Nodabase.net

HTTPS-bruk i Norge – en undersøkelse av sikre tilkoblinger for offentlige nettsteder

Description

NRK undersøkte nesten 10 000 aktive nettsidedomener eid av det offentlige i Norge for bruk av sikker tilkobling, HTTPS. Sikker HTTPS-tilkobling sikrer at innbyggerne kommuniserer med riktig nettsted og at informasjonen ikke kan overvåkes, avlyttes eller manipuleres. Flere andre land, som USA, Tyskland og Nederland, har innført krav om at offentlige nettsteder skal sikres slik. I Norge er det ikke et slikt krav og NRK kunne vise at knapt 5 prosent av domenene eid av det offentlige bruker teknologien. Dette ble gjort ved å samle data fra ulike kilder, sette dataene sammen og til dels bygge sitt eget datasett, skrive kode og utnytte testløsninger med åpen kildekode og til slutt lage en interaktiv løsning på nett der publikum kunne sjekke de offentlige etatene de forholder seg til.

Origin

Det hele startet med interessen for datasikkerhet. Over flere år hadde jeg som journalist brukt kryptert e-post, og jeg leste i den forbindelse at den offentlige krypteringsnøkkelen helst burde overføres på en sikker måte slik at den ikke kunne manipuleres på veien. En måte å sikre dette på var å dele den over HTTPS på et sted du selv kontrollerte. Jeg satte opp en egen webserver, konfigurerte den på egenhånd og lærte mye underveis. I prosessen kommer jeg over testsiden SSL Labs på nettet, og etter å ha testet meg selv, ble det som journalist fristende å bruke samme test på andre. Jeg tok derfor først noen stikkprøver blant norske nettsteder, og da spesielt sider drevet av offentlige etater. Derfra utviklet prosjektet seg til omfattende testing med bygging av datasett og egen kode.

Data

Det eksisterte ikke noen oversikt over nettsteder eid/drevet av det offentlige i Norge. Vi valgte derfor å bygge vårt eget datasett ved å kombinere data fra Enhetsregisteret hos Brønnøysundregistrene, for virksomheter med bransjekoder for offentlig sektor, med en forespørsel om innsyn i domeneregisteret for .no Norid for domener registrert av disse virksomhetene. Oversikten vi lagde oss ble så brukt videre opp mot testløsninger som SSL Labs via API, og tester ved bruk av åpen kildekode. Dette skapte så igjen nye datasett med informasjon om bruk og oppsett av HTTPS på domenene.

Resources

Prosjektet er i hovedsak laget av en enkeltjournalist i NRKs Digital undersøkende redaksjon. Prosjektet ble arbeidet med ved siden av en rekke andre prosjekter over tid. Tiden fra arbeidet startet med uttrekk av data til den første pakken med saker ble publisert var på litt over tre måneder. I forbindelse med intervjuer og innspurten mot publisering bidro flere kolleger i redaksjonen. Økonomisk var det ikke betydelige utgifter til prosjektet utover arbeidstiden som gikk med da det i all hovedsak ble brukt gratis programvare med åpen kildekode.

Impact

Justisdepartementet tok etter at NRKs saker initiativ til å få vurdert om Norge også burde ha krav om sikre HTTPS-tilkoblinger for offentlige nettsteder. Nasjonal sikkerhetsmyndighet (NSM) som fikk utredningsoppdraget anbefalte i en rapport at dette burde innføres. I desember ble det kjent at HTTPS for nettsteder ligger an til å komme inn som en IT-standard for det offentlige i Norge siden saken skal opp i Standardiseringsrådet. NRK valgte også å varsle eierne av 102 domener om feil og usikkerheter ved oppsettet som vi oppdaget i våre tester. En drøy måned etter at de ble varslet hadde over halvparten rettet feilene.

Obstacles

De største utfordringene var nok at hele prosjektet ble gjort av en journalist som egentlig ikke er utvikler. Dermed ble det en del knoting med kode og uforståelige feil ved kjøringer. Men med tid, tålmodighet og litt hjelp fra hyggelige kolleger med litt mer teknisk bakgrunn kom vi i mål.

Built on WordPress by Smart Media AS

Privacy Policy

The Privacy Statement is about how this website collects and uses visitor information. The statement contains information that you are entitled to when collecting information from our website (Personal Information Act, section 19), and general information about how we treat personal data (Personal Data Act, section 18, first paragraph). The legal owner of the website is the processing officer for the processing of personal data. It is voluntary for those who visit the web sites to provide personal information regarding services such as receiving newsletters and using the sharing and tip services. The treatment basis is the consent of the individual, unless otherwise specified.

1. Web analytics and cookies (cookies)

As an important part of the effort to create a user-friendly website, we look at the user pattern of those who visit the site. To analyze the information, we use the Google Analytics analysis tool. Google Analytics uses cookies (small text files that the site stores on the user's computer), which registers the users' IP address and provides information about the individual user's online movements. Examples of what the statistics give us answers to are; how many people visit different pages, how long the visit lasts, what websites users come from and what browsers are used. None of the cookies allow us to link information about your use of the site to you as an individual. The information collected by Google Analytics is stored on Google servers in the U.S.. The information received is subject to the Google Privacy Policy. An IP address is defined as a personal information because it can be traced back to a particular hardware and thus to an individual. We use Google Analytics's tracking code to anonymize the IP address before the information is stored and processed by Google. Thus, the stored IP address can not be used to identify the individual user.

2. Search

If the webpage has search function, it stores information about what keywords users use in Google Analytics. The purpose of the storage is to improve our information service. The search usage pattern is stored in aggregate form. Only the keyword is saved and they can not be linked to other information about the users, such as the IP addresses.

3. Share / Tips service

The "Share with others" feature can be used to forward links to the site by email, or to share the content of social networking. Tips for tips are not logged with us, but only used to add the tips to the community. However, we can not guarantee that the online community does not log this information. All such services should therefore be used wisely. If you use the email feature, we only use the provided email addresses to resend the message without any form of storage.

4. Newsletter

The website can send out newsletters by email if you have registered to receive this. In order for us to be able to send e-mail, you must register an e-mail address. Mailchimp is the data processor for the newsletter. The e-mail address is stored in a separate database, not shared with others and deleted when you unsubscribe. The e-mail address will also be deleted if we receive feedback that it is not active.

5. Registration, form

The website may have a form for registration, contact form or other form. These forms are available to the public to perform the tasks they are supposed to do. Registration form is for visitors to sign up or register. Contact form is for visitors to easily send a message to the website's contact person. We ask for the name of the sender and contact information for this. Personal information we receive is not used for purposes other than responding to the inquiry. The form is sent as email via Mailgun as a third party solution. The entire submission will be stored at Mailgun for 24 hours. Between 24 hours and 30 days, only mailheader is stored before the submission is deleted after 30 days. The reason for this storage is to confirm whether emails are sent from the website and forwarded to the correct recipient. Once the email is received by the recipient, it is up to the recipient to determine the data processing needs of the email.

6. Page and service functionality

Cookies are used in the operation and presentation of data from websites. Such cookies may contain language code information for languages ​​selected by the user. There may be cookies with information supporting the load balancing of the system, ensuring all users the best possible experience. For services that require login or search, cookies can be used to ensure that the service presents data to the right recipient.

7. How to manage cookies in your browser

On www.nettvett.no, read how to configure your browser to accept / reject cookies, and get tips for safer use of the internet.