– Resultatene der så få bruker sikkerhetshoder i overføringen av sine nettsteder er nedslående, sier sikkerhetsrådgiver Per Thorsheim til NRK.
- Les også:
- Les også:
Han har bistått NRK sammen med sin britiske kollega Scott Helme for å sjekke hele listen med 11 926 offentlig eide domener for bruk av sikkerhetshoder.
Sikkerhetshodene gir informasjon om hva eieren av nettstedet tillater, og kan bidra til å begrense utnyttelse av sider til svindelformål.
– Vi vet at dette kan brukes til å kopiere andres sider og lage svindelsider. Dette finnes eksempler på at har skjedd der de har klart å lure til seg brukernavn, passord og personopplysninger, forteller Thorsheim.
Slike HTTP-sikkerhetshoder er en ganske fersk teknologi, men NRKs undersøkelser viser at de offentlige nettstedene vi har undersøkt nesten ikke har tatt løsningene i bruk i det hele tatt.
I en test kalt securityheaders.io får hele 68 prosent stryk og karakteren F – noe som i stor grad betyr at de ikke har satt slike sikkerhetshoder i det hele tatt.
Nettadresse-forfalskning
En annen ganske fersk teknologi er DNSSEC.
Teknologien er laget for å hindre at noen angriper trafikken mellom deg og de nettstedene du vil besøke. Uten DNSSEC kan i prinsippet ondsinnede aktører i verste fall gi feil veibeskrivelse. Dermed kan man bli sendt til en svindelside eller en side med virus selv om man skrive riktig adresse.
DNSSEC forsøker å sikre mot dette ved hjelp av krypterte signaturer, men NRKs data fra domeneregisteret Norid viser at de offentlige nettstedene henger etter.
44 prosent av domenene NRK har sjekket mot Norid-basen hadde slik DNSSEC-oppføring. Til sammenligning har 56 prosent av alle .no-domener innført den nye standarden.
– Min erfaring er at de som ikke har DNSSEC vet ikke nødvendigvis hva det er. De tror at det koster mye penger og er vanskelig. Så dette henger nok sammen med kompetanse, sier Per Thorsheim.
Thorsheim mener tallene går inn i et mønster der en del offentlige aktører henger etter.
Vurderer fortløpende
Direktoratet for forvaltning og IKT (Difi) lager standarder og krav til norske offentlige virksomheter for datasystemer.
De har tidligere sagt til NRK at det fortløpende vurderes hvilke nye teknologier som skal kreves for datasystemene i offentlige virksomheter.
– Alle standarder som blir foreslått blir vurdert. Vi tar forslaget med i vårt videre arbeid med anbefalinger for informasjonssikkerhet, sier fungerende seksjonssjef Caroline Ringstad Scultz i Difi til NRK.
- Les også: