for post, så analogien er ikkje perfekt. Men mange av oss lèt e-post med sensitiv informasjon ligge på tenarane, og då er det lurt å sikre e-postkassene med god teknologi for autentisering av brukarar. Truleg var det for dårlege innloggingsrutinar hos Stortinget som gjorde at datasnokane kom seg inn og kunne lese e-posten til nokre av representantane. Kanskje hadde dei dårlege personlege passord, men innbrotet var truleg meir komplisert enn som så.

Då innbrotet skjedde i 2020, hadde Stortinget alt innført tostegsautentisering, det vil seie at brukaren både må gje eit passord på PC-en og stadfeste identiteten sin på mobil for å logge inn. Då vert det sendt ei tekstmelding til mobilen med ein kode som brukaren må taste inn.

Også for stortingsrepresentantar vart slike viktige kodar distribuerte over mobilnettet. Dette er ikkje så sikkert som ein skulle ønske, og det opna for innbrot. Det er sikrare å stadfeste identiteten sin med ein personleg kode som berre ein sjølv kan, eller ved å bruke fingeravtrykket sitt.

Bjørnar Tessem og Lars Nyre