Hoppa till huvudinnehåll

Svenska Yle granskar: Bottenbetyg i säkerhetstest för kommunala och statliga webbsajter – kolla vilket vitsord din kommun får

Yles ADB-central år 1968.
Är din webbplats skyddad eller bygger den på föråldrad teknik? På bilden: Yles ADB-central i Helsingfors år 1968, före webbens tidsålder (arkivbild). Yles ADB-central år 1968. Bild: Yle Yle,datorer

Offentliga webbplatser saknar viktiga säkerhetsfunktioner. Det kan vara riskabelt både för webbplatserna och för användarna. Risken finns att skadlig kod kan köras på en del av sajterna.

Ett säkerhetstest som Svenska Yle har utfört bekräftar att läget inte är så bra som det borde vara. I Finland får 248 kommuners webbplatser underkänt – nästan 80 procent av kommunerna.

Vi har också kört testet på 30 statliga myndighetssidor i Finland och av dem fick 60 procent underkänt.

Kommunala webbplatsers säkerhetsbetyg
Kommunala webbplatsers säkerhetsbetyg

Säkerhetstestet Observatory, som är utvecklat av företaget Mozilla, kontrollerar förekomsten av viktiga mekanismer för webbsäkerhet och om de är tillämpade korrekt.

De ska skydda från aktörer som till exempel vill installera skadlig kod, stjäla information om användare eller komma åt att manipulera innehåll på webbplatser.

IT-säkerhetsföretaget Silverskin kommenterar att det är riktgivande för hur bra säkerheten är på webbplatser.

– Vissa organisationer hade bra poäng medan andra hade ganska mycket att förbättra. Man ger inte alltid de här säkerhetsfrågorna så mycket uppmärksamhet som man i dagsläget borde göra, säger försäljningschef Tommi Lahtinen.

På Cybersäkerhetscentret vid transport- och kommunikationsverket Traficom har man en liknande bedömning.

– Det är en negativ signal och det betyder att de har för liten budget för IT-säkerhet, säger informationssäkerhetsspecialisten Jan Wikholm.

I praktiken är det ofta externa serviceleverantörer som bygger upp många av webbsidorna, men samtidigt är beställaren – till exempel kommunen – i sista hand ansvarig för att det är en säker webbplats.

Beställaren kan till exempel betona att det ska satsas på säkerheten; något som kan kosta lite extra.

Bäst i test

Den kommun som fick bäst resultat var Björneborg. Staden fick lika bra vitsord som Cybersäkerhetscentret, nämligen B+ på en amerikansk skala mellan A (bäst) och F (sämst).

– Det är fint att vi har klarat oss väl i testet. Vi har också satsat en hel del på vår webbplats och har uppenbarligen lyckats välja bra leverantörer, säger Heikki Haaparanta, chef för ICT-enheten på Björneborgs stad.

Stadens webbplats har byggts upp på nytt under de senaste 2–3 åren och använder öppen källkod, närmare bestämt en programvara som kallas för Drupal.

Haaparanta berättar att man har anlitat webbkunniga från fem olika företag för att bygga upp och uppdatera sajten. IT-säkerheten har varit viktig i det här projektet.

– Säkerhet måste vara en del av all ICT-verksamhet. Vi var nyligen i nyheterna för att vi råkade ut för ett dataintrång och det var igen en väckarklocka om att ständigt satsa på säkerheten i allt det vi gör, säger han.

Kommunerna med de säkraste webbplatserna
KommunVitsord
BjörneborgB+
KurikkaB
JyväskyläB-
KihniöB-

Pargas fick F, men satsar på bättre säkerhet från och med hösten

Samtidigt som Björneborg och några andra klarar sig väl i testet, så får de flesta underkänt. Pargas stad är en av dem.

IT-chef Kai Kalliolevo kommenterar att det absolut finns risker med stadens nuvarande webbplats som har använts i fem år, och som har uppdaterats en aning då och då.

– Den är ännu bristfällig. Det måste man konstatera. Det finns mycket att förbättra och därför har vi ett projekt på gång, om att förnya vår sajt helt och hållet. De nya sidorna kommer att publiceras under höstens lopp.

Han tillägger att god säkerhet kommer att vara ett centralt mål när man förnyar webbplatsen.

Staden kommer dessutom i september att delta i Taisto, som är en gemensam övning för den offentliga sektorn. Målet är att förbättra dataskyddet och IT-säkerheten överlag.

Svenska Yles upptäckt ledde till förändringar

I samband med den här nyheten upptäckte Svenska Yle också av en händelse ett dåligt skyddat personalsystem hos Pargas stad.

Systemet innehåller åtminstone anställdas namn och uppgifter om anställningsförhållande, semestrar och sjukfrånvaron. Hälsouppgifter anses vara känsliga och ska enligt EU:s dataskyddsförordning skyddas extra väl.

Inloggningssidan till personalsystemet var lätt att hitta via huvudsidan och inte krypterad med SSL-kryptering såsom EU:s dataskyddsförordning kräver.

Det kunde ha gjort det möjligt för en hackare att lättare kunna komma över inloggningsuppgifter.

Pargas stad tog snabbt bort inloggningssidan från internet efter att Svenska Yle tog kontakt. Nu är den bara tillgänglig via stadens intranät, bekräftar IT-chefen Kai Kalliolevo.

Skärmdump från Pargas stads webbplats, som visar en länk till "Webtallennus"
Skärmdump av Pargas stads webbplats den 23 augusti. Den markerade länken ledde till en okrypterad inloggningssida. Både länken och inloggningssidan är numera borttagna. Skärmdump från Pargas stads webbplats, som visar en länk till "Webtallennus" Bild: Skärmdump Pargas,webbplats

Säkra förbindelser

En femtedel av kommunerna har inte tagit i bruk säkra HTTPS-förbindelser på sina webbsidor, och ytterligare en femtedel har gjort det på ett bristfälligt sätt.

Det här trots att alla de IT-säkerhetsexperter vi har talat med för den här nyheten rekommenderar den här tekniken.

Söktjänsten Google straffar till och med webbplatser som inte använder HTTPS. De hamnar lägre ned i sökresultaten.

Vad är HTTPS?

SSL-förbindelser, eller HTTPS som det också kallas, handlar om att överföra data på ett säkert sätt mellan en webbplats och användaren.

Under 2010‑talet har det pågått en allmän övergång till den här mer säkra tekniken, från en okrypterad teknik som kallas HTTP.

De flesta webbläsare visar en låssymbol invid adressraden om en viss webbplats använder HTTPS.

Enligt IT-experter är det relativt enkelt för en webbplats att börja använda HTTPS. Det kan innebära ett par timmars jobb.

– Det berättar om kvaliteten och gör det mer tryggt för en användare också att använda webbplatsen, säger Tommi Lahtinen på Silverskin.

HTTPS-användning på kommuners webbplatser
HTTPS-användning på kommuners webbplatser

"Vi är inte överraskade"

Lahtinen på Silverskin tillägger att många i dagsläget inte vet hur de borde skydda sina webbplatser och sin information och att det kan finnas flera säkerhetsluckor i sajterna.

Han uppmuntrar olika aktörer att se över sin säkerhet.

– Vi är inte överraskade. Vi gör i vårt dagliga arbete ganska många sådana här test och också djupare analyser, med tillstånd av de granskade organisationerna, och vi har hittat massor av sårbarheter genom åren, säger Lahtinen.

Tommi Lahtinen står i kavaj och skjorta framför en vägg som där dekorerad med ettor och nollor.
Tommi Lahtinen på Silverskin. Tommi Lahtinen står i kavaj och skjorta framför en vägg som där dekorerad med ettor och nollor. Bild: Yle/Niklas Fagerström porträtt,Silverskin

Han tillägger att det också varierar hur intresserade offentliga aktörer är av att upprätthålla god säkerhet på sina sajter.

– Många sköter det riktigt bra men det finns också mycket att fixa till i framtiden.

Dessutom borde säkerhetsarbetet vara pågående.

En vanlig orsak till att flera kommunala webbplatser får dåligt betyg i Mozillas säkerhetstest kan vara det handlar om gamla webbsidor som inte har fått tillräckligt med säkerhetsuppdateringar.

Så testade vi webbplatserna

Listan på kommunernas webbplatser är tagen från Kommunförbundet. En del länkar var föråldrade och behövde korrigeras manuellt. De statliga webbplatserna innefattar alla ministerier, plus olika statliga webbtjänster som vi plockade ut för hand.

Säkerhetsvitsordet är hämtat från tjänsten Mozilla Observatory, som genom olika automatiserade test försöker avgöra hur säker en webbplats är. Det bästa möjliga vitsordet är A+ och det sämsta är F. Vitsordet är endast riktgivande men ger ändå en jämförbar bild över hur mycket kommunen eller myndigheten har satsat på webbsäkerheten. Här kan du läsa mer om vilka test som körs (på engelska).

För att testa om webbplatserna använder HTTPS så körde vi verktyget domain-scan, som utvecklats för att utvärdera amerikanska myndighetssidors säkerhet. Verktyget testar dels om HTTPS är aktiverat, men också att alla certifikat är giltiga och att man alltid styrs om till HTTPS-versionen av webbplatsen, oavsett vad man skriver in i adressfältet.

Information om DNSSEC hämtades från Traficoms domännamnssökning för .fi-domäner och från verktyget DNSSEC-analyzer för kommuner med andra domäner (.ax eller .com).

Testerna är gjorda i slutet av augusti 2019.

Problemet gäller inte endast den offentliga sektorn, men i den här granskningen har vi valt att fokusera på den på grund av dess stora betydelse i samhället.

Samtidigt är det viktigt att betona att Mozillas säkerhetstest inte är en absolut sanning.

– En lätt och fullständig bild av en webbplats säkerhet är svår att få med sådana här så kallade passiva metoder. Det skulle krävas mer aktivt testande, så att man till exempel försöker förorsaka skada, och det är olagligt, eller kräver särskilt tillstånd av den instans man angriper, påpekar Jani Kirmanen som är utvecklingsdirektör på IT-säkerhetsföretaget Silverskin.

Jani Kirmanen i kavaj och skjorta framför en stenvägg.
Jani Kirmanen betonar att ett passivt test inte ger hela bilden. Jani Kirmanen i kavaj och skjorta framför en stenvägg. Bild: Yle/Niklas Fagerström porträtt,Jani Kirmanen

Cybersäkerhetscentrets bedömning är också att läget i stort troligen inte är så bra som det borde vara.

– Det finns mycket att förbättra, men vi har ingen heltäckande lägesbild av hela Finland. Vi har några skanningar hit och dit, men inte en helhetsbild av hela Finland, till exempel eftersom kommuner inte har något ansvar till Cybersäkerhetscentret, kommenterar Jan Wikholm.

Kommunerna behöver alltså inte berätta för den statliga myndigheten om sin IT-säkerhet.

Wikholm påpekar att det till exempel finns så många allmänt tillgängliga servrar och digitala tjänster att många kommuner själva inte ens vet vad allt som behöver skyddas.

Myndighet: Säker DNS är mycket viktig

Det finns ytterligare en säkerhetsfunktion som många aktörer har struntat i tills vidare, eller inte ens hört om, nämligen säker DNS-teknik, även kallad DNSSEC.

Vad är DNS och DNSSEC?

DNS-systemet är det som knyter ihop konkreta webbadresser såsom www.helsinki.fi med den IP-adress som egentligen ligger bakom och som alltså normalt identifierar en viss dator eller apparat i nätverket.

DNSSEC är för sin del ett säkerhetstillägg som har utvecklats med målet att förhindra missbruk där man lurar DNS-systemet med falsk information.

Rent tekniskt kör tillägget med kryptografiska signaturer för att säkerställa att DNS-svaret kommer från rätt källa och att data inte har manipulerats under överföringen.

Bara sju kommuner (cirka 3 procent) använder DNSSEC. Bland dem Sibbo och Vasa. Av de statliga instanserna är det endast Traficom och Cybersäkerhetscentret som gör det.

Ändå är det här en teknik som har funnits redan länge och som används av hälften av webbplatserna i Sverige och Norge, enligt Traficom.

Till exempel i USA har DNSSEC varit obligatorisk på myndighetssajter (sidor med toppdomänen .gov) redan i flera år.

Jan Wikholm på Cybersäkerhetscentret säger till Svenska Yle att det är mycket viktigt att olika offentliga sajter övergår till att använda DNSSEC.

– Det finns olika dataintrångsmetoder som har att göra med DNS. Webbläsaren kan då styras om att kommunicera med kriminella i stället för den riktiga servern.

Det kan då hända att folk ger ifrån sig känsliga uppgifter till kriminella utan att veta om det.

Säkerhet positivt för ryktet

Wikholm på Cybersäkerhetscentret i Finland kommenterar att det är alldeles för få aktörer som har DNSSEC i Finland, men man hoppas att ett evenemang som Traficom planerar hålla i början av nästa månad ska öka intresset.

Han hoppas dessutom att olika sajter i framtiden kommer att sikta på att få bra testresultat i säkerhetstest. Förutom att det ger bättre säkerhet så kan det också vara bra pr och något man vill skryta med, säger han.

– Att man till exempel har DNSSEC, det bästa vitsordet från Mozilla och SSL Labs, och så vidare. Jag hoppas att utvecklingen går mot det här, att säkerheten ska vara något positivt för ryktet i stället för att vara en sak som man måste göra för att inte bli nästa offer.

Läs också

Nyligen publicerat - Inrikes