Svenska Yle har använt sig av säkerhetstestet Observatory, som är utvecklat av företaget Mozilla, i kartläggningen av offentliga webbsidor i Finland. Enligt genomgången får 80 procent, eller 248 av Finlands 311 kommuner, underkänt. Observartory letar efter förekomsten av säkerhetsmekanismer som ska skydda från aktörer som vill installera skadlig kod, stjäla information om användare eller komma åt att manipulera innehåll på webbplatser, skriver Svenska Yle. Bland de åländska kommunerna är det bara tre som får godkänt i testet. Bäst är Lemland med säkerhetsbetyget C på skalan mellan A (bäst) och F (sämst). Vårdö och Finström får betyget D medan övriga får underkänt, F.
Riktgivande test
Kim Halavakoski, säkerhetschef på det åländska cybersäkerhetsföretaget Deductive labs, konstaterar att tester som Observatory är riktgivande. – Ofta testar de websidans olika säkerhetskonfigurationer. Man scannar av webbsidans ytor för av se hur den är konfigurerad och vilka typer av certifikat som används. Det ger väl en första inblick i saker som man kan åtgärda för att förhindra attacker på sin hemsida. Men det är ingen aktiv testning där man verkligen försöker bryta sig in på hemsidan. Vad som i praktiken kan hända om en webbsida saknar yttre skyddsmekanismer menar han att är väldigt beroende på vilken typ av webbsida det handlar om. – Om det är en enkel webbsida med bara information kanske man inte behöver så omfattande skyddsmekanismer. Finns det möjlighet till kommentarer kan skadliga skript eller kod i installeras, men det beror som sagt helt på vilka applikationer man har. Har man HR- och personalsystem med interna register bundna till webbsidan kan effekten bli större med tanke på GDPR.
Olika prioriteringar
Med hjälp av verktyget domain-scan har Svenska Yle också testat om webbplatserna använder SSL-certifikatet HTTPS. Vad gäller de åländska kommunerna använder endast tre kommuner helt och hållet HTTPS, medan fem använder det bristfälligt. Sju använder det inte över huvud taget. HTTPS är protokoll för krypterad transport av information mellan en persons dator och en webbsida. Om webbsidan använder HTTPS är det mycket svårare att stjäla eller spionera på information som skickas till och från webbsidan. Hur prioriterar företag och organisationer generellt cybersäkerhet i dag? – Min erfarenhet är att det är ganska blandat, har du en organisation som jobbar inom it är man så klart mera medveten om det. Är man en kommun eller någon annan offentlig enhet och har gjort ett beställningsjobb kan jag tänka mig att det blir bortglömt, anbuden har kanske inte alla nödvändiga säkerhetsspecifikationer. Det är något man lätt glömmer bort eller tror att leverantörerna automatiskt har med i sitt paket, säger Kim Halavakoski och fortsätter: – Man kanske söker det billigaste priset och då kan säkerhetsaspekten bli bortprioriterad. Men för många webbsidor som bara innehåller information är det som sagt inte så kritiskt.
Finland efter
En annan säkerhetsmekanism som är ovanlig bland finländska kommuner är DNS-tekniken DNSSEC. DNSSEC är ett säkerhetstillägg som ökar säkerheten i DNS och förhindrar missbruk där DNS-systemet – som kopplar ihop domännamn med IP-adresser – luras med falsk information. – Finland har varit väldigt långsamma med att implementera det. Men både med DNSSEC och SSL-certifikat blir en kostnadsfråga. Du behöver kanske inte ett SSL-certifikat om sidan är helt publik, men administrationssidorna bör man åtminstone se till att är krypterade.
Kevin Eriksson
