Ny standard for sikrere offentlige nettsider

En ny standard for IT-systemer i det offentlige vil innebære at alle offentlige nettsteder bør ha sikre tilkoblinger – HTTPS, opplyser Difi.

HTTPS - hengelås med rødt kryss

USIKRE: Noen nettlesere merker nettsteder som ikke bruker sikre tilkoblinger, og fra nyttår av vil alle nettsteder med passordfelt få slike merker i de fleste nettlesere.

Foto: Espen Andersen / NRK

Direktoratet for forvaltning og IKT (Difi) offentliggjorde på fredag arbeidet med den nye standarden.

– Dette er en anbefaling om at offentlige virksomheter skal ta i bruk HTTPS for å oppnå bedre sikkerhet for nettstedene sine, sier seksjonssjef for drift og sikkerhet i Difi, Tommy Harjo, til NRK.

NRK har tidligere skrevet om at svært få av de offentlig eide nettside-domene har innført sikre tilkoblinger med HTTPS.

En gjennomgang gjort i mars viste at under 5 prosent av domenene eid av offentlige etater og virksomheter hadde innført teknologien som sikrer at kommunikasjonen mellom din datamaskin og nettsiden faktisk kommer fra rett sted, er sikker og ikke manipulert.

Ved inngangen til desember hadde tallet steget til over 8 prosent, og nå ligger det an til at teknologien skal inn som en standard anbefalt løsning for alle offentlige nettsteder.

– Teknologisk er det nå få problemer. Teknologien på dette området er nå veldig moden, sier seksjonssjefen for sikkerhet hos Difi.

Hengelåsen som sikrer trygg kommunikasjon på nettet

De aller fleste stoler på og har tillit til offentlige etater i Norge. Få tenker over om systemene til kommunen eller staten er sikre nok når de sender informasjon digitalt i stedet for med gammeldagse papirbrev.

Bente Hoff

Seksjonssjef Bente Hoff i NSM anbefalte HTTPS for at offentlige nettjenester skal være sikre.

Foto: Øyvind Bye Skille / NRK

Men noen har kanskje fått med seg at de skal se etter hengelåsen i adressefeltet ved besøk i nettbanken. Hengelåsen symboliserer at oppkoblingen er sikker og gjøres med kryptering – en HTTPS-oppkobling.

Det er teknologien bak denne hengelåsen som nå ser ut til å bli en IT-standard for alle offentlige etater i Norge.

HTTPS-teknologien sikrer at innbyggerne kan stole på at vi er på offentlige etaters reelle hjemmesider.

– Hvis det ikke brukes slik teknologi kan du i verste fall risikere at andre får tak i dine helseopplysninger. For eksempel kan du lures inn på falske nettsider der du gir fra deg informasjon, sa Bente Hoff hos Nasjonal sikkerhetsmyndighet til NRK i juni.

Etter NRKs saker om hvor få nettsteder fra det offentlige som bruker denne formen for sikkerhetsteknologi ble de bedt om å vurdere et krav til etatene – fordi andre land som USA og Tyskland allerede har slike krav.

NSM anbefalte et slikt krav, og nå ligger det altså an til at det kommer inn som en anbefaling i det som kalles for Referansekatalogen for IT-standarder i det offentlige.

– Det jobbes nå mot at dette skal bli en anbefaling. Men først skal vi lytte til virksomhetene i det offentlige. De skal få gi en tilbakemelding på forslaget til anbefaling, sier Harjo i Difi til NRK i dag.

Krevde gjennomgang

Frps Gjermund Hagesæter intervjues av pressen før budsjettmøte

Statssekretær Gjermund Hagesæter (Frp) bekreftet at Justisdepartementet hadde reagert på NRKs tall og bedt om ei utredning.

Foto: Siv Sandvik / NRK

Det var Justisdepartementet som ba om en vurdering av nye krav til offentlige nettsteder etter NRKs saker.

Statssekretær Gjermund Hagesæter (Frp) vedgikk at han ikke likte tallene NRK hadde funnet.

– Justisdepartementet mener, på generelt grunnlag, det er altfor få som tar i bruk HTTPS-kryptering. Vi har et ønske om et sikrere internett, så vi skulle sett at tallet var betydelig høyere, sa Hagesæter til NRK.

Se NRKs oversikt, oppdateres månedlig: