En man sitter i ett coworkingspace med en bärbar dator och en takeawaymugg kaffe

Nätets hälsokoll visar att mycket behöver göras för säkerheten

6 min läsning
Miniatyr-dator med litet lås runt sig.

Så ser mätresultaten ut

Har din bank eller hemkommun viktiga säkerhetsfunktioner på plats sin webbplats och i sitt mejlsystem? Undersök mätresultaten själv genom att klicka här!

Hur säkra är egentligen de samhällsviktiga webbplatserna vi använder varje dag? Internetstiftelsens löpande mätning av hälsoläget i .se-zonen visar att det fortfarande finns mycket att göra för säkerheten.

Genom en löpande mätning med webbverktyget Hardenize mäter Internetstiftelsen säkerhetsstatusen för utvalda svenska domäner. Fokus ligger på banker, myndigheter, kommuner, medier och andra sektorer som är viktiga för att samhället ska fungera. Undersökningen är med andra ord en viktig koll av hälsoläget för vitala delar av internets infrastruktur i Sverige.

Säkerheten mäts inom de tre områdena webb, mejl och DNS, där mätningen visar om de samhällsviktiga aktörerna använder viktiga standardiserade tillägg och inställningar för att göra sina domäner, webbplatser och mejlsystem säkrare.

Resultatet för webb visualiserat för tre av de branscher som ingår i mätningen.

– Vi har inte tagit med något finlir utan vi tittar på de standardiserade, grundläggande delarna. Det handlar inte om några säkerhetsfunktioner  som ligger i framkant utan saker som helt enkelt ska finnas, säger Anne-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen.

Trots det når färre än hälften av de undersökta aktörerna upp till en tillräckligt bra standard i mätningen. 42 procent har en god nivå på sin webb, medan 41 procent når upp till kraven på sina mejlservrar. Ett negativt resultat kan antingen handla om att man inte infört olika säkerhetsfunktioner eller att man inte gjort det tillräckligt bra.

Stora skillnader i säkerheten mellan aktörer

Skillnaderna mellan olika säkerhetstillägg är stora. 95 procent använder till exempel krypteringsprotokollet https, som för en vanlig användare enkelt kan ses i början av en webbadress. Samtidigt använder bara 4 procent det viktiga protokollet DANE som bland annat krypterar mejl istället för att skicka dem i klartext.

Resultaten skiljer sig också beroende på bransch. Försäkringsbolag och dagstidningar sticker ut med höga poäng för webb respektive mejl, medan bankerna å andra sidan har låga poäng inom båda områdena, med några undantag. Bara 12 procent av bankerna i undersökningen har en god tillgång av de protokoll som är med undersökningen.

– Att så viktiga verksamheter har dåliga resultat när det handlar om vanliga säkerhetsfunktioner som redan funnits i fem-tio år är allvarligt. Det visar att man inte har tillräcklig koll på säkerheten. Om system är trasiga eller ouppdaterade blir det lättare för någon att ta sig in och orsaka stor skada. Större attacker mot de här verksamheterna är inte bra för vare sig medborgare, näringslivet eller Sveriges rykte på it-området, säger Anne-Marie Eklund Löwinder.

Pressbild Anne-Marie Eklund Löwinder, säkerhetschef, Internetstiftelsen
Anne-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen

Men trots resultaten för branschen som helhet är det också hos bankerna en av de stora framgångarna finns. Handelsbanken är en av få aktörer med ett så gott som hundraprocentigt resultat i undersökningen.

Enligt Jean-Marc Clerc på Handelsbankens it-säkerhetsavdelning ligger framgången i ett tätt samarbete och korta beslutsvägar mellan hans team och resten av it-avdelningen, där säkerhetsavdelningen stöttar, ställer krav och följer de hotbilder som finns just nu.

– Vi insåg längs vägen att mycket av arbetet handlade om att slå på och konfigurera saker i de komponenter vi redan har istället för att köpa in dyra produkter och lösningar. Mitt råd till andra är att etablera ett bra samarbete mellan säkerhetsavdelningen och it-organisationen och bygga upp en vilja att lära sig mer om säkerhet, säger han.

Mycket handlade om att slå på funktioner vi redan hade istället för att köpa nya och dyra produkter.

Jean-Marc Clerc, Handelsbankens it-säkerhetsavdelning

Även Anne-Marie Eklund Löwinder ser avstånden mellan it-avdelningen och resten av verksamheten på olika företag som en vanlig stoppkloss i arbetet.

­– Ett vanligt problem är att de personer i ett företag som vet vad som behöver göras för it-säkerheten inte kan besluta om det, medan de som tar besluten inte vet vad som behövs. Säkerhetsfrågor landar inte tillräckligt ofta hos VD och företagsledningen utan har istället överlåtits åt it-avdelningen att sköta själva. Detta är dock något som blivit bättre under de senaste åren, säger hon.

Mätningen en hjälp för att öka den egna it-säkerheten

Den som jobbar med it-säkerhet på ett företag eller i offentlig verksamhet kan i Internetstiftelsens mätning inte bara se vilka åtgärder man inte redan använder, utan också hur viktiga de är och hur mycket arbete som krävs för att implementera dem. Poängen är att erbjuda hjälp till självhjälp för de som vill bli bättre.

Det är också i den andan som Anne-Marie Eklund Löwinder och Ulrich Wisser, DNS-expert på Internetstiftelsen, träffar aktörer inom olika sektorer för att gå igenom resultaten och lyfta upp diskussionen om it-säkerhet på bordet. Detta har redan gett resultat. Efter att de träffat ansvariga departement inom Regeringskansliet för att diskutera de statliga bolagens resultat gjorde dessa ett skutt uppåt i mätningen.

Till sin hjälp har Anne-Marie och Ulrich ett visst mått av gamification. De har utvecklat ett poängssystem där en aktör får plus- eller minuspoäng för varje säkerhetsfunktion de implementerat på ett bra eller mindre bra sätt. Utifrån det sätter de sedan ihop en topplista över till exempel alla försäkringsbolag, kommuner eller universitet. Detta får många av verksamheterna att spetsa öronen. Ingen vill vara sämre än värsta konkurrenten och många vill ligga i topp inom sin bransch.

Rådet: Börja med de enkla lösningarna

För den som vill förbättra resultaten i den egna verksamheten är ett bra första steg att undersöka vilka säkerhetstillägg som kan implementeras utan att det är vare sig kostsamt eller svårt. Senare bör man också ta sig an de delar som kräver mer tid och resurser – för användarsäkerhetens och trovärdighetens skull.

– Sverige är på väg mot en allt mer omfattande digitalisering, men varje liten incident gnager ett hål i förtroendekapitalet. Börjar medborgarna ifrågasätta om tjänsterna de förväntas använda är tillräckligt säkra har vi ett problem. Samtidigt är det positivt att se att det finns ett driv i de här frågorna. Informationssäkerhet är på allas läppar och det finns en ökad förståelse för att de här frågorna faktiskt hör hemma på ledningsnivå, säger Anne-Marie Eklund Löwinder.

De här funktionerna ingår i mätningen

DNS

Namnserver: Utan fungerande namnservrar kan inte mycket göras. De behövs bland annat för att översätta webbadresser till IP-adresser och se till att mejl hamnar rätt.

DNSSEC: Säkerhetstillägg till domännamnssystemet DNS. Skyddar användare från förfalskad DNS-data som annars kan styra om användaren till fel webbplats eller avlyssna mejl på väg från avsändare till mottagare. Är dessutom en förutsättning för att några av de protokoll som nämns nedan ska vara effektiva.

E-post

TLS (Transport Layer Security): Det vanligaste protokollet för kryptering på nätet som ser till att din trafik inte avlyssnas på vägen. Med hjälp av certifikat kan servrar skapa säkra kommunikationskanaler även med nya användare. Används för både webb och e-post.

DANE (DNS-based Authentication of Named Entities): Fungerar som en brygga mellan DNSSEC och TLS. Kan kryptera mejl så att de inte skickas i klartext, men också användas för att säkerställa att man är på rätt plats i andra avseenden än e-post.

SPF (Sender Policy Framework): Hjälper domäninnehavare att förhindra att bedragare skickar mejl från förfalskade adresser. Hindrar på så sätt att någon skickar skräp med din domän som avsändare och du slipper alla e-poststudsar som spam ger upphov till.

DMARC (Domain-Based Message Authentication): Erbjuder ytterligare ett verktyg för avsändare att bättre förebygga och övervaka missbruk av sina domäner. DMARC fungerar tillsammans med SPF för att kontrollera att inkommande mejl verkligen kommer ifrån den avsändare som angetts, vilket försvårar nätfiske.

Webb

Cookies: Små filer som placeras på din dator av webbläsaren för att spara information. Används till exempel för att en webbplats ska komma ihåg ditt lösenord nästa gång du besöker den eller så att annonser kan skräddarsys efter dina intressen. I mätningen kontrolleras att kakorna är uppmärkta som säkra.

Mixed content: En webbplats som levereras över det säkra HTTPS men som också har innehåll som kommer via det osäkrare HTTP har mixed content. För att den ska vara säker bör allt innehåll skickas över HTTPS.

HSTS: (HTTP Strict Transport Security): Låter en sajt kräva att webbläsare bara kan få tillgång till den över HTTPS. Används för att förhindra så kallade man in the middle-attacker.

CSP (Content Security Policy): Låter innehavaren av en webbplats bestämma vilken sorts innehåll som får laddas på sidan, t ex Javascript, CSS med flera. Detta förhindrar attacker där angriparen lägger in egna scripts på någon annans webbplats.