Offentlige nettsteder bakpå også innen andre sikkerhetsstandarder

Hopp til innhold

– Resultatene der så få bruker sikkerhetshoder i overføringen av sine nettsteder er nedslående, sier sikkerhetsrådgiver Per Thorsheim til NRK.

Les også: Usikkert nett
Les også: Ba om bombetips på sårbar politiside

Han har bistått NRK sammen med sin britiske kollega Scott Helme for å sjekke hele listen med 11 926 offentlig eide domener for bruk av sikkerhetshoder.

Sikkerhetshodene gir informasjon om hva eieren av nettstedet tillater, og kan bidra til å begrense utnyttelse av sider til svindelformål.

– Vi vet at dette kan brukes til å kopiere andres sider og lage svindelsider. Dette finnes eksempler på at har skjedd der de har klart å lure til seg brukernavn, passord og personopplysninger, forteller Thorsheim.

Slike HTTP-sikkerhetshoder er en ganske fersk teknologi, men NRKs undersøkelser viser at de offentlige nettstedene vi har undersøkt nesten ikke har tatt løsningene i bruk i det hele tatt.

I en test kalt securityheaders.io får hele 68 prosent stryk og karakteren F – noe som i stor grad betyr at de ikke har satt slike sikkerhetshoder i det hele tatt.

Nettadresse-forfalskning

En annen ganske fersk teknologi er DNSSEC.

Teknologien er laget for å hindre at noen angriper trafikken mellom deg og de nettstedene du vil besøke. Uten DNSSEC kan i prinsippet ondsinnede aktører i verste fall gi feil veibeskrivelse. Dermed kan man bli sendt til en svindelside eller en side med virus selv om man skrive riktig adresse.

DNSSEC forsøker å sikre mot dette ved hjelp av krypterte signaturer, men NRKs data fra domeneregisteret Norid viser at de offentlige nettstedene henger etter.

44 prosent av domenene NRK har sjekket mot Norid-basen hadde slik DNSSEC-oppføring. Til sammenligning har 56 prosent av alle .no-domener innført den nye standarden.

– Min erfaring er at de som ikke har DNSSEC vet ikke nødvendigvis hva det er. De tror at det koster mye penger og er vanskelig. Så dette henger nok sammen med kompetanse, sier Per Thorsheim.

Thorsheim mener tallene går inn i et mønster der en del offentlige aktører henger etter.

Vurderer fortløpende

Direktoratet for forvaltning og IKT (Difi) lager standarder og krav til norske offentlige virksomheter for datasystemer.

De har tidligere sagt til NRK at det fortløpende vurderes hvilke nye teknologier som skal kreves for datasystemene i offentlige virksomheter.

– Alle standarder som blir foreslått blir vurdert. Vi tar forslaget med i vårt videre arbeid med anbefalinger for informasjonssikkerhet, sier fungerende seksjonssjef Caroline Ringstad Scultz i Difi til NRK.

Les også: – Vil vurdere nye anbefalinger

NRKs undersøkelse av offentlige domener

NRK startet med å hente ut oversikt over alle offentlige virksomheter med organisasjonsnummer i Brønnøysundregistrene under sektorkodene: 6100 - Stats- og trygdeforvaltning, 6500 - Kommuneforvaltningen, 1100 - Statens forretningsdrift, 3900 - Statlige låneinstitutter mv.
Deretter sjekket vi organisasjonsnumrene opp mot registrerte .no-domener. Da fikk vi 11 344 .no-domener registrert i det norske domeneregisteret Norid.
NRK hentet også ut alle domener registrert under .kommune.no/.herad.no hos KS, alle domener under .dep.no og .stat.no hos DSS og noen eksempeldomener under .mil.no.
Til slutt satt vi igjen med 11 926 domener. Det er ikke en offisiell eller fullstendig liste over offentlig eide domener i Norge, men et bredt og omfattende utvalg.
Alle domenene ble så sjekket med tjenesten SSL Labs fra Qualsys ved hjelp av domenelister og API-oppslag. Samme tjeneste brukes av Det hvite hus og anbefales av norske Difi.
Resultatene ble deretter systematisert og behandlet i et databaseprogram.
Da NRK testet domenene den 9. og 10. mars var 1 982 av dem uten aktiv nettside. De kunne dermed ikke testes for HTTPS-bruk og er ikke tatt med i prosentberegninger.
Les også: NRKbeta – Slik undersøkte NRK offentlige nettsteder