Säkerhetsmiss hos regeringens och Säpos sajter

Regeringens, Säkerhetspolisens och Socialstyrelsens sajter är osäkra. Det visar en genomgång som Nyheter24 har gjort. Anledningen är att de saknar ett särskilt skydd som blir allt mer vanligt hos sajter på nätet.

– Jag vet att det för kommuner har funnits vissa säkerhetsdirektiv som de ska följa. Jag tycker att det borde vara liknande krav även på myndigheter. Där borde det nästan vara högre krav egentligen kan man tycka, säger Daniel Dib, it-säkerhetsexpert på it-konsultföretaget Conscia Netsafe, till Nyheter24.

Regeringskansliet Rosenbad i Stockholm. Bildkälla: TT Nyhetsbyrån

Skyddet är egentligen en standard på internet som heter SSL ("Secure Sockets Layer") och som helt enkelt gör det säkrare för dig att besöka olika sajter. SSL är ett certifikat som krypterar trafiken mellan webbläsare och webbserver. På så sätt minskar risken för att någon kommer åt och missbrukar information som du knappar in på sajten du besöker.

– För att förklara det enkelt skapas det en tunnel mellan dig och domänen, vilket möjliggör att andra inte kan snoka runt och titta vad du gör, säger Jorge Castro, it-expert på ABS Wheels, som av en slump upptäckte att många svenska myndigheters sajter saknar detta skydd.

Vad kan hända om man inte har SSL?

– Det öppnar upp möjligheterna för hackerattacker eller att någon samlar in information som de inte ska ta del av. SSL-certifikat är som ett bank-id fast för webbplatser. Det finns till för att skydda allt som sker mellan kunden och webbläsaren, säger Jorge Castro.

Så dels får du som surfar bekräftat att du faktiskt är inne på rätt sajt, och dels krypteras trafiken mellan dig och sajten.

För att veta om en sajt skyddas med SSL kan man titta uppe i adressfältet. Alla webbadresser som skyddas med SSL börjar alltid med "https" istället för det vanliga "http". Det brukar även synas en låsikon bredvid adressfältet i de allra flesta webbläsarna.

Till vänster är amerikanska CIA:s sajt med SSL-certifikat. Till höger Säkerhetspolisens sajt utan. Bildkälla: Skärmdump

För att riskera att hackas måste man dock själv agera på sajten. Det kan till exempel handla om att man fyller i uppgifter i ett formulär eller registrerar sig för ett nyhetsbrev.

– Om du till exempel sitter på ett kafé och kopplar upp dig på ett trådlöst nätverk är de oftast öppna. Det innebär att jag kan sniffa din trafik medan den är i luften. Då skulle jag kunna få ut ganska känslig data, säger it-säkerhetsexperten Daniel Dib.

När Nyheter24 går igenom svenska myndigheters sajter hittar vi flera exempel på webbsidor som inte skyddas med SSL men där besökaren ska fylla i uppgifter och meddelanden till myndigheten.

Två sådana exempel är kontaktformulär hos både Socialstyrelsen och regeringen.

Socialstyrelsens sajt utan SSL. Bildkälla: Skärmdump

Regeringens sajt utan SSL. Bildkälla: Skärmdump

Webbsidan där regeringens generella kontaktformulär finns saknar SSL-skydd. Bildkälla: Skärmdump

Att regeringens generella kontaktformulär saknar SSL-skydd tycker Daniel Dib är dåligt.

– Det är inte bra att sidan inte har SSL. På ett trådlöst nätverk utan kryptering är det lätt att fånga trafiken, till exempel på en flygplats, hotell, kafé eller liknande, om inte den trådlösa trafiken är krypterad, säger han.

Ett annat exempel är Säkerhetspolisen vars startsida inte heller har SSL-skydd.

Inget SSL-skydd på Säpos förstasida. Bildkälla: Skärmdump

Om man däremot klickar sig vidare in på Säkerhetspolisens tipsa-funktion hamnar man på en webbsida som har SSL-skydd.

Säkerhetspolisen tipslänk. Bildkälla: Skärmdump

Problemet är bara att en hackare potentiellt redan kan ha snappat upp trafiken – och omdirigerat besökaren.

Eftersom Säkerhetspolisen inte har skyddat sin startsida med SSL skulle en person som till exempel vill lämna ett terrortips via myndighetens formulär på sajten, och som sitter på ett kafé som har ett öppet wifi, rent teoretiskt ganska lätt kunna hackas.

Hackaren skulle bland annat kunna slussa besökaren vidare till en falsk kopia av sajten för att där ta del av uppgifterna som denne lämnar.

Webbsidan där Säkerhetspolisens tipsformulär finns har visserligen SSL-skydd, men då kan det redan vara för sent. Bildkälla: Skärmdump

Det finns även fler sätt som en hackare kan komma över känsliga uppgifter i fallet med Säkerhetspolisens startsida som alltså saknar SSL-skydd.

Om hackaren lyckats sniffa din trafik skulle denne kunna lägga sig emellan dig och sajten och helt enkelt avlyssna, men också manipulera, din internettrafik. Det här kallas för en "Man-in-the-middle attack".

– Man kan också låtsas vara servern och bara skickar vidare din trafik. Mellan mig och servern är det då "https", men mellan dig och mig är det bara vanlig okrypterad trafik. Du skickar liksom informationen till mig i klartext för att jag har lurat dig att skicka trafiken via mig först, säger Daniel Dib.

Allt detta skulle vara mycket svårare att göra om trafiken mellan besökaren och sajten var krypterad med SSL.

Att Säkerhetspolisens sajt verkar ha säkerhetsbrister är inget Säpo själva säger sig kunna kommentera.

"Säkerhetspolisens verksamhet omgärdas av stor sekretess och därför kan vi inte besvara de frågor du ställer om vår it-säkerhet", skriver Sofia Hellqvist, pressekreterare på Säkerhetspolisen, i ett mejl till Nyheter24.

Bildkälla: TT Nyhetsbyrån

Även Regeringskansliet säger att de inte har möjlighet att kommentera sin it-säkerhet, men säger att det finns olika sätt att se till att ett it-system är säkert.

"För Regeringskansliet är helhetsbedömningen central. För att uppnå en säker miljö anpassar och kompletterar Regeringskansliet säkerhetsåtgärderna efter de risker som finns. Vi går däremot inte in på hur it-systemet ser ut eller vilka säkerhetsåtgärder som vidtas", säger Cajsa Holm, presskommunikatör på Regeringskansliet, i ett mejl till Nyheter24.

Enligt Socialstyrelsen är deras formulär, som vi lyfter som ett exempel på en sida utan SSL-skydd, säkert. Informationen blir nämligen krypterad när man trycker på skicka, enligt Björn Svensson, biträdande it-chef på myndigheten.

– Informationen ligger på en sida som är okrypterad, men den skickas krypterad även om det inte syns när du tittar i läsaren, säger han till Nyheter24.

Björn Svensson menar att Socialstyrelsens webbplats är stor och att alla sidor inte är skyddade med SSL, men att deras nya sidor är det och att målet är att hela sajten ska vara krypterad i framtiden.

– Nuförtiden är det standard att köra allting krypterat, alltså "https", så på våra nya sajter kör vi det. Men den här sajten är rätt gammal så där har vi inte slagit på kryptering där det bara är öppen information, säger han.

Se också klippet om hur storbedragaren Alexander, 24, lurade svenskar på hundratusentals kronor:

Glöm inte att ladda ner vår app för att få full koll på de senaste nyheterna. Finns på Google Play och App Store.