Offentlige nettsteder bakpå også innen andre sikkerhetsstandarder

NRKs undersøkelser viser at offentlige nettsteder er bak andre deler av nettet også når det gjelder mer moderne og ferskere standarder som DNSSEC og HTTP-sikkerhetshoder. Sistnevnte kan utnyttes for å lage svindelsider.

– Resultatene der så få bruker sikkerhetshoder i overføringen av sine nettsteder er nedslående, sier sikkerhetsrådgiver Per Thorsheim til NRK.

Han har bistått NRK sammen med sin britiske kollega Scott Helme for å sjekke hele listen med 11 926 offentlig eide domener for bruk av sikkerhetshoder.

Sikkerhetshodene gir informasjon om hva eieren av nettstedet tillater, og kan bidra til å begrense utnyttelse av sider til svindelformål.

– Vi vet at dette kan brukes til å kopiere andres sider og lage svindelsider. Dette finnes eksempler på at har skjedd der de har klart å lure til seg brukernavn, passord og personopplysninger, forteller Thorsheim.

Slike HTTP-sikkerhetshoder er en ganske fersk teknologi, men NRKs undersøkelser viser at de offentlige nettstedene vi har undersøkt nesten ikke har tatt løsningene i bruk i det hele tatt.

Per Thorsheim

Sikkerhetsrådgiver Per Thorsheim har bidratt til å teste de offentlig eide domenene for flere nye teknologier.

Foto: Øyvind Bye Skille / NRK

I en test kalt securityheaders.io får hele 68 prosent stryk og karakteren F – noe som i stor grad betyr at de ikke har satt slike sikkerhetshoder i det hele tatt.

Nettadresse-forfalskning

En annen ganske fersk teknologi er DNSSEC.

Teknologien er laget for å hindre at noen angriper trafikken mellom deg og de nettstedene du vil besøke. Uten DNSSEC kan i prinsippet ondsinnede aktører i verste fall gi feil veibeskrivelse. Dermed kan man bli sendt til en svindelside eller en side med virus selv om man skrive riktig adresse.

DNSSEC forsøker å sikre mot dette ved hjelp av krypterte signaturer, men NRKs data fra domeneregisteret Norid viser at de offentlige nettstedene henger etter.

44 prosent av domenene NRK har sjekket mot Norid-basen hadde slik DNSSEC-oppføring. Til sammenligning har 56 prosent av alle .no-domener innført den nye standarden.

– Min erfaring er at de som ikke har DNSSEC vet ikke nødvendigvis hva det er. De tror at det koster mye penger og er vanskelig. Så dette henger nok sammen med kompetanse, sier Per Thorsheim.

Thorsheim mener tallene går inn i et mønster der en del offentlige aktører henger etter.

Vurderer fortløpende

Direktoratet for forvaltning og IKT (Difi) lager standarder og krav til norske offentlige virksomheter for datasystemer.

De har tidligere sagt til NRK at det fortløpende vurderes hvilke nye teknologier som skal kreves for datasystemene i offentlige virksomheter.

– Alle standarder som blir foreslått blir vurdert. Vi tar forslaget med i vårt videre arbeid med anbefalinger for informasjonssikkerhet, sier fungerende seksjonssjef Caroline Ringstad Scultz i Difi til NRK.