En undersøkelse fra webhotellet Loopia viser at kun 65 % av landets kommuner har installert SSL-sertifikat for å sikre nettsidene mot kriminell aktivitet. Ytterligere funn viser at 9 % av SSL-sertifikatene ikke besto sikkerhetstesten til Direktoratet for forvaltning og ikt (Difi).
Loopia sjekket i mars måned statusen på SSL-sertifikatene for alle 426 kommuner. Resultatet viste at Vestfold er det fylke som er best på sikring av nettside hvor hele 92 % av kommunene hadde tatt i bruk SSL-sertifikat. Nederst på listen er kommunene i Telemark fylke hvor kun 50 % har installert SSL-sertifikat. Av disse var det kun 45 % som besto Difis sikkerhetstest.
– Tiden er forbi da SSL-sertifikat kun var nødvendig hvis nettsiden hadde innlogging med brukernavn og passord. Det er fortsatt en risiko for at kriminelle henter ut personopplysninger ved å opprette falske nettsider og fremstå som reelle virksomheter. En annen kriminell taktikk er å overvåke hvilke sider du klikker på nettsidene, sier administrerende direktør i Loopia, Jimmie Eriksson.
– Dette kan motvirkes i stor grad ved å bruke SSL-sertifikat som krypterer trafikken, og i tillegg verifiserer at det er den virkelige nettsiden som besøkes. Et fungerende SSL-sertifikat viser at du både beskytter og verdsetter personvernet til kommunes innbyggere, fortsetter han.
Eriksson presiserer at landets kommuner skyver problemet foran seg ved å ikke bruke SSL-sertifikat eller vedlikeholde disse godt nok. Fra og med juli 2018 vil Norges mest brukte nettleser, Google Chrome, vise nettsider som usikre hvis det ikke er installert SSL-sertifikat. En undersøkelse fra Hubspot viser at hele 82 % forlater en nettside umiddelbart hvis de får melding om at denne er usikker.”
– Det er unødvendig at landets innbyggerne skal engste seg hver gang de bruker kommunens nettjenester. I 2018 bør alle kunne forvente å ha en sikker og privat bruk på kommunenes nettsider, avslutter direktøren.
Resultater fra undersøkelsen
Test SSL-sertifikat | |||||||
Fylke | SSL installert | SSL ikke installert | Antall kommuner | Bestått | Ikke bestått | Vekting bestått | |
Oslo | 100% | 0% | 1 | 100% | 1,00 | ||
Vestfold | 92% | 8% | 12 | 100% | 0,92 | ||
Møre og Romsdal | 83% | 17% | 36 | 100% | 0,83 | ||
Akershus | 96% | 4% | 22 | 86% | 14% | 0,83 | |
Sogn og Fjordane | 77% | 23% | 26 | 100% | 0,77 | ||
Rogaland | 81% | 19% | 26 | 95% | 5% | 0,77 | |
Trøndelag | 75% | 25% | 48 | 100% | 0,75 | ||
Oppland | 81% | 19% | 26 | 81% | 19% | 0,66 | |
Landsbasis | 65% | 35% | 426 | 91% | 9% | 0,59 | |
Hordaland | 76% | 24% | 33 | 76% | 24% | 0,58 | |
Østfold | 56% | 44% | 18 | 100% | 0,56 | ||
Finnmark | 53% | 57% | 19 | 100% | 0,53 | ||
Hedmark | 46% | 54% | 22 | 100% | 0,46 | ||
Buskerud | 62% | 38% | 21 | 69% | 31% | 0,43 | |
Nordland | 46% | 54% | 44 | 90% | 10% | 0,41 | |
Troms | 42% | 58% | 24 | 90% | 10% | 0,38 | |
Vest-Agder | 40% | 60% | 15 | 84% | 16% | 0,34 | |
Aust-Agder | 33% | 67% | 15 | 100% | 0,33 | ||
Telemark | 50% | 50% | 18 | 45% | 55% | 0,23 |
Bakgrunn for undersøkelsen
Loopia, som er et av Nordens største webhotell, sjekket bruken av SSL-sertifikat for alle norske kommuner i tidsrommet 22-23. mars 2018.
Loopia baserte seg på Difis anbefaling for hvordan norske kommuner bør teste kvaliteten for SSL-sertifikatet sitt. Direktoratet for forvaltning og IKT(Difi) et av sine faområder er forebyggende IKT-sikkerhet i statsforvaltningen.
Alle nettsidene er testet av Qualys sin SSL-tester, som Difi anbefaler, og gir en karakter fra A+ til T. Ifølge Difi er alt over karakteren B- godkjent som sikkert SSL-sertifikat.
Direktoratet skriver i anbefalingen sin at “all kommunikasjon som innebærer utveksling av sensitive opplysninger eller fødselsnummer mellom innbygger og tjenesteeier, skal være kryptert. Tjenestene bør benytte SSL-sertifikater med utvidet validering.”
Loopia har ikke sjekket om nettsidene inneholder sensitive opplysninger men tar utgangspunkt at de kommunene som allerede har installert SSL-sertifikat, også behandler sensitive opplysninger.
Det er foretatt en vekting som rangerer hvor godt kommunene håndterer SSL-sertifikatene. Vektingen tar hensyn til både fordeling av antall installerte SSL-sertifikater og fordeling på hvor mange som består testen til Difi.
Hva er SSL-sertifikat?
SSL (Secure Socket Layers) er den globale sikkerhetsstandarden som krypterer forbindelsen mellom nettsiden og brukerens nettleser. Dette hindrer uvedkommende innsyn eller endring av informasjonen som sendes eller mottas via nettsiden.
Et SSL-sertifikat som fungerer viser en grønn hengelås i adressefeltet i tillegg til organisasjonsnavnet. Dette forsikrer besøkende om at organisasjonen og nettsiden er den de hevder å være, og ikke en falsk nettside.
Sjekk hvilke SSL-sertifikat Loopia tilbyr
Les guidene vi har skrevet for hvordan du enkelt installerer SSL-sertifikat