Nodabase.net

HTTPS-bruk i Norge – en undersøkelse av sikre tilkoblinger for offentlige nettsteder

Description

NRK undersøkte nesten 10 000 aktive nettsidedomener eid av det offentlige i Norge for bruk av sikker tilkobling, HTTPS. Sikker HTTPS-tilkobling sikrer at innbyggerne kommuniserer med riktig nettsted og at informasjonen ikke kan overvåkes, avlyttes eller manipuleres. Flere andre land, som USA, Tyskland og Nederland, har innført krav om at offentlige nettsteder skal sikres slik. I Norge er det ikke et slikt krav og NRK kunne vise at knapt 5 prosent av domenene eid av det offentlige bruker teknologien. Dette ble gjort ved å samle data fra ulike kilder, sette dataene sammen og til dels bygge sitt eget datasett, skrive kode og utnytte testløsninger med åpen kildekode og til slutt lage en interaktiv løsning på nett der publikum kunne sjekke de offentlige etatene de forholder seg til.

Origin

Det hele startet med interessen for datasikkerhet. Over flere år hadde jeg som journalist brukt kryptert e-post, og jeg leste i den forbindelse at den offentlige krypteringsnøkkelen helst burde overføres på en sikker måte slik at den ikke kunne manipuleres på veien. En måte å sikre dette på var å dele den over HTTPS på et sted du selv kontrollerte. Jeg satte opp en egen webserver, konfigurerte den på egenhånd og lærte mye underveis. I prosessen kommer jeg over testsiden SSL Labs på nettet, og etter å ha testet meg selv, ble det som journalist fristende å bruke samme test på andre. Jeg tok derfor først noen stikkprøver blant norske nettsteder, og da spesielt sider drevet av offentlige etater. Derfra utviklet prosjektet seg til omfattende testing med bygging av datasett og egen kode.

Data

Det eksisterte ikke noen oversikt over nettsteder eid/drevet av det offentlige i Norge. Vi valgte derfor å bygge vårt eget datasett ved å kombinere data fra Enhetsregisteret hos Brønnøysundregistrene, for virksomheter med bransjekoder for offentlig sektor, med en forespørsel om innsyn i domeneregisteret for .no Norid for domener registrert av disse virksomhetene. Oversikten vi lagde oss ble så brukt videre opp mot testløsninger som SSL Labs via API, og tester ved bruk av åpen kildekode. Dette skapte så igjen nye datasett med informasjon om bruk og oppsett av HTTPS på domenene.

Resources

Prosjektet er i hovedsak laget av en enkeltjournalist i NRKs Digital undersøkende redaksjon. Prosjektet ble arbeidet med ved siden av en rekke andre prosjekter over tid. Tiden fra arbeidet startet med uttrekk av data til den første pakken med saker ble publisert var på litt over tre måneder. I forbindelse med intervjuer og innspurten mot publisering bidro flere kolleger i redaksjonen. Økonomisk var det ikke betydelige utgifter til prosjektet utover arbeidstiden som gikk med da det i all hovedsak ble brukt gratis programvare med åpen kildekode.

Impact

Justisdepartementet tok etter at NRKs saker initiativ til å få vurdert om Norge også burde ha krav om sikre HTTPS-tilkoblinger for offentlige nettsteder. Nasjonal sikkerhetsmyndighet (NSM) som fikk utredningsoppdraget anbefalte i en rapport at dette burde innføres. I desember ble det kjent at HTTPS for nettsteder ligger an til å komme inn som en IT-standard for det offentlige i Norge siden saken skal opp i Standardiseringsrådet. NRK valgte også å varsle eierne av 102 domener om feil og usikkerheter ved oppsettet som vi oppdaget i våre tester. En drøy måned etter at de ble varslet hadde over halvparten rettet feilene.

Obstacles

De største utfordringene var nok at hele prosjektet ble gjort av en journalist som egentlig ikke er utvikler. Dermed ble det en del knoting med kode og uforståelige feil ved kjøringer. Men med tid, tålmodighet og litt hjelp fra hyggelige kolleger med litt mer teknisk bakgrunn kom vi i mål.

Built on WordPress by Smart Media AS