96 norske kommuners hjemmesider er usikret for deres brukere: vi forteller deg hvordan du kan se om din kommunes side er sikret

Det danske byrået Skjoldby & Co., som driver med søkemotoroptimalisering for bedrifter, har gjennomført en undersøkelse av nordiske kommuner sine nettsider. Resulatet viser at én av fem nettsider hos norske, svenske og danske kommuner ikke er sikret slik de skal, og at de dermed er usikre for brukerne. I Norge er det 96 kommuner som mangler riktige sikkerhetstiltak på nettsidene sine, mens det i Sverige og Danmark er snakk om henholdsvis 38 og 12 kommuner med usikre nettsider.

 

Trusselbildet på Internett endrer seg nærmest fra time til time. Skal du være trygg, er det eneste som nytter å bruke oppdaterte løsninger hele tiden, sikre at systemene lærer av hverandre og fokusere på holdninger og kunnskap i organisasjonen. Kommunenes avhengighet av IKT for produksjon og leveranser av kommunale tjenester øker, samtidig som digitale trusler øker i både omfang og alvorlighet. Datakriminalitet, digital aktivisme og trusler fra fremmede stater kan føre til at kommunene ikke lenger kan levere de tjenestene som innbyggerne forventer på en effektiv måte.

Riksrevisjonen, Datatilsynet og Digitalt sårbarhetsutvalg har imidlertid påpekt en rekke brudd på personvernreglene, alvorlige svakheter i informasjonssikkerheten og kompetansemangel innen IKT-sikkerhet i kommunene. KS’ (kommunesektorens organisasjon) rolle er å samordne digitaliseringsarbeidet i kommuner og fylkeskommuner, å ivareta kommunesektorens behov i statens digitaliseringsaktiviteter og å sørge for gode rammevilkår for digitalisering i kommuner og fylkeskommuner.

Ingen aktører som overvåker IT-sikkerheten i kommunesektoren

Norske kommuner driver et kontinuerlig arbeid for å digitalisere tjenester innenfor sine ansvarsområder. Det gjelder blant annet primærhelsetjenesten, som sykehjem og allmennlegetjeneste, sosialhjelp, grunnskole, barnehager, renovasjon, vann og avløp, brann- og redningstjenester og fritidsklubber.  ut ifra rapport fra Norsk senter for informasjonssikring (Norsis), viser situasjonen i kommunal sektor at det er ingen aktører som i dag beskriver et helhetlig situasjonsbilde (trusler, sårbarheter, hendelser og sikkerhetstiltak) for sektoren, og det er heller ingen aktører som i dag har ansvar for varsling og informasjonsdeling mellom alle kommuner, fylkeskommuner og andre håndteringsmiljøer i sektoren.

Noe varsling og deling av informasjon finner sted, primært sentrert rundt eksisterende hånd- teringsmiljøer og i kommuner som har kompetanse og kapasitet til dette. Videre har kommunal sektor i dag ikke et felles ressurs- eller kompetansesenter som kan støtte kommunene med tekniske analyser, eller teknisk eller metodisk støtte ved håndtering av IKT-hendelser.

Det er heller ikke formalisert et kontaktpunkt for kommunal sektor i den nasjonale CERT-strukturen. Deler av kommunal sektor dekkes gjennom kontaktpunktene i øvrige responsmiljøer som HelseCERT, KraftCERT og NorCERT. Kommunene blir gradvis bedre på sikkerhet, men at det ikke er godt nok før alle tilbyr sikker kommunikasjon til sine nettsider.

Løsningen må endre seg med trusselbildet

kommuner er en stor virksomhet som bare i kraft av sin synlighet er utsatt for hackere eller andre grupper som ønsker å ødelegge, stjele eller manipulere data via nettet. En IT-sikkerhetsløsning for en slik virksomhet må være solid nok til at alt fra personlig informasjon og planer til saksbehandling og dialog med kommunens innbygger kan foregå beskyttet mot folk med tvilsomme intensjoner. Samtidig må løsningen være så godt designet at de ansatte ikke opplever at den blir en hindring i hverdagen.

– De stadige endringene i IKT-trusselbildet, i metodene og verktøyene som datakriminelle tar i bruk, forutsetter en kontinuerlig overvåking, døgnet rundt, året rundt. Tenkningen rundt datasikkerhet har også endret seg som en konsekvens av teknologiutviklingen, og der man før i større grad fokuserte på å beskytte seg på utsiden av systemene eller ned på brukernivå, er det i dag ingen vei utenom en lagvis sikkerhetsarkitektur der trusler som kommer gjennom det første laget blir fanget opp av det neste.

Én bokstav avgjør sikkerheten

Men, hva er egentlig forskjellen på en sikker og usikker nettside?

Kort fortalt er det én bokstav som er avgjørende:

Ta en titt i adressefeltet på nettsiden og se om det står HTTP eller HTTPS. S-en indikerer at hjemmesiden har et såkaldt SSL-sertifikat (Secure Socket Layer), som krypterer all data fra brukeren. HyperText Transfer Protocol Secure (HTTPS) er en sikrere utgave av HTTP, hvor alt innhold som blir sendt og mottatt er kryptert.

Dersom du for eksempel fyller ut et skjema med passord vil nettsiden være den eneste som kan lese dette. Dette gjelder også den andre veien, hvor en nettside trygt kan sende deg sensitiv informasjon.

Ta kontakt med oss idag så hjelper vi deg gjerne!

Kilder:

Tæt på 1/5 af nordiske kommuners hjemmesider er usikre for brugerne

Norsis rapport