Internet är i sin allra bredaste definition den dominerande tekniken för all elektronisk kommunikation inte bara för webb och e-post, utan även för andra typer av tjänster som telefoni, videokonferenser och streaming av film, serier samt mer traditionella radio- och tv-program.

Om du handlar, eller förväntas lämna känslig information, hos en webbtjänst via internet, så borde det falla sig naturligt att kryptera exempelvis kreditkortsinformation eller personinformation. Tanken med att skydda information som utväxlas mellan dessa enheter är att ingen annan på nätverket, till exempel det publika internet, ska kunna avlyssna eller förvanska informationen.

Men är det så självklart? Nej. I 2013 års undersökning av hälsoläget på internet gjord av Punkt SE med fokus på nåbarhet, har turen kommit till transportskyddet. Vi har tittat lite närmare på hur en tjänsteleverantör på nätet skyddar sina kunder och sin information.

Överföring av elektronisk post som sker i klartext brukar jämföras med vykort. Frågan är om inte det är lite orättvist – för vykorten. Dem måste man trots allt ha fysisk åtkomst till för att läsa. På nätet behöver man bara snappa upp trafiken som passerar.

Även för en användare som via webben vill komma i kontakt med en svensk myndighet eller bank är det viktigt att veta att den webbserver man har kontakt med är rätt server, att anslutningen av någon anledning inte har skett till fel tjänst eller server på grund av felkonfiguration eller något medvetet bedrägeriförsök.

För att kryptera kommunikationen mellan två enheter, vare sig det är mellan en webbserver och en webbläsare, e-postservrar och e-postklienter eller någonting annat så använder man samma teknik för att skydda överföringen, Transport Layer Security, TLS.

Med väl etablerade och kända standardprotokoll kan man alltså skapa skydd mot avlyssning genom upprättandet av en säker förbindelse mellan två parter. Vid undersökningen 2013 är det bara 54 procent som ens har stöd för användning av TLS och det betyder att det bara är ungefär hälften som vidtar åtgärder för att skydda exempelvis e-posttrafik från insyn.

Av de undersökta certifikat som används för webbplatser är endast 8 procent så kallade EV-certifikat (Extended validation), där certifikatutfärdaren kontrollerat extra noga att de utfärdar certifikat till rätt mottagare.

Av de certifikat som var utfärdade för domänerna i undersökningsgruppen gick endast 64 procent att verifiera mot en publik certifikatutfärdare. 23 procent av certifikaten var självsignerade, resterande 13 procent hade antingen gått ut (det vill säga passerat sista användningsdag) eller hade andra typer av fel.

Med tanke på att vår undersökning täcker många av de viktigaste verksamheterna i det svenska samhället och med tanke på att det är gammal beprövad teknik är detta ett nedslående resultat. 

  • Betyder det att man inte bryr sig om sina kunder eller användare?
  • Betyder det att man inte har gjort en korrekt riskbedömning?
  • Betyder det att man prioriterar andra saker än informationsskydd?
  • Eller är det helt enkelt bara för jobbigt?

Jag har inget bra svar. Har du?


Anne-Marie Eklund Löwinder är säkerhetschef på Punkt SE.