Svenska Yles granskning fick flera kommuner att skärpa webbsäkerheten – resultatet glädjer Cybersäkerhetscentret

Kommuner och statliga instanser har förbättrat säkerheten på sina webbsidor under de senaste två veckorna. Gammal mjukvara kan ändå vara en stor risk.

21 kommuner har höjt säkerheten på sina sajter efter Svenska Yles granskning, där vi avslöjade att många kommuner fick bottenbetyg i Mozillas säkerhetstest Observatory.

Testet kontrollerar förekomsten av viktiga mekanismer för webbsäkerhet och om de är tillämpade korrekt.

De åländska kommunerna Lumparland, Sund och Jomala hör till dem som har förbättrat mest. Hit hör också Esbo och Borgå.

– Vi lade märke till nyheten och reagerade på den. Vi bad vår webbleverantör om en utredning och de föreslog i första skedet några åtgärder man kunde ta till för att minska på riskerna med snabb tidtabell, säger Pauli Hirvonen som är IT-chef vid Borgå stad.

Arbetetet tog några dagar och man lyckades förbättra säkerheten i viss grad. Det var sist och slutligen inte så svårt.

– En del av förändringarna var tekniskt ganska lätta att göra. Men de måste helt enkelt bara utföras, säger han.

I tabellen ovan listas alla kommuner som har förbättrat sitt vitsord. Dessutom får Malax, Jakobstad, Hyrynsalmi, Simo och Sibbo nu aningen fler poäng, men de lyckades inte förbättra sitt säkerhetsvitsord utan får fortsättningsvis underkänt.

Tacksam IT-säkerhetsmyndighet

På Cybersäkerhetscentret vid Transport- och kommunikationsverket Traficom är man glad över att kommunerna har reagerat snabbt efter Svenska Yles nyhet.

– Det är jättepositivt. Flera kommuner har tagit det här på allvar och förbättrat sin webbsäkerhet efter att de fick veta att de har sådana här problem på sina sidor, kommenterar specialsakkunnige Markus Lintula.

Fem statliga instanser har också sett till att göra sina sidor säkrare. Störst förbättring skedde hos Försvarsministeriet, Kommunikationsministeriet och Skatteförvaltningen.

Cybersäkerhetscentret som redan tidigare var bäst i klassen med vitsordet B+ får nu vitsordet A+, som är det allra högsta.

– Vi har förstås också sett på hur vi ska kunna förbättra resultatet i sådana här test. Vi försöker alltid förbättra vår egen säkerhet, kommenterar Lintula.

Efter vår förra nyhet var det några kommuner som var skeptiska till säkerhetstestet och dess pålitlighet.

Men Lintula betonar att Mozillas säkerhetstest kollar upp flera viktiga saker och ger en indikation om hur väl man har satsat på säkerheten, även om resultatet förstås inte är en absolut sanning.

Han påpekar att testet till exempel kollar om sidan använder SSL-kryptering och att den gör det på rätt sätt, och om en sajt tillåter klickkapning.

Det är en typ av attack som lurar användare att klicka på skadligt innehåll.

Borgå satsar mer på IT-säkerhet

Pauli Hirvonen på Borgå stad kommenterar att det är beklagligt att staden fick underkänt i Mozillas säkerhetstest före Svenska Yles granskning.

– Vi har inte testat vår offentliga webbplats regelbundet och vi har litat alltför mycket på att vår webbleverantör ska sköta saken, säger Hirvonen.

– Ett tack till Yle att vi fick ögonen upp för det här, och kunde reagera snabbt, tillägger han.

Hirvonen säger att man drar lärdom av saken. Borgå stad ska satsa mer på IT-säkerheten i framtiden.

Kommunerna ska bli bättre tillsammans

Kommuner har också överlag börjat ta IT-säkerheten på större allvar på sistone efter flera allvarliga IT-incidenter där dataintrång har skett.

IT-hoten kommer inte att minska i framtiden, snarare tvärtom.

― Tommi Karttaavi, direktör på Kommunförbundet

Tommi Karttaavi, som jobbar vid Kommunförbundet som direktör med fokus på informationssamhället, säger att det säkert finns mycket kvar att förbättra.

– De fall som har varit synliga i offentligheten är förstås bara toppen av isberget och IT-hoten kommer inte att minska i framtiden, snarare tvärtom.

Kommunförbundet har tagit en lite aktivare roll, och har börjat samarbeta med Cybersäkerhetscentret.

Förbundet planerar att snarast skicka ut brev till alla kommuner med viktig information om webbsäkerheten.

– Dessutom ska vi skapa ett nätverk av IT-säkerhetspersoner från kommunerna för att kunna få ut viktig information snabbare, säger Karttaavi.

Kommunförbundet siktar också på att gynna ett gemensamt webbpubliceringssystem för kommunerna – ett system som bygger på öppen källkod, och som lättare skulle kunna hållas uppdaterat.

– När vi jobbar på det här tillsammans så kan vi satsa mer på det, och se till att säkerheten är god, säger Karttaavi.

Samtidigt har Säkerhetskommittén nu i början av september kommit med en rekommendation till kommunerna om att de ska kontakta Cybersäkerhetscentret i samband med dataintrång eller andra liknande IT-incidenter.

Varning för gammal mjukvara

Något som Mozillas säkerhetstest däremot inte kollade var vilken mjukvara sajterna använder.

Cybersäkerhetscentret säger att det är sannolikt att flera viktiga sajter fortfarande kör med gamla versioner av mjukvaran PHP, och påpekar att det i vissa fall kan vara en stor risk – till exempel om webbservern inte är åtskild tillräckligt väl från kommunens interna system.

– Det är helt möjligt och det är ett sätt som kriminella använder för att ta sig in till organisationer för att sätta utpressningstrojaner, säger specialsakkunnige Markus Lintula.

Utpressningstrojaner krypterar filer på de system de kommer åt och kräver lösensumma för att låsa upp dem. Det här kan innebära stora problem för de organisationer som råkar ut för dem, när personalen plötsligt inte kommer åt viktigt innehåll.

En koll som Svenska Yle har gjort visar att flera kommunala webbplatser verkar använda en version av PHP som är 5.2 eller äldre. De här versionerna har inte fått säkerhetsuppdateringar sedan i juli 2016, och flera av dem har kritiska säkerhetshål.

Cybersäkerhetscentrets rekommendation är att uppdatera till en ny version av PHP så snart som möjligt.