Avsender havnet i kopifeltet
I september i fjor fikk en kollega av henne på fagforeningskontoret vite at en e-post var sendt i hennes navn uten at hun hadde skrevet den. Det var tvert imot en tredje tillitsvalgt som hadde skrevet den.
- Tenk deg den følelsen, at andre har mottatt en e-post fra deg som du aldri har skrevet, poengterer Dæhli.
I november skjer det enda en gang i forbindelse med at en tillitsvalgt sender en e-post til ledelsen med kopi til en rekke andre tillitsvalgte ved NTNU. Når mottakerne leser e-posten, står en annen tillitsvalgt fra en annen fagforening som avsender. Den reelle avsenderen står nå i kopifeltet.
Det tredje tilfellet handler om en møteinvitasjon som blir sendt 10. januar. Som arrangør står en tillitsvalgt i Forskerforbundet. Den samme møteinvitasjonen er imidlertid sendt ut i fjor høst av en helt annen tillitsvalgt i samme forbund.
Ubehagelige episoder
- Det er rart at det skal skje slike hendelige uhell flere ganger. Vi er ofte i kontakt med ledelsen om sensitive saker. Da er det virkelig betenkelig hvis det ser ut som om avsender er en annen enn den faktiske, sier Kristin Dæhli.
Hun peker også på at mange ansatte jobber med sensitivt forskningsmateriale på oppdragssiden med klausuler om lukkethet.
Dæhli understreker at hun ikke har grunnlag for å si at dette handler om verken ID-tyveri eller forfalskning. Etter det tredje tilfellet syntes hun imidlertid at rotet med avsendere begynte å bli så ubehagelig at hun sendte en e-post til NTNUs organisasjonsdirektør og fortalte om de to sistnevnte e-postene, der hun selv stod som mottaker.
- Brukerfeil
Ida Munkeby videresendte e-posten til NTNUs IT-sjef Håkon Alstad. Han igjen ba sikkerhetsanalytiker Christoffer V. Hallstensen ved Seksjon for digital sikkerhet se på saken. Dæhli fikk en e-post fra Hallstensen som forklarte hva han mener kan ha skjedd, og som understreker at e-post ikke er et sikkert medium.
Til UA forteller sikkerhetsanalytikeren at e-post ble utviklet på 1960-tallet og standardisert i perioden 1971-1977. Dagens variant stammer fra 1980-tallet.
I brevet til Dæhli skriver Hallstensen at siden e-post ble opprinnelig utviklet som et forskningsprosjekt, hvor alle som var tilkoblet internett var gode kolleger, var det opprinnelig ikke så viktig å designe sikkerhetsmekanismer inn i protokollene. Dette er det ikke lett å endre på i dag uten at det vil få større konsekvenser for e-postleveransen ved NTNU.
Hallstensen skriver videre i sitt svar til Dæhli at den første e-posten skyldes en brukerfeil og et uhell, der e-postklienten gir adgang til å kopiere e-post-adresser direkte inn i fra