Offentlige nettsteder risikerer å bli merket: Ikke sikker

Fra og med juli 2018 risikerer flere store offentlige nettsteder at adressen deres følges av ordene «Ikke sikker» i nettleseren Chrome, viser undersøkelser NRK har gjort. Skatteetaten er en av dem som kan bli rammet.

Skatteetatens nettsider og "ikke sikker"
Foto: Øyvind Bye Skille / NRK

Nettstedene risikerer dette etter at Google kunngjorde sine planer om å merke alle nettsteder som sendes ukryptert over internett.

Fra og med juli i år vil nettsider som ikke bruker kryptering og HTTPS-adresser få følgende tekst foran adressen: Ikke sikker
(eller på engelsk «Not secure»)

Skatteetatens sider er én flere store sider som risikerer dette.

(Se flere eksempler lengre ned i saken)

Google gjør dette som et ledd i en lengre prosess mot et sikrere internett. Prosessen innebærer at nettleserne krever krypterte tilkoblinger for å beskytte brukerne av nettleseren Chrome.

– De siste årene har vi beveget oss mot et mer sikkert internett ved å sterkt anbefale innføring av HTTPS, skriver Emily Schechter i Chromes sikkerhetsteam på en offisiell Google-blogg.

Kryptert overføring av nettsider sikrer ektheten til sidene, at de ikke manipuleres på veien over internett og at ingen spionerer på brukernes aktivitet.

Hvis nettsidene ikke er kryptert, kan en tredjeperson lage en svindelside når du er på åpne nettverk som flyplasser og hotell. Denne siden kan ha riktig adresse og se helt lik ut som den siden du vil gå til – uten at det er mulig for deg å oppdage.

– Som en vanlig nettbruker tenker du kanskje ikke over at en ondsinnet person et sted mellom din datamaskin og serveren til tjenestene du bruker kan lese alt som kommuniserer uten HTTPS. Det kan inkludere passord, kredittkortinformasjon, helseinformasjon og mye mer. Informasjon du kanskje ikke vil at hvem som helst skal ha tilgang til, forklarer Schechter i et foredrag.

Merking av HTTP-sider i Chrome 68

Slik vil Chrome merke nettsider som overføres uten kryptering fra juli 2018.

Norske sider henger etter

Bevegelsen mot mer kryptering på internett skjøt virkelig fart etter Snowden-avsløringene i 2013, og har bare økt de siste årene.

Nettleserne Chrome og Firefox har i den prosessen vært pådrivere der de har holdt tilbake ny og avansert funksjonalitet slik at den bare kan brukes på sikre tilkoblinger. De har aktivt merket sider som sender sensitiv informasjon som passord eller kredittkortinfo uten kryptering.

I 2016 skrev NRK om hvordan offentlig eide nettsider i Norge hang etter i innføringen av slike sikre tilkoblinger.

Siden den gang har bruken av slik kryptering blant alle nettbrukere målt av Firefox økt fra 44,2 prosent til 69,7 prosent i dag.

Til sammenligning har bruken på de norske offentlige nettstedene som NRK overvåker økt fra rundt 5 prosent til like over 25 prosent.

Laster Highcharts-innhold

Så mange offentlige nettsteder har ikke innført teknologien. Blant dem er det også noen store offentlige nettsteder med svært mange brukere.

De risikerer nå å bli merket som «Ikke sikker» i Chrome når nettleseren innfører nye krav i sommer.

Det viser en fersk gjennomgang NRK har gjort. Blant de rundt 40 største nettstedene er det også flere sider som ikke har tatt overgangen. Dette er sider med medlemskap i Forum for store offentlige nettsteder.

Blant dem er:

  • www.skatteetaten.no
  • www.ssb.no
  • www.uio.no
  • www.uib.no

Skatteetaten planlegger å fikse problemet før sommeren

NRK har tatt kontakt med alle de fire store offentlige institusjonene bak disse nettstedene for å spørre om hvorfor de ikke har innført kryptering som standard. Vi har også spurt hva de tenker om at de risikerer å bli merket som ikke sikre for alle Chrome-brukere.

Skatteetaten svarer positivt på henvendelsen.

Svein Mobakken

Sikkerhetsdirektør Svein Mobakken i Skatteetaten

Foto: Skatteetaten

– Først og fremst ser vi positivt på at det er fokus på økt sikkerhet generelt. Det er en økende problemstilling, sier sikkerhetsdirektør i Skatteetaten, Svein Mobakken til NRK.

Han forteller samtidig at sidene til skattemyndighetene støtter slik kryptering, men at de har valgt å ikke skru det på som standard ennå på alle sidene sine. Dette fordi de er redde for at noen skal bli stengt ute.

– Grunnen til at dette fortsatt er mulig er fordi ca. 20 prosent av trafikk mot skatteetaten.no går via nettleseren IE. Mange av disse er utdaterte versjoner og vil ikke kunne nå nettsiden dersom vi tvinger de over på HTTPS, sier Mobakken.

Sikkerhetsdirektøren forteller at de har planer om å lansere nye tekniske løsninger. Da vil de utbedre også det som gjelder kryptering.

– Vil dere ha på plass de nye løsningene før Chrome innfører denne nye merkingen?
– Når det gjelder våre nye nettsider, er lansering av disse estimert i god tid før juli 2018, svarer Mobakken.

Dette er status for alle medlemmene i Forum for store offentlige nettsteder:

Domene

Eier av domene

Bruker ikke HTTPS, kan bli merket som ikke sikker

www.skatteetaten.no

Skatteetaten

Ja

Svar fra Skatteetaten: Grunnen til at dette fortsatt er mulig er fordi ca. 20 prosent av trafikk mot skatteetaten.no går via nettleseren IE. Vi er godt i gang med å utvikle nye nettsider og vil sammen med lanseringen av disse redirecte brukerne over på HTTPS som default.

www.ssb.no

SSB

Ja

Svar fra SSB: På ssb.no har vi støttet https i lengre tid, og vi har redirigert alle brukere når de besøker de delene av nettstedet vårt som tilbyr innlogging. I dag ser vi at trenden heller mer og mer mot å redirigere all trafikk til https, og vi er forberedt på å også gjøre denne endringen om forholdsvis kort tid.

www.uib.no

Universitetet i Bergen

Ja

Svar fra UiB: Vi ønsker selvsagt ikke at brukerne våre skal føle seg utrygge på om sidene våre er sikre, og vi jobber med å kartlegge hvilke sider det gjelder og lage en plan for å få på plass kryptert forbindelse på alle sider. Utgangspunktet vårt er at alle sider skal være kryptert i god tid før endringen trer i kraft i juli.

www.uio.no

Universitetet i Oslo

Ja

Svar fra UiO: Vi har hatt retningslinjer om at alt som trenger beskyttelse skal gå over krypterte protokoller siden 2007. Vi har hatt https på UiO.no lenge, men ikke tvungent. Det er flere grunner til det, mest at vi har hatt fokus på å beskytte passord og andre sensitive data med https, ikke vanlig trafikk som inneholder åpen informasjon. Vi ønsker å flytte alt over på krypterte protokoller, og vi regner med å ha dette på plass før juli.

helsedirektoratet.no

Helsedirektoratet

Nei

oslo-universitetssykehus.no

Oslo universitetssykehus

Nei

www.altinn.no

Brønnøysundregistrene

Nei

www.bergen.kommune.no

Bergen kommune

Nei

www.brreg.no

Brønnøysundregistrene

Nei

www.difi.no

Direktoratet for forvaltning og IKT

Nei

www.helse-sorost.no

Helse Sør-Øst

Nei

www.lanekassen.no

Lånekassen

Nei

www.nav.no

NAV

Nei

www.nb.no

Nasjonalbiblioteket

Nei

www.ntnu.no

NTNU

Nei

www.oslo.kommune.no

Oslo kommune

Nei

www.politiet.no

Politiet

Nei

www.regjeringen.no

Regjeringen

Nei

www.stortinget.no

Stortinget

Nei

www.trondheim.kommune.no

Trondheim kommune

Nei

www.udir.no

Utdanningsdirektoratet

Nei

www.vegvesen.no

Statens vegvesen

Nei

Utvikling der kryptering blir det vanlige

Tidligere var kryptering av oppkoblinger til nettsteder mest knyttet til banker, nettbutikker og andre sider der det ble utvekslet informasjon om penger eller annen sensitiv informasjon.

Nå anbefales det å innføre teknologien for alle nettsteder – blant annet fordi det sikrer ektheten og reduserer faren for manipulering over nettet.

Norske myndigheter har også innført HTTPS som en formell anbefaling, etter NRKs saker. Den gjelder for alle nettsteder eid av offentlige etater.

Samtidig har det også blitt betydelig enklere å få innført HTTPS på et nettsted. En del leverandører har innført løsninger slik at kundene automatisk får slike krypterte, sikre tilkoblinger uten å selv måtte gjøre mye.

Og sikkerhetssertifikater som trengs på serverne har blitt billigere og enklere å få tak i. Blant annet har aktøren Let's Encrypt kommet på banen med gratis sertifikater som tidligere kunne koste tusenlapper. De og andre har også utviklet løsninger for automatisering slik at drift av HTTPS på servere blir enklere.

– Let’s Encrypt har gjort en god jobb med å standardisere løsninger og legge til rette for automatisering, sier Mads Henriksveen i Buypass til NRK.

Buypass er den eneste rent norske leverandøren av slike sikkerhetssertifikater. De har lang erfaring med å legge til rette for sikre krypterte tilkoblinger.

Mange store offentlige virksomheter bruker tjenestene deres, og de jobber nå også med løsninger som er gratis og automatiserte som Let's Encrypt.

– Vi har jobbet med en slik løsning ganske lenge, men er ikke helt i mål ennå. Vi håper å kunne lansere det snart, sier Henriksveen om automatiseringsløsninger.

Teknikken kalles ACME og er utviklet som en egen åpen standard som alle leverandører kan bruke. For dem som drifter nettløsninger innebærer det at de kan sette det opp én gang. Etterpå kan de automatisk få nye sertifikater når det trengs.

– Vi liker jo automatisering som vil kunne gjøre det enklere for brukerne og de som skal sette opp dette for dem, sier den fagansvarlige i Buypass.

Også i den norske mediebransjen har det vært en utvikling på feltet.

Da NRK begynte å skrive om temaet for et par år siden var det bare ett eller to av de store medie-nettstedene som hadde innført kryptert forbindelse for hovedsiden sin.

Av de ti største nettstedene fra norske mediebedrifter (målt av TNS) har nå ni innført sikker tilkobling med HTTPS.

Under sees siste status fra NRKs skanning av over 9.000 offentlig eide domener for bruk av HTTPS (sist oppdatert 11. februar 2018):