Digital sikkerhed på kommunale hjemmesider
–
Stor test og undersøgelse af digital sikkerhed kommunale domæner – Udgivet december 2021
Digital sikkerhed er vigtigt, specielt når man er i kontakt med offentlige instanser. Derfor blev det af Rådet for Digital sikkerhed fastsat, at der senest i juli 2020 skulle være implementeret en række minimumskrav til sikkerheden i it-løsninger for statslige myndigheder.
Krav til statslige domæner – men hvad med kommunerne?
Disse krav omfattede blandt andet DNSEC og DMARC på alle statslige domæner – teknologier der gør det sværere for hackere at misbruge statslige hjemmesider og mails.
Men hvad med de kommunale domæner? Hvordan er de sikret?
Det har vi her på siden besluttet os for at finde ud af, og vi har derfor testet domænerne bag landets 20 største kommuner for at se, om de er tilstrækkeligt sikret, eller om man f.eks. ved hjælp af DNS omdirigering kan narre borgere til at besøge en kopi af kommunernes-hjemmeside.
Vi har i vores undersøgelse brugt “Sikker På Nettet”-testen, som blandt andet Center for Cybersikkerhed, Rådet for Digital sikkerhed og e-mærket står bag.
Testen kigger på en række hjemmeside- og mail-relaterede sikkerheds-parametre, og giver efterfølgende en score fra 0 til 100%. Vi vil i det efterfølgende kalde denne score for SPN-score, og senere i artiklen kan du se, hvem der fik den bedste og dårligste samlede score.
Lad os starte med at se på, hvor mange domæner, der havde DNSSEC implementeret.
Næsten halvdelen har ikke DNSSEC
Efter at have teste domænerne bag de 20 største kommuner, var resultatet mildest talt nedslående. Næsten 50% af alle domæner, var nemlig ikke sikret med DNSSEC. Danmarks tredjestørste kommune Odense har f.eks. ikke DNSSEC på deres domæne odense.dk.
Et kort med de testede kommuner kan ses herunder:
Hvad er DNSSEC?
Kort fortalt så er DNSSEC sikkerhedsudvidelse til DNS, som sikrer, at vejen til et domænenavn ikke kan omdirigeres af hackere. DNSSEC er dermed en garanti for, at man som besøgende er på den rigtige hjemmeside og ikke en kopi, som for eksempel har til formål franarre de besøgende for kreditkort-oplysninger eller andre følsomme oplysninger.
Det er derfor ikke så underligt, at alle statslige domæner er blevet påkrævet at implementere DNSSEC i 2020.
Flere har styr på DMARC
Bedre ser det ud, når det kommer til DMARC, hvor kun 4 af 20 kommunale domæner ikke er sikret. Det drejer sig blandt andet om vejle.dk, holbaek.dk og sonderborgkommune.dk, som alle i øvrigt heller ikke har styr på DNSSEC. Overaskende nok har Aarhus kommune heller ikke DMARC på deres domæne, hvilket man måske havde forventet af Danmarks andenstørste kommune.
Hvad er DMARC
DMARC er en teknologi, der beskytter mod forfalskning af e-mails, således at en hacker vil blive opdaget i at udgive sig for at være afsender på eksempelvis post@aarhus.dk. Helt lavpraktisk så fungerer DMARC på den måde, at falske afsendelser afvises af modtageren i henhold til, hvad DMARC-politikken siger. Hvis der ikke er en DMARC-politik risikerer e-mailen at blive leveret uden problemer eller advarsler til modtageren, som måske i god tro tror, han eller hun har fået en mail fra kommunen, selvom det slet ikke er dem der har sendt den.
DMARC er derfor også en meget vigtig teknologi, da borgerne i kommunerne ellers nemt kan blive narret til at opgive personlig oplysninger ved at svare på falske e-mails.
Her følger den samlede liste med både DNSSEC OG DMARC resultaterne:
| Kommune | Hjemmeside | DNSSEC | DMARC |
|---|---|---|---|
| København | kk.dk | ✔ | ✔ |
| Aarhus | aarhus.dk | ✔ | ❌ |
| Odense | odense.dk | ❌ | ✔ |
| Aalborg | aalborg.dk | ✔ | ✔ |
| Esbjerg | esbjerg.dk | ✔ | ✔ |
| Vejle | vejle.dk | ❌ | ❌ |
| Frederiksberg | frederiksberg.dk | ✔ | ✔ |
| Randers | randers.dk | ❌ | ✔ |
| Viborg | viborg.dk | ❌ | ✔ |
| Silkeborg | silkeborg.dk | ❌ | ✔ |
| Kolding | kolding.dk | ✔ | ✔ |
| Horsens | horsens.dk | ✔ | ✔ |
| Herning | herning.dk | ❌ | ✔ |
| Roskilde | roskilde.dk | ❌ | ✔ |
| Næstved | naestved.dk | ✔ | ✔ |
| Slagelse | slagelse.dk | ✔ | ✔ |
| Gentofte | gentofte.dk | ✔ | ✔ |
| Sønderborg | sonderborgkommune.dk | ❌ | ❌ |
| Holbæk | holbaek.dk | ❌ | ❌ |
| Gladsaxe | gladsaxe.dk | ✔ | ✔ |
Hvem har den bedste SPN-score?
Testen fra sikkerpånettet.dk giver en samlet score på mellem 0 og 100%. Herunder har vi sammenholdt alle de 20 kommunernes score og set på, hvem der klarer sig godt, og hvem der klarer sig knap så godt.
| Kommune | Hjemmeside | SPN-SCORE |
|---|---|---|
| Gladsaxe | gladsaxe.dk | 94% |
| København | kk.dk | 79% |
| Aarhus | aarhus.dk | 79% |
| Kolding | kolding.dk | 79% |
| Horsens | horsens.dk | 79% |
| Næstved | naestved.dk | 79% |
| Slagelse | slagelse.dk | 76% |
| Aalborg | aalborg.dk | 73% |
| Frederiksberg | frederiksberg.dk | 71% |
| Gentofte | gentofte.dk | 71% |
| Esbjerg | esbjerg.dk | 61% |
| Herning | herning.dk | 52% |
| Vejle | vejle.dk | 49% |
| Randers | randers.dk | 49% |
| Viborg | viborg.dk | 49% |
| Sønderborg | sonderborgkommune.dk | 47% |
| Holbæk | holbaek.dk | 40% |
| Silkeborg | silkeborg.dk | 37% |
| Roskilde | roskilde.dk | 34% |
| Odense | odense.dk | 32% |
Gladsaxe kommune er klart den kommune der klarer sig bedst når der kommer til Digital Sikkerhed på deres hjemmeside. De har en flot score på hele 94%, hvilket indikerer, at de har godt styr på både DNSSEC og mange andre teknologier og standarder. Gladsaxe kommune er skarpt forfulgt af landets to største kommune København og Aarhus, som begge scorer pænt med 79%.
Værre ser det ud hos landets tredje-største kommune, nemlig Odense kommune, som med kun 32% scorer dårligst blandt de 20 testede kommuner. Her er det både DNSSEC og Moderne IP-adresser (IPv6) som domænet ikke lever op til.
Testen fra sikkerpånettet.dk kan både kigger på mail og hjemmeside, men i vores tilfælde har vi kun brugt testen til hjemmesiden, og derfor omfatter SPN-scoren ikke DMARC. Derfor kan kommuner som Aarhus score højt, selvom de ikke har DMARC.
Vores test af DNSSEC, DMARC og SPN-score er foretaget den 10. december 2021. Vi tager forbehold for tastefejl, da den er foretaget manuelt, og fejl i selve testen.
Flere populære artikler
Nyheder
cHosting | Anmeldelser og priser
Overvejer du cHosting som webhotel? I denne guide ser vi nærmere på b.la. cHosting anmeldelser priser og meget mere... Læs nyhed
2022-06-16Azehosting | Anmeldelser, priser og alternativer
Overvejer du Azehosting som dit webhotel? Læs med her, og lær Azehosting bedre at kende, inden du køber webhotel hos dem.... Læs nyhed
2022-06-16IMAP, POP3 og Webmail | Den store mail-guide
I denne guide skal vi kigge på mails. Vi skal se på hvad IMAP, POP3 og Webmail er samt hvordan du helt konkret arbejder med det.... Læs nyhed
2022-03-21Reseller hosting | Her er de danske reseller webhoteller
Se de muligheder du har for dansk reseller hosting, hvis du leder efter et godt reseller webhotel. Vi ser på priser & løsninger.... Læs nyhed
2022-01-20Digital sikkerhed på kommunale hjemmesider
– Stor test og undersøgelse af digital sikkerhed kommunale domæner – Udgivet december 2021 Digital sikkerhed er vigtigt, specielt når man er i kontakt med offentlige instanser. Derfor blev det af Rådet for Digital sikkerhed fastsat, at der senest i juli 2020 skulle være implementeret en række minimumskrav til sikkerheden i it-løsninger for statslige myndigheder. […]
... Læs nyhed 2021-12-10Wix email hosting
I denne artikel skal vi se på hvilke muligheder du har hvis du har en Wix hjemmeside og gerne vil have email hosting tilknyttet.... Læs nyhed
2021-11-17