1 av 3 kommuner har for dårlig web-sikkerhet
Mange norske kommuner har ikke tatt i bruk SSL på nettsidene sine, og det er ikke alle av de som har gjort det som består Difis sikkerhetstest likevel.
Å bruke SSL-sertifikater på nettsidene sine er et viktig sikkerhetstiltak. Det gjør at trafikken mellom nettsiden og brukeren blir kryptert, i tillegg til at brukeren kan være forvisset om at nettsiden er den den utgir seg for å være.
Til sommeren kommer Googles nettleser Chrome, som er Norges mest brukte, til å varsle brukeren om at nettsiden er usikker dersom SSL-sertifikatet mangler. En undersøkelse viser at 82 prosent av brukerne forlater nettstedet umiddelbart om de får den advarselen. Det er ikke godt nok for norsk offentlig sektor.
Tiden er forbi
Det er det store nordiske webhotellet Loopia, som er en del av Visma, som har undersøkt kommunenes bruk av SSL-sertifikater. Tallene viser at av landets 426 kommuner er det 65 prosent som har tatt i bruk SSL, mens hele 35 prosent ikke har gjort det ennå.
Blant de som har innført SSL-sertifikater er det 9 prosent som ikke består Difis sikkerhetstest. Det gir eieren av nettsiden en falsk følelse av trygghet.
– Tiden er forbi da SSL-sertifikat kun var nødvendig hvis nettsiden hadde innlogging med brukernavn og passord. Det er fortsatt en risiko for at kriminelle henter ut personopplysninger ved å opprette falske nettsider og fremstå som reelle virksomheter. En annen kriminell taktikk er å overvåke hvilke sider du klikker på nettsidene, sier administrerende direktør i Loopia, Jimmie Eriksson i en pressemelding.
– Dette kan motvirkes i stor grad ved å bruke SSL-sertifikat som krypterer trafikken, og i tillegg verifiserer at det er den virkelige nettsiden som besøkes. Et fungerende SSL-sertifikat viser at du både beskytter og verdsetter personvernet til kommunes innbyggere, fortsetter han.
Difis anbefalinger
Undersøkelsen ble gjennomført i tidsrommet 22. til 23. mars i år. Loopia baserte seg på Difis anbefaling for hvordan norske kommuner bør teste kvaliteten for SSL-sertifikatet sitt. Direktoratet for forvaltning og IKT (Difi) et av sine fagområder er forebyggende IKT-sikkerhet i statsforvaltningen.
Alle nettsidene er testet av Qualys’ SSL-tester, som Difi anbefaler, og gir en karakter fra A+ til T. Ifølge Difi er alt over karakteren B- godkjent som sikkert SSL-sertifikat.
Direktoratet skriver i anbefalingen sin at «all kommunikasjon som innebærer utveksling av sensitive opplysninger eller fødselsnummer mellom innbygger og tjenesteeier, skal være kryptert. Tjenestene bør benytte SSL-sertifikater med utvidet validering».
Loopia opplyser at de ikke har sjekket om nettsidene inneholder sensitive opplysninger men tar utgangspunkt at de kommunene som allerede har installert SSL-sertifikat, også behandler sensitive opplysninger.