Om du bygger en nättjänst där användarna förväntas hantera känsliga uppgifter har du också en skyldighet att ha koll på säkerheten. Men långt i från alla lever upp till det kravet.
En text jag skrev i höstas, om internetsäkerhet vs. säkerhet på internet, tog sin utgångspunkt i just det resonemanget. De experter som jag intervjuade för artikeln i IVA-aktuellt menade att det är en stor och viktig skillnad mellan de två typerna av säkerhet: Internet som infrastruktur har en hög säkerhetsnivå, medan det är sämre ställt med många av de tjänster som levereras via nätet.
Idén till artikeln dök upp under ett besök i Stockholm och en reklamtavla som jag såg på en av bussarna jag åkte med. Socialtjänsten i Stockholm presenterade en ny kontaktväg: Via internet. Och jag började genast fundera på hur bra den idén egentligen är. De som behöver kontakta Socialtjänsten, vet de vilka potentiella risker som finns om de gör det via nätet? Och de som har upphandlat tjänsten hos Socialtjänsten, har de koll på vilka krav de ska ställa?
Svaret på den första frågan har jag ingen aning om. Den andra ställde jag till några av de personer som jag intervjuade. Åtminstone en av dem var övertygad om att det är lite si och så med beställarkompetensen:
– Ofta är det någon med bra munläder som lovar en världsunik tjänst med militärklassad kryptering som skyddar allt som måste vara skyddat. Som beställare måste man i det läget veta vad man ska fråga efter. Förmågan att formulera krav detaljerat, att inte bara speca att man vill ha en ”säker tjänst”, kommer bli allt viktigare i framtiden.
Och när jag pratade med MSB lät svaret (som i MSB:s fall bara handlade om offentliga verksamheter, inte tjänster som det privata näringslivet tillhandahåller) ungefär på samma sätt. Enligt MSB finns dels en ekonomisk aspekt, där lägst pris ofta vinner. Men det är inte den enda och kanske inte ens den viktigaste:
– I grund och botten handlar det om att man inte har gjort en analys och klassning av den information som man lägger ut. Man har inte gjort en riskvärdering.
Allt detta blev jag påmind om idag, när jag läste DN:s artikel om säkerheten på Bris webbplats. På bris.se har det tidigare funnits en chattfunktion, vars loggar tydligen lagrats i ett system som är känsligt för så kallade sql-injections1.
Men fortfarande idag är trafiken till och från bris.se okrypterad:
All information skickas i klartext, vilket skulle kunna innebära att andra personer i samma nätverk kan se vad som skrivs. I teorin skulle alltså en förälder med ett särskilt datorprogram kunna se i realtid vad som barnen skriver2.
Det här är verkligen ett typexempel på en sådan tjänst som jag syftar på i den här textens inledning. Att saker som barn skickar till Bris kan vara – eller till och med ofta är –känsliga är uppenbart. Att organisationen då både har haft och fortfarande har säkerhetshål av den här typen är helt oacceptabelt.
Sql-injections är inget okänt fenomen. Snarare tvärt om. När jag lärde mig grunderna i PHP och MySQL, två programvaror för webbutveckling, i början av 2000-talet var sql-injections en av de saker som böckerna jag läste för varnade för. Och tittar man på senaste säkerhetslistan från organisationen Owasp (Open Web Application Security Project) ligger sql-injections i topp över misstagen man som webbutvecklare inte får begå.
Och vad gäller kryptering av webbtrafik har jag tidigare skrivit om argument för varför till och med nättidningar borde börja med det. Att inte bris.se använder https är oacceptabelt.
– Det arbetet är i gång att åtgärda. Vi ser med jämna mellanrum över vår säkerhet, säger Silvia Ernhagen, kommunikationschef på Bris, till DN.
Inte tillräckligt ofta och tillräckligt grundligt, vad det verkar.
Jag har skrivit en uppföljning till det här inlägget: Vem lär barnen att titta efter ett hänglås i webbläsarens adressfält?
- En sql-injection innebär att man skickar ett kommando till en databas, i det här fallet den där chattarna finns sparade, och får den att svara med information som det egentligen ska krävas användarnamn och lösenord för att komma åt. Namnbrickan i bilden (som är tagen av Julia Wolf) visar ett exempel på hur en sql-injection kan se ut. I det här fallet ett försök att radera hela deltagarlistan. Om det lyckades vet jag inte. ↩
- Och de där “särskilda datorprogrammen” är inte svåra att komma över. Det handlar inte om suspekta saker, utan bland annat om verktyg som de flesta it-tekniker behöver för att administrera nätverken på sin arbetsplats. ↩
[…] har inte lyckats släppa DN:s nyhet om att bris.se haft dubbla säkerhetsproblem. Jag bloggade redan igår, men det blir åtminstone ett inlägg till. Och den här gången höjer jag blicken lite och för […]