Oppsummering fra NIFS-møte 15. februar 2017

Universell utforming

Temaet for NIFS-møtet var universell utforming og informasjonssikkerhet

Publisert: 23. feb 2017, Sist endret: 30. okt 2018

Fungerende seksjonssjef i seksjon for informasjonssikkerhet og datadeling Britt Eva Bjerkvik Haaland innledet med nytt fra Difi (se vedlagt presentasjon fra Difi).

Siv Bianca Kjosås og Geir Sindre Fossøy fra Tilsynet for universell utforming orienterte om tilsynets arbeid (se vedlagt presentasjon).
Det er viktig å lage løsninger som alle kan bruke da digitale løsninger i dag er en nødvendighet for å delta i samfunnslivet. Vi har forskjellige utfordringer og behov, og tar vi med temporære vansker så gjelder dette mange. Alle skal ha like muligheter og man har rett på tilrettelegging.

Forskrift om universell utforming av informasjons- og kommunikasjonsteknologiske (IKT)-løsninger kom i 2013. Tilsynet følger opp at kravene i forskriften blir fulgt opp i praksis. De følger også opp regelverk, både nasjonale, EU og internasjonale. Forskrift om universell utforming av IKT-løsninger stiller krav om at nettsider må oppfylle 35 av 61 suksesskriterier i standarden Retningslinjer for tilgjengelig webinnhold (WCAG 2.0 fra WC3).

Etter et tilsyn retter alle opp de manglende som er funnet. Tilsynet har ikke trengt å bruke reaksjoner som pålegg om retting og dagbøter ennå. 

Hva er viktigst å tenke på:

  • Tidsgrensene må ikke være for korte
  • Korte skjema
  • Tastaturnavigasjon (at nettstedet kan brukes kun med tastatur)

Av teknologiske hjelpemidler kan nevnes eye-tracking, blåsemus, klikkebryter, og mer vanlige hjelpemidler som hodetelefon med støydemper. 

Stein Erik Skotkjerra fra Blindeforbundet holdt en interessant presentasjon om hva det helt konkret innebærer med universell utforming.

Blindeforbundet fikk tidligere mange henvendelser om å teste løsninger, men for å gjøre dette profesjonelt så de at det var viktig å behandle universell utforming som et fag. Det er ikke nok å bare spørre tilfeldige brukere.

Det overordnede målet med å lage universelle nettsteder er ikke å følge standardene/reglene, målet er å lage en god brukeropplevelse for alle.

Universell utforming i forbindelse med informasjonssikkerhet handler mye om tilgjengelighet og brukervennlighet. Filosofien må være at vi vet ikke hvem brukeren er og hvilke utfordringer han/hun har.

De fleste med funksjonshemming bruker hjelpemidler, men vi bygger ikke inn hjelpemidler, vi legger til rette for at hjelpemidler kan brukes. Det største problemet er forutinntatte holdninger i begge leire, både i UU og informasjonssikkerhet. Det finnes ikke grunnleggende problemer.

Likheter: UU og informasjonssikkerhet skal ikke legges på til slutt, da får vi dårlige løsninger. Det er viktig å få krav til universell utforming og informasjonssikkerhet inn i løsningene så tidlig som mulig.

Det er viktig å tenke på målet med det vi gjør. Noen ganger skal vi ikke løse alt teknisk, men tilby hjelp som for eksempel at det er en help desk man kan ringe. De som lykkes med UU er de som klarer å etablere tverrfaglighet. Man må snakke sammen og finne de gode løsningene. Utviklerne må kjenne til UU.

Eksperttesting er viktig, men brukertest er det viktigste. Viktig å teste tidlig slik at problemer kan rettes tidlig slik at det koster mindre, og også slik at flere kan lære noe av dette.

Hva kan du teste selv:

  • Skru av bildevisning i nettleseren; klarer du da å bruke siden?
  • Skru av stilark (CSS), klarer du da å bruke siden? Er siden robust for dette?
  • Skru opp tekststørrelsen til 200% Kan den fortsatt brukes?
  • Kast musa og bruk tastaturnavigasjon, kan siden fortsatt brukes med et spesifikt sett taster?
  • Synlig fokusmarkering
  • God kodekvalitet; hva er dette og hva kan jeg gjøre med det
  • ARIA (Accessible Rich Internet Applications)

Stein Erik viste oss hvordan en skjermleser for blinde fungerer i praksis. Sikre felt og skriveekko er ikke noe problem i dag, skriveekko undertrykkes i sikre felt, det vil bare leses opp "stjerne, stjerne" eller "klikk, klikk". 

Det kan være vanskeligere med kognitive variasjoner, for eksempel problemer med å huske passord for eksempel. Dette er ikke problem kun for brukerne, men også for eierne av de digitale tjenestene.

Det er viktig å la brukerne velge, det kan løse mange problemer. Og noen problemer er faktisk ikke problemer.

En skjermleser kan ikke lese pdf som er scannet som et bilde. Dette kan også hindre program som prøver å se om man finner konfidensiell informasjon. PDF-bilder kan kjøres gjennom OCR for å gjøre den søkbar.

Captcha er et problem, den stopper blinde (og også en del andre). Det letes etter løsninger på dette. NRK har en beta-løsning som stiller spørsmål om hva artikkelen handler om, noe som ihvertfall i dag kan være vanskelig å få roboter til å gjøre.

Det er viktig å være nysgjerrig og teste ut tjenestene. Snakk sammen på tvers av etatene om hvordan man gjør det. WCAG er et godt hjelpemiddel men det er fortsatt viktig å teste. Bruk Blindeforbundet og for eksempel Funka. 

Skillet mellom UU og informasjonssikkerhet er litt kunstig og ikke et stort problem hvis du tenker på det fra starten av.

Jon Berge Holden fra Difi orienterte om bakgrunnen for motsetningene mellom UU og informasjonssikkerhet og om Captcha spesielt (se også vedlagt presentasjon)

Lovkrav til UU:
Diskriminerings og tilgjengelighetsloven paragraf 13 sier at det er en plikt å sikre universell utforming, men tilretteleggingen må ikke medføre uforholdsmessig byrde, herunder sikkerhetsmessige hensyn

Lovkrav til informasjonssikkerhet:

  • Sikre integritet, konfidensialitet og tilgjengelighet
  • Tilfredsstillende informasjonssikkerhet, pol § 13
  • Skal ha internkontroll, omfang og innretning tilpasset risiko, efvf §15

Sikringstiltak som kan utfordre UU

  • Autentisering (Biometri kan være utfordrende)
  • Captcha (bevis på at du er et menneske og ikke en robot) Robotfelle, Human Interaction Proof
  • Tolking av bilder

Kodebilder må være veldig vanskelige dersom roboter ikke skal kunne kode dem. Lydfiler blir for enkle. Typeklassifiseringer av bilder er nå borte, det ble for lett å ta maskinelt. Selvlagde løsninger kan fungere dersom ikke mange bruker det, grunnen er at da blir det for dyrt å automatisere.

Recaptcha, situasjonsbaserte krav. Risikobasert. Ser på hastighet ol.

Generelt om Captcha-løsninger:

  • Vurder trusselen
  • Vurder effekten
  • Vurder alternativet

Håkon Styri fra Difi var interessert i virksomheter som gjør egne undersøkelser på informasjonssikkerhetsområdet; har dere planlagt noen slik undersøkelser og kartlegginger og er det noe dere kan dele? Dette kommer ut i en egen nyhetssak.

Oppsummering av gruppediskusjonene:

Oppgave 1:

Har du i virksomheten opplevd at sikkerhetskrav har gitt IT-løsninger som utfordrer krav til universell utforming?

  • Utfordringer på web-sider. Sende sikker melding- autentisering, har vi tenkt på UU her?
  • Husbanken – digitalisert startlån for husstanden. Man logger først inn selv og så må andre i husstanden også logge inn. Tungvint og ikke veldig brukervennlig.
  • I noen virksomheter har man gamle verktøy som hverken følger UU eller informasjonssikkerhet. Det blir da mer fokus på informasjonssikkerhet.
  • Det er ikke mange som har eksempler på dette. Er det ingen utfordringer?

Oppgave 2:

Har du i virksomheten opplevd at krav til universell utforming har gitt bedre sikkerhet

  • UU for svaksynte, tydelige plakater med informasjon gir bedre sikkerhet.
  • Bedre fysisk plass gir også bedre sikkerhet.
  • Viktig informasjon løftes tydelig fram, det bedrer UU og bedrer sikkerheten.
  • Pålogging til systemer og SSO, dette har sideeffekter som kan gjøre ting lettere.

Oppgave 3:

Har du som bruker av elektroniske tjenester opplevd at sikkerhetskrav har gitt IT-løsninger som utfordrer krav til universell utforming?

  • Captcha: Bilder er bedre enn bokstaver.   
  • Tidsbegrensning ved utfylling av skjema.

Oppgave 4:

Har du som bruker av elektroniske tjenester opplevd at krav til universell utforming har gitt bedre sikkerhet?

  • Bedre brukervennlighet er direkte koblet til sikkerhet, altså tilgjengelighet.
  • Ikke for mange klikk for å komme til et nettsted.
  • Lettere å teste et nettsted
  • Automatisk innfylling av kjent informasjon, dette kan hjelpe ved kognitiv svikt
  • Valg mellom ulike måter å logge seg på, man kan velge en man føler seg trygg på slik at man gjør det riktig.

Martha Eike fra Datatilsynet (se også vedlagt presentasjon)

Sikkerhetsrevisjoner er pålagt i forskriften. Jevnlig er ofte lik årlig, men det er få som gjør dette.

SOC2-rapport sier veldig mye om leverandøren, man må underskrive en non-disclosure agreement for å se den. Tilsvarer revisjon av ISO/IEC 27001/27002.

Den nye personvernforordningen er ikke i klarspråk, men den skal oversettes til norsk, den skal komme i mai i år.

Regelverket må tolkes likt over landegrensene. Personvernombud er pålagt for offentlige virksomheter. Databehandlere får nye plikter

Oppsummert: virksomhetene blir mer ansvarlig for det de holder på med. Meldeplikt og konsesjonsplikt forsvinner.

Nye krav til avvikshåndtering, avviksskjema i Altinn. Dette er ansvaret til behandlingsansvarlige. Databehandlere skal melde til behandlingsansvarlige som melder videre til Datatilsynet. De berørte skal varsles.

Personopplysningslov og forskrift som utdyper. 2018 kommer med forordning. Vi vet ikke om det kommer en forskrift til forordningen.

Innebygd personvern

  • Pseudonymisering
  • Minimalisering
  • Det minst personverninngripende alternativet skal være standard

Vurdering av personvernkonsekvenser (DPIA). DPIA er litt annet enn risikovurdering, man skal se det fra den registrertes perspektiv

  • mulighet til å gripe inn
  • kan ikke kobles
  • tilgjengelighet
  • åpenhet

DPIA er en prosess for å bygge og demonstrere etterlevelse av regelverket. Dersom DPIA viser at konsekvensen er høy skal du be om en forhåndsdrøfting med Datatilsynet.

 

Deldette

Kontakt