FHM:s leverantör Infosolutions släpper in den amerikanska tredjeparten Cloudflare (utan samtycke)

Robustheten inom digitaliseringen är vad då, lite mer exakt?


Parallellt med att vi hör hur allt fler lär sig att dra nytta av digitaliseringen av samhället tycks vi också göra oss beroende av att digitaliseringen bara funkar. För vad förväntas vi göra när, hela eller delar av, nätet inte fungerar? Likt nu i slutet av augusti.

Det duger inte från samhällets sida att säga ”oj, tänkte inte på det” när folk plötsligen varken kan använda det digitala eller ens vet hur det går till på ett analogt vis.

”Det här visar på hur sårbart internet faktiskt är, säger Siren Hofvander, it-säkerhetsexpert.”
Fel som orsakade globalt internetstrul löst (Göteborgs-Posten, augusti 2020)

Beroende av (ibland helt onödiga) tredjeparter

Jag ingår i den grupp om några tusen svenskar som Folkhälsomyndigheten (FHM) testar för covid-19 med jämna mellanrum. Om det nu inte strulat för FHM med upphämtningen av mitt test nu i veckan hade jag kunnat fått nöjet att inte få mitt provsvar på ett bra sätt. Varför? Jo, FHM har upphandlat tjänsten att lämna ut provsvar av ett företag som heter Infosolutions. Infosolutions har i sin tur anlitat minst ännu en tredjepart, amerikanska Cloudflare. Låt oss inte låtsas om vad det innebär i form av att amerikanska myndigheter kan tvinga Cloudflare att avlyssna alla provsvar i Sverige, det kan vi ta någon annan gång. Inklusive att Infosolutions inte ber mig om ett samtycke att blanda in ännu en tredjepart, vilket de nog bör med tanke på GDPR.


Bild 1: FHM meddelar via SMS när provsvaret är klart. Man kan snabbt få digitalt svar eller bevaka den fysiska postlådan när nu brevet kommer. Pappersbrev är ändå en fungerande reservplan.
Bild 1: FHM meddelar via SMS när provsvaret är klart. Man kan snabbt få digitalt svar eller bevaka den fysiska postlådan när nu brevet kommer. Pappersbrev är ändå en fungerande reservplan.

Och skämmes den som inte duttar på länken i SMSet och istället skriver in adressen på en dator eller annan pryl, i alla fall om man struntar i att skriva in prefixet https://, för då kommer man nämligen inte fram. Hur vore det att automatisk skicka alla stackare som inte skriver önskat protokoll vidare dit ni vill ha dem - är det för mycket begärt?


Digitaliserat korthus

Låt oss fundera på vad det innebär att bygga något som står på en högst ostadig grund. Går man till inloggningssidan, Logga in - PatientPortalen, som FHM har i sitt utskick om att mitt provsvar är klart riskerar man att stöta på problem direkt. Hela inloggningen bygger på antagandet att webbtekniken Javascript fungerar i varje besökares webbläsare varje gång. Det är ett tveksamt antagande. Bland annat för att som här i augusti (i onödan) laddar in delar av sina Javascript via tredjeparten Cloudflare. Så förutom att man gör antagandet att Javascript kommer att fungera så antar man att Javascript också via tredjeparten Cloudflare kommer funka, inte vara manipulerade och att varken Cloudflare eller någon av deras underleverantörer har stött på problem.

Om jag simulerar i min webbläsare att Javascript inte fungerar går det inte att logga in. Klickar jag på knapparna (som inte egentligen är knappar) kommer det inte hända något. ”Knapparna” är egentligen länkar som designats att se ut som knappar. Ifall de faktiskt hade varit knappar hade de fungerat utan Javascript, men även det kan vi spara till en annan bloggpost. Eller det faktum att utvecklarna på Infosolutions inte validerat sin kod. Det är nämligen så att om man har fler än ett provsvar i den tjänsten så kommer de rent tekniskt ha samma identitet, vilket kan ställa till det för användare av skärmläsare, exempelvis blinda. Så beroende på när Infosolutions sjösatte denna tjänst är den som senast 23:e september i år i strid med lagen om digital offentlig service (DOS-lagen) men detta har också varit reglerat av diskrimineringslagen sedan fem år tillbaka. Låt oss inte fokusera på det heller.

Ännu en tredjepart sköter inloggningen

Som så många andra låter Infosolutions någon annan sköta inloggningen, där endast BankID stöds, och det förklarar varför man skickas till ännu en webbadress som inte har det minsta med FHM att göra - login.grandid.com
Den tjänsten drivs av Svensk e-identitet. En uppmärksam användare som är medveten om nätfiske får förstås huvudvärk av att bollas mellan alla dessa tredjeparter som man inte nödvändigtvis vet ifall de är trovärdiga.

Cloudflare är inte heller helt självförsörjande

Tredjeparten Cloudflare är beroende av bland annat företaget CenturyLink för att kunna fullgöra sina åtaganden. Det är inte direkt oväntat, Cloudflare vill nog inte gräva egna kablar under världshaven och den sortens verksamhet andra gör bättre. Så de köper in tjänster i sin tur. Söndagen den 30:e augusti började många ha problem med att använda nätet. Både i Europa, delar av Nordamerika och kanske andra delar av världen också.

Hade man då en leverantör som använder CenturyLink, likt Cloudflare, så kunde man inte räkna med att webbplatsen eller internettjänsten fungerade som den skulle, om ens alls.

”This was not a Cloudflare-specific outage. Level 3/CenturyLink was responsible for an outage that affected many Internet services, including Cloudflare.”
Cloudflare says its Sunday morning problems were due to CenturyLink outage (The Verge)

Infosolutions hade mycket väl kunnat låtit bli att göra sin lösning så här komplex och beroende av andra. Jag, som själv är webbutvecklare, misstänker att detta gjorts av gammal vana och/eller lättja. Många tänker inte till ett extra varv när de gör sånt här, vad det kan innebära för bekymmer. Och vi som håller på med teknik kommer undan med det tack vare att många har så låg förväntan på att det ska fungera felfritt. Man är inte van vid att något inom ”IT” är motståndskraftigt, elastiskt, robust eller sådana beskrivande ord som främst är säljjargong.

Men nog tusan vore det enkelt att göra ett bättre jobb! Jag vill tro att vi kan bättre än så här när vi digitaliserar! Vad tror du?

Mer om internetstrul och våra sårbara antaganden om teknik