Usikkert nett

De aller fleste stoler på og har tillit til offentlige etater i Norge. Få tenker over om systemene til kommunen eller staten er sikre nok når de sender informasjon digitalt i stedet for med gammeldagse papirbrev.

Men noen har kanskje fått med seg at de skal se etter hengelåsen i adressefeltet ved besøk i nettbanken. Hengelåsen symboliserer at oppkoblingen er sikker og gjøres med kryptering – en HTTPS-oppkobling.

NRK har kartlagt nesten 10 000 aktive nettsidedomener eid av det offentlige i Norge for bruk av nettopp slik sikker tilkobling, HTTPS. Bare 4 prosent av de aktive domenene i undersøkelsen var sikre.

Flere nettsider som tilhører barnevernet, barnehager og sykehus er blant sidene som mangler kryptering.

NRK avslørte tidligere i dag også at en rekkke sensitive sider som har kryptering likevel stryker i sikkerhetskontrollen. Dette gjelder blant annet Kripos sitt tipsmottak, Nasjonalt ID-senter og to nettjenester eid av Forsvaret.

Store globale aktører på internett har for flere år siden innført slik kryptering som standard. Besøker du Google eller Facebook får du automatisk denne lille ekstra beskyttelsen og nettadressen starter på https://.

Google har også vurdert å innføre merking av alle sider som mangler slik kryptering med et rødt kryss foran hengelåsen i nettleseren sin Chrome som vist i toppen av denne saken.

Myndighetene i USA har også gått langt for å sikre sine innbyggere ved besøk på statlige nettsteder. I fjor bestemte Det hvite hus at alle statlige nettsteder skal ha HTTPS.

– Med dette ønsker vi å gå foran for større utbredelse av HTTPS. Vi vil fronte bedre sikkerhet og personvern for alle som surfer på nettet, sa informasjonssikkerhetssjef Tony Scott i Det hvite hus. Kravet til alle statlige nettsteder ble lansert i juni 2015. I løpet av 2016 må alle etatene i USA ha orden på sine nettsider.

Uten HTTPS er du derimot mindre beskyttet.

Hvis du sitter på et åpent trådløst nett på en flyplass, et hotell eller en kafé vil hvem som helst kunne følge med på det du gjør på nettet.

– Å gi fra deg sensitiv informasjon til en nettside som ikke har HTTPS er litt som å skrive samme informasjon på et postkort og slenge det i en postkasse. En aktør med dårlige hensikter vil potensielt kunne se alt det du skriver inn. Alt av navn, adresser, kredittinformasjon vil en aktør kunne se, sier sikkerhetsekspert Runa Sandvik til NRK.

Hun har jobbet med datasikkerhet både i Norge og USA, og ble for mange kjent internasjonalt fordi hun møtte varsleren Edward Snowden allerede før han hadde gått ut med sine avsløringer. Sandvik møtte ham fordi hun var engasjert for datasikkerhet og anonymitet på nettet i organisasjonen som står bak det gjennomkrypterte anonymiseringsnettverket Tor.

Av erfaring vet hun at få stiller spørsmål ved datasikkerhet.

– Hvis en kommune setter opp ett eller annet system på nett som folk skal bruke, så vil folk bare anta at det er gjort på en sikker måte, sier Sandvik.

Tusenvis nettsteder uten kryptering

At sider satt opp av det offentlige er helt sikre og følger de nyeste sikkerhetsstandardene er derimot langt fra noen selvfølge.

NRK oppdaget i fjor høst noen nettsteder eid av det offentlige som ikke virket å være satt opp etter anbefalte standarder.

Med bakgrunn i dette bestemte vi oss for å gjøre en undersøkelse: Hvordan står det til med nettsteder eid av det offentlige?

9 944 aktive nettsidedomener ble testet og undersøkt for bruk av kryptering.

Resultatet viste at bare 4,2 prosent av de aktive nettstedene brukte HTTPS.

9 522 domener eid av det offentlige i Norge har ingen slik sikker nettoppkobling for sine nettsider – trafikken går med ukryptert HTTP.

Den lave andelen nettsteder med sikker oppkobling står i kontrast til at de samme offentlige etaten stadig raskere flytter kommunikasjonen med innbyggerne over til digitale kanaler.

– Digitaliseringen er utrolig viktig for landet vårt og økonomien i framtida. Vi har ikke råd til å snuble, og derfor er det fryktelig kritikkverdig at bare 4 prosent har gjort dette bra nok. Det er altfor dårlig og de er nødt til å skjerpe seg, sier Bjarte Malmedal hos NorSIS.

NorSIS står for Norsk senter for informasjonssikring og er et uavhengig organ som jobber for at alle skal kunne bruke internett og IKT trygt på jobb og privat.

Malmedal mener at resultatet i NRKs undersøkelse er ganske nedslående lesning.

– Hvorfor er det nedslående?
– Fordi det er en ganske elementær del av det å drive sikkerhetsarbeid. Dette er såpass grunnleggende at vi forventer at dette må være på plass om man tilbyr digitale tjenester, forklarer Malmedal.

Skoler, barnehager, sykehus og barnevern uten kryptering

NRKs undersøkelser viser at et bredt utvalg nettsteder fra kommuner, stat og andre offentlige organer er satt opp uten sikker HTTPS-tilkobling.

Alt fra nettsidene til skoler og barnehager, de offisielle sidene til mange kommuner og offisielle sider om barnevern og sykehus har ikke brukt slik moderne teknologi for å beskytte innbyggernes informasjon når den sendes over nettet.

Den lave utbredelsen av HTTPS på 4,2 prosent inkluderer alt fra små menigheter til store statlige organer.

Til sammenligning viser statistikken for statlige nettsider i USA at 40 prosent har innført slik sikker tilkobling.

NRKs undersøkelser er gjennomført ved hjelp av testmekanismer laget av SSL Labs. Testene brukes av informasjonssikkerhetsavdelingen i Det hvite hus, og anbefales her i Norge av Direktoratet for forvaltning og IKT (Difi).

• Les mer: Slik undersøkte NRK offentlig eide nettsteder

SSL Labs sin statistikk for verdens 200 000 største nettsider viser en utbredelse på 39,8 prosent per mars 2016.

Selv om mange offentlige nettsteder i Norge ikke har innført HTTPS er det også etater som skiller seg ut positivt. Flere store etater som mange innbyggere forholder seg til har innført teknologien, og satset på informasjonssikkerhet.

Et slikt eksempel er Altinn, et nettsted alle som har levert selvangivelsen har et forhold til. De får i testen NRK har brukt toppkarakter.

– Altinn, som en sentral del av den offentlige digitale infrastrukturen, er blant dem som legger ned mye arbeid. Vi har ansatte som jobber fulltid med sikkerhet, og stiller strenge sikkerhetskrav til leverandørene våre, sier kommunikasjonsrådgiver Lars Vegard Bachmann i Brønnøysundregistrene som er ansvarlig for Altinn til NRK.

Altinn behandler store mengder informasjon om nordmenn, og satser derfor på informasjonssikkerhet også på et mye bredere plan enn bare bruk av HTTPS.

Kan i verste fall bryte loven

Stadig mer av kommunikasjonen mellom det offentlige og innbyggerne går nå digitalt – også mer sensitiv informasjon.

I 2014 bestemte regjeringen at digital kommunikasjon framover skal være hovedregelen, og den såkalte eforvaltningsforskriften ble endret slik at alle som ønsker å holde seg til gammeldagse brev aktivt må reservere seg.

Samtidig ble det satt krav om informasjonssikkerhet.

Slike krav gjør at mangel på sikker tilkobling til nettsteder i ytterste konsekvens kan innebære lovbrudd, ifølge Datatilsynet.

– En del slike nettjenester forutsetter utveksling av personopplysninger, og da er det bestemt i lovverket at det må skje sikkert. I praksis vil det si krypterte løsninger. Om de ikke krypterer kan de bryte loven, sier overingeniør Ted Tøraasen i Datatilsynet på generelt grunnlag.

Hvilke krav som stilles avhenger i stor grad av hvilken informasjon nettstedet behandler. Tørraasen forklarer at usikre tilkoblinger rent teknisk kan brukes til å samle informasjon om personer som besøker siden.

– Et nettsidebesøk kan i utgangspunktet bli sett på som ganske uskyldig, men en ondsinnet aktør kan potensielt fange opp informasjon som brukes for å bygge en profil med informasjon om nettsidebesøkende. For eksempel kan et enkelt besøk til en nettside om seksuelt overførbare sykdommer være sensitivt, og også innebære både helseopplysninger og personopplysninger, sier eksperten hos Datatilsynet.

– Hadde den siden hatt HTTPS ville ingen kunnet fange opp hvilke sider inne på nettstedet brukerne besøker, bare at de besøker noe under det domenet, sier han.

Datatilsynet oppfordrer til bruk av HTTPS og kryptering i større grad, og skulle ønske tallene i NRKs undersøkelse var høyere.

– Utbredelsen er lav, og det hadde helt klart vært gunstig om det var mer utbredt. Vi ser ingen problemer med å innføre HTTPS per i dag fordi de aller fleste datamaskiner og enheter som mobiler og nettbrett støtter dette, sier Tøraasen.

Direktorat: – Hadde nok håpet på bedre resultat

NRK har tatt kontakt med Direktoratet for forvaltning og IKT (Difi) som arbeider med forebyggende informasjonssikkerhet i det offentlige.

Difi som definerer standarder med obligatoriske krav og anbefalinger svarer slik på de lave tallene i NRKs undersøkelse.

– Det er ikke spesielt høyt, og vi hadde håpet at flere hadde det, sier avdelingsdirektør Tone Bringedal i Difi.

Hun opplyser at Difi også har gjort sine egne undersøkelser i 2013, men at de bare har vurdert sider som behandler personopplysninger eller sensitiv informasjon.

– Da så vi at bildet vi fikk var at standardene er gode nok. Det er likevel interessant med undersøkelsen NRK har gjort og vi må se hva vi gjør videre, sier Bringedal.

Sammenlignet med USA har Norge lite krav til offentlige nettsteder, og siden Difi gjorde sin egen undersøkelse har Det hvite hus pålagt HTTPS for amerikanske statlige sider.

– Er det aktuelt å gjøre det samme i Norge?
– Det må vi nesten se på mer når vi skal gå gjennom og oppdatere de norske kravene, svarer avdelingsdirektøren i Difi.

NRK jobber med innføring av sikker, kryptert tilkobling over HTTPS for våre nettjenester. I dag er det HTTPS på tv.nrk.no , radio.nrk.no , beta.yr.no,nrkbeta.no og nrk.no/03030. Det pågår et aktivt arbeid for å innføre teknologien også for resten av nettstedet.