Offentlige nettsteder risikerer å bli merket: Ikke sikker

Nettstedene risikerer dette etter at Google kunngjorde sine planer om å merke alle nettsteder som sendes ukryptert over internett.

Fra og med juli i år vil nettsider som ikke bruker kryptering og HTTPS-adresser få følgende tekst foran adressen: Ikke sikker
(eller på engelsk «Not secure»)

Skatteetatens sider er én flere store sider som risikerer dette.

(Se flere eksempler lengre ned i saken)

Google gjør dette som et ledd i en lengre prosess mot et sikrere internett. Prosessen innebærer at nettleserne krever krypterte tilkoblinger for å beskytte brukerne av nettleseren Chrome.

– De siste årene har vi beveget oss mot et mer sikkert internett ved å sterkt anbefale innføring av HTTPS, skriver Emily Schechter i Chromes sikkerhetsteam på en offisiell Google-blogg.

Kryptert overføring av nettsider sikrer ektheten til sidene, at de ikke manipuleres på veien over internett og at ingen spionerer på brukernes aktivitet.

Hvis nettsidene ikke er kryptert, kan en tredjeperson lage en svindelside når du er på åpne nettverk som flyplasser og hotell. Denne siden kan ha riktig adresse og se helt lik ut som den siden du vil gå til – uten at det er mulig for deg å oppdage.

Slik sikrer du deg mot nettsvindel

Vær kritisk til epost, spesielt om denne har et spesielt innhold, er skrevet på dårlig norsk eller ikke logisk passer i forhold til annen korrespndanse med avsenderen.
Aldri klikk på linker for å komme til Gmail, Facebook eller andre steder hvor du skal skrive inn brukernavn og passord eller annen sensitiv informasjon. Og om du får en e-post eller sms fra noe som ser ut som banken din, skal du aldri gi fra deg informasjon eller trykke på linker fra dem.
Skriv adressen i adressefeltet for å komme dit du vil, og bare skriv brukernavn og passord på sider som har «https» i begynnelsen av adressen, og hvor du kan se en hengelås. For å være helt sikker trykker du på låsen, og ser på sertifikatet om det er den rette nettadressen som er lagt inn der.
Dersom du er på et åpent trådløst nettverk bør du være forsiktig med å logge deg på sider med brukernavn og passord, iallfall der det ikke er kryptering. Dersom du skal sende noe sensitivt eller gå inn i nettbanken er det bedre å bruke mobilt bredbånd.
Ha oppdaterte operativsystemer og programmer, særlig på Adobe reader, Java og Adobe flash player.
Benytt oppdatert anti-virus program.
Vurder bruk av 2-trins bekreftelse ved pålogging.
Skru av forhåndsvisning, slik at eposten ikke vises med en gang du markerer den.
Ta selvtesten på idtyveri.info
(Kilde: NorSIS)

– Som en vanlig nettbruker tenker du kanskje ikke over at en ondsinnet person et sted mellom din datamaskin og serveren til tjenestene du bruker kan lese alt som kommuniserer uten HTTPS. Det kan inkludere passord, kredittkortinformasjon, helseinformasjon og mye mer. Informasjon du kanskje ikke vil at hvem som helst skal ha tilgang til, forklarer Schechter i et foredrag.

Norske sider henger etter

Bevegelsen mot mer kryptering på internett skjøt virkelig fart etter Snowden-avsløringene i 2013, og har bare økt de siste årene.

Nettleserne Chrome og Firefox har i den prosessen vært pådrivere der de har holdt tilbake ny og avansert funksjonalitet slik at den bare kan brukes på sikre tilkoblinger. De har aktivt merket sider som sender sensitiv informasjon som passord eller kredittkortinfo uten kryptering.

I 2016 skrev NRK om hvordan offentlig eide nettsider i Norge hang etter i innføringen av slike sikre tilkoblinger.

Siden den gang har bruken av slik kryptering blant alle nettbrukere målt av Firefox økt fra 44,2 prosent til 69,7 prosent i dag.

Til sammenligning har bruken på de norske offentlige nettstedene som NRK overvåker økt fra rundt 5 prosent til like over 25 prosent.

Så mange offentlige nettsteder har ikke innført teknologien. Blant dem er det også noen store offentlige nettsteder med svært mange brukere.

De risikerer nå å bli merket som «Ikke sikker» i Chrome når nettleseren innfører nye krav i sommer.

Det viser en fersk gjennomgang NRK har gjort. Blant de rundt 40 største nettstedene er det også flere sider som ikke har tatt overgangen. Dette er sider med medlemskap i Forum for store offentlige nettsteder.

Blant dem er:

www.skatteetaten.no
www.ssb.no
www.uio.no
www.uib.no

Skatteetaten planlegger å fikse problemet før sommeren

NRK har tatt kontakt med alle de fire store offentlige institusjonene bak disse nettstedene for å spørre om hvorfor de ikke har innført kryptering som standard. Vi har også spurt hva de tenker om at de risikerer å bli merket som ikke sikre for alle Chrome-brukere.

Skatteetaten svarer positivt på henvendelsen.

– Først og fremst ser vi positivt på at det er fokus på økt sikkerhet generelt. Det er en økende problemstilling, sier sikkerhetsdirektør i Skatteetaten, Svein Mobakken til NRK.

Han forteller samtidig at sidene til skattemyndighetene støtter slik kryptering, men at de har valgt å ikke skru det på som standard ennå på alle sidene sine. Dette fordi de er redde for at noen skal bli stengt ute.

– Grunnen til at dette fortsatt er mulig er fordi ca. 20 prosent av trafikk mot skatteetaten.no går via nettleseren IE. Mange av disse er utdaterte versjoner og vil ikke kunne nå nettsiden dersom vi tvinger de over på HTTPS, sier Mobakken.

Sikkerhetsdirektøren forteller at de har planer om å lansere nye tekniske løsninger. Da vil de utbedre også det som gjelder kryptering.

– Vil dere ha på plass de nye løsningene før Chrome innfører denne nye merkingen?
– Når det gjelder våre nye nettsider, er lansering av disse estimert i god tid før juli 2018, svarer Mobakken.

Dette er status for alle medlemmene i Forum for store offentlige nettsteder:

Domene	Eier av domene	Bruker ikke HTTPS, kan bli merket som ikke sikker
www.skatteetaten.no	Skatteetaten	Ja
Svar fra Skatteetaten: Grunnen til at dette fortsatt er mulig er fordi ca. 20 prosent av trafikk mot skatteetaten.no går via nettleseren IE. Vi er godt i gang med å utvikle nye nettsider og vil sammen med lanseringen av disse redirecte brukerne over på HTTPS som default.
www.ssb.no	SSB	Ja
Svar fra SSB: På ssb.no har vi støttet https i lengre tid, og vi har redirigert alle brukere når de besøker de delene av nettstedet vårt som tilbyr innlogging. I dag ser vi at trenden heller mer og mer mot å redirigere all trafikk til https, og vi er forberedt på å også gjøre denne endringen om forholdsvis kort tid.
www.uib.no	Universitetet i Bergen	Ja
Svar fra UiB: Vi ønsker selvsagt ikke at brukerne våre skal føle seg utrygge på om sidene våre er sikre, og vi jobber med å kartlegge hvilke sider det gjelder og lage en plan for å få på plass kryptert forbindelse på alle sider. Utgangspunktet vårt er at alle sider skal være kryptert i god tid før endringen trer i kraft i juli.
www.uio.no	Universitetet i Oslo	Ja
Svar fra UiO: Vi har hatt retningslinjer om at alt som trenger beskyttelse skal gå over krypterte protokoller siden 2007. Vi har hatt https på UiO.no lenge, men ikke tvungent. Det er flere grunner til det, mest at vi har hatt fokus på å beskytte passord og andre sensitive data med https, ikke vanlig trafikk som inneholder åpen informasjon. Vi ønsker å flytte alt over på krypterte protokoller, og vi regner med å ha dette på plass før juli.
helsedirektoratet.no	Helsedirektoratet	Nei
oslo-universitetssykehus.no	Oslo universitetssykehus	Nei
www.altinn.no	Brønnøysundregistrene	Nei
www.bergen.kommune.no	Bergen kommune	Nei
www.brreg.no	Brønnøysundregistrene	Nei
www.difi.no	Direktoratet for forvaltning og IKT	Nei
www.helse-sorost.no	Helse Sør-Øst	Nei
www.lanekassen.no	Lånekassen	Nei
www.nav.no	NAV	Nei
www.nb.no	Nasjonalbiblioteket	Nei
www.ntnu.no	NTNU	Nei
www.oslo.kommune.no	Oslo kommune	Nei
www.politiet.no	Politiet	Nei
www.regjeringen.no	Regjeringen	Nei
www.stortinget.no	Stortinget	Nei
www.trondheim.kommune.no	Trondheim kommune	Nei
www.udir.no	Utdanningsdirektoratet	Nei
www.vegvesen.no	Statens vegvesen	Nei

Utvikling der kryptering blir det vanlige

Tidligere var kryptering av oppkoblinger til nettsteder mest knyttet til banker, nettbutikker og andre sider der det ble utvekslet informasjon om penger eller annen sensitiv informasjon.

Nå anbefales det å innføre teknologien for alle nettsteder – blant annet fordi det sikrer ektheten og reduserer faren for manipulering over nettet.

Norske myndigheter har også innført HTTPS som en formell anbefaling, etter NRKs saker. Den gjelder for alle nettsteder eid av offentlige etater.

Samtidig har det også blitt betydelig enklere å få innført HTTPS på et nettsted. En del leverandører har innført løsninger slik at kundene automatisk får slike krypterte, sikre tilkoblinger uten å selv måtte gjøre mye.

Og sikkerhetssertifikater som trengs på serverne har blitt billigere og enklere å få tak i. Blant annet har aktøren Let's Encrypt kommet på banen med gratis sertifikater som tidligere kunne koste tusenlapper. De og andre har også utviklet løsninger for automatisering slik at drift av HTTPS på servere blir enklere.

– Let’s Encrypt har gjort en god jobb med å standardisere løsninger og legge til rette for automatisering, sier Mads Henriksveen i Buypass til NRK.

Buypass er den eneste rent norske leverandøren av slike sikkerhetssertifikater. De har lang erfaring med å legge til rette for sikre krypterte tilkoblinger.

Mange store offentlige virksomheter bruker tjenestene deres, og de jobber nå også med løsninger som er gratis og automatiserte som Let's Encrypt.

– Vi har jobbet med en slik løsning ganske lenge, men er ikke helt i mål ennå. Vi håper å kunne lansere det snart, sier Henriksveen om automatiseringsløsninger.

Teknikken kalles ACME og er utviklet som en egen åpen standard som alle leverandører kan bruke. For dem som drifter nettløsninger innebærer det at de kan sette det opp én gang. Etterpå kan de automatisk få nye sertifikater når det trengs.

– Vi liker jo automatisering som vil kunne gjøre det enklere for brukerne og de som skal sette opp dette for dem, sier den fagansvarlige i Buypass.

Også i den norske mediebransjen har det vært en utvikling på feltet.

Da NRK begynte å skrive om temaet for et par år siden var det bare ett eller to av de store medie-nettstedene som hadde innført kryptert forbindelse for hovedsiden sin.

Av de ti største nettstedene fra norske mediebedrifter (målt av TNS) har nå ni innført sikker tilkobling med HTTPS.

Under sees siste status fra NRKs skanning av over 9.000 offentlig eide domener for bruk av HTTPS (sist oppdatert 11. februar 2018):

HTTPS

HTTPS er en standard for kryptert og sikker overføring av nettsider over internett.
Forkortelsen står for Hypertext Transfer Protocol Secure (HTTPS) er en sikrere utgave av HTTP. HTTP har drevet internett siden nettets barndom, men hadde ingen sikkerhet.
HTTPS krypterer informasjonen når den sendes over internett. Dette betyr at informasjonen ikke kan leses av andre enn deg og den nettsiden du bruker.
HTTPS-krypteringen gjør også at datamaskinen din kan oppdage om noen har forsøkt å endre på siden på veien fra den ekte nettsiden til deg. F.eks. kunne man uten dette endre hva som skjedde i det en bruker trykket på «Logg inn» ved manipulering. Manipuleringen kunne da føre deg til en falsk side som stjeler passord og kredittkortinfo.
HTTPS er knyttet til adressen. Systemet garanterer at siden du besøker er den som adressen forteller deg.
HTTPS beskytter overføringen av informasjonen, men ikke datasystemene i endene. Så en nettside kan fortsatt angripes av hackere, eller datamaskinen din kan ha virus som ødelegger sikkerheten.
Kilder: White House Office memorandum M-15-13, Google, Wikipedia