Af Rasmus Elm Rasmussen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
De hjemmesider, som burde være de mest troværdige, kan ende med at tømme din bankkonto. Det viser en ny undersøgelse fra Skjoldby & Co
Det lille "s", der betegner om en hjemmeside er sikker, er desværre helt eller delvist fraværende hos mange kommuner. Hos nogle eksisterer https-sider slet ikke, mens der hos andre kun er visse sider, der har et ssl-certifikat.
Det betyder, at du hurtigt kan blive sendt fra en sikker til en usikker side. Klikker du dig ind på en http-side, bliver du ikke automatisk sendt tilbage til en sikker https-side. Kommunerne har ikke sørget for at deres hjemmesider omdirigeres. Når det er gjort, viser hjemmesiden fremadrettet sin https version – også selvom du skriver http i url’en.
Dine oplysninger ligger blottet
Er hjemmesiden uden ssl-certifikat, er der ingen garanti for at dine data krypteres. De er således intet beskyttelseslag over dem, og derfor er det betydeligt nemmere for hackere at stjæle de oplysninger, du efterlader på en side. Det kan være bankkortoplysninger, login og kode, private sager som sagsbehandling, ansøgninger, dine tidligere søgninger.
Derudover vil hackeren kunne ændre links, så de kan sende brugeren over på en falsk side, der ligner kommunens på en prik, så du i god tro indtaster fortrolige oplysninger.
Skjoldby & Co har samlet en liste over kommuner der har en usikker hjemmeside. Der er både medregnet de kommuner, der slet ikke har et SSL-certifikat og de kommuner, der ikke har omdirigeret (redirected) deres sider:
Kommune | URL | Mangler SSL | Har SSL men omdirigeringsfejl |
Varde Kommune | http://www.vardekommune.dk | x | |
Sønderborg Kommune | http://sonderborgkommune.dk | x | |
Kalundborg Kommune | http://www.kalundborg.dk | x | |
Høje Taastrup Kommune | http://www.htk.dk | x | |
Skive Kommune | http://www.skive.dk | x | |
Ikast-Brande Kommune | http://www.ikast-brande.dk | x | |
Gentofte Kommune | http://www.gentofte.dk | x | |
Odsherred Kommune | http://www.odsherred.dk | x | |
Solrod Kommune | http://www.solrod.dk | x | |
Gribskov Kommune | http://www.gribskov.dk | x | |
Glostrup Kommune | http://www.glostrup.dk | x | |
Brøndby Kommune | http://www.brondby.dk | x |
12,2% af danske kommuner er usikre.
Stefan Rosenlund, Managing Director i team.blue Danmark, udtaler:
"Manglende ssl-certifikat betyder, at kommunen ikke beskytter deres personfølsomme oplysninger. Det er dog værd at bemærke, at der forskel på kommunens hjemmeside og deres selvbetjeningsløsninger, der formentlig allerede bruger ssl. Men hvis kommunens hovedside ikke bruger det, kan man via f.eks. et man-in-the-middle angreb nemt ændre et link til en selvbetjeningsside over til en falsk side, som hackeren har kontrol over. Det er også et vigtigt signal til borgerne om, at kommunen går op i sikkerhed. ssl er noget af det første man typisk bemærker, hvis man er opmærksom på sikkerhed ved hjemmesider.
Det er et krav fra Digitalstyrelsen, at offentlige sider har SS. Alle statslige myndigheder skal bruge ssl fra d.1 januar:
Det kan være nemt at få fat i oplysninger, når hjemmesiden er uden SSL, da dataen er en klartekst og ikke krypteret. Det er ikke nemt ved https."