Digital sikkerhed på kommunale hjemmesider
–
Stor test og undersøgelse af digital sikkerhed kommunale domæner – Udgivet december 2021
Digital sikkerhed er vigtigt, specielt når man er i kontakt med offentlige instanser. Derfor blev det af Rådet for Digital sikkerhed fastsat, at der senest i juli 2020 skulle være implementeret en række minimumskrav til sikkerheden i it-løsninger for statslige myndigheder.
Krav til statslige domæner – men hvad med kommunerne?
Disse krav omfattede blandt andet DNSEC og DMARC på alle statslige domæner – teknologier der gør det sværere for hackere at misbruge statslige hjemmesider og mails.
Men hvad med de kommunale domæner? Hvordan er de sikret?
Det har vi her på siden besluttet os for at finde ud af, og vi har derfor testet domænerne bag landets 20 største kommuner for at se, om de er tilstrækkeligt sikret, eller om man f.eks. ved hjælp af DNS omdirigering kan narre borgere til at besøge en kopi af kommunernes-hjemmeside.
Vi har i vores undersøgelse brugt “Sikker På Nettet”-testen, som blandt andet Center for Cybersikkerhed, Rådet for Digital sikkerhed og e-mærket står bag.
Testen kigger på en række hjemmeside- og mail-relaterede sikkerheds-parametre, og giver efterfølgende en score fra 0 til 100%. Vi vil i det efterfølgende kalde denne score for SPN-score, og senere i artiklen kan du se, hvem der fik den bedste og dårligste samlede score.
Lad os starte med at se på, hvor mange domæner, der havde DNSSEC implementeret.
Næsten halvdelen har ikke DNSSEC
Efter at have teste domænerne bag de 20 største kommuner, var resultatet mildest talt nedslående. Næsten 50% af alle domæner, var nemlig ikke sikret med DNSSEC. Danmarks tredjestørste kommune Odense har f.eks. ikke DNSSEC på deres domæne odense.dk.
Et kort med de testede kommuner kan ses herunder:
Hvad er DNSSEC?
Kort fortalt så er DNSSEC sikkerhedsudvidelse til DNS, som sikrer, at vejen til et domænenavn ikke kan omdirigeres af hackere. DNSSEC er dermed en garanti for, at man som besøgende er på den rigtige hjemmeside og ikke en kopi, som for eksempel har til formål franarre de besøgende for kreditkort-oplysninger eller andre følsomme oplysninger.
Det er derfor ikke så underligt, at alle statslige domæner er blevet påkrævet at implementere DNSSEC i 2020.
Flere har styr på DMARC
Bedre ser det ud, når det kommer til DMARC, hvor kun 4 af 20 kommunale domæner ikke er sikret. Det drejer sig blandt andet om vejle.dk, holbaek.dk og sonderborgkommune.dk, som alle i øvrigt heller ikke har styr på DNSSEC. Overaskende nok har Aarhus kommune heller ikke DMARC på deres domæne, hvilket man måske havde forventet af Danmarks andenstørste kommune.
Hvad er DMARC
DMARC er en teknologi, der beskytter mod forfalskning af e-mails, således at en hacker vil blive opdaget i at udgive sig for at være afsender på eksempelvis post@aarhus.dk. Helt lavpraktisk så fungerer DMARC på den måde, at falske afsendelser afvises af modtageren i henhold til, hvad DMARC-politikken siger. Hvis der ikke er en DMARC-politik risikerer e-mailen at blive leveret uden problemer eller advarsler til modtageren, som måske i god tro tror, han eller hun har fået en mail fra kommunen, selvom det slet ikke er dem der har sendt den.
DMARC er derfor også en meget vigtig teknologi, da borgerne i kommunerne ellers nemt kan blive narret til at opgive personlig oplysninger ved at svare på falske e-mails.
Her følger den samlede liste med både DNSSEC OG DMARC resultaterne:
Kommune | Hjemmeside | DNSSEC | DMARC |
---|---|---|---|
København | kk.dk | ✔ | ✔ |
Aarhus | aarhus.dk | ✔ | ❌ |
Odense | odense.dk | ❌ | ✔ |
Aalborg | aalborg.dk | ✔ | ✔ |
Esbjerg | esbjerg.dk | ✔ | ✔ |
Vejle | vejle.dk | ❌ | ❌ |
Frederiksberg | frederiksberg.dk | ✔ | ✔ |
Randers | randers.dk | ❌ | ✔ |
Viborg | viborg.dk | ❌ | ✔ |
Silkeborg | silkeborg.dk | ❌ | ✔ |
Kolding | kolding.dk | ✔ | ✔ |
Horsens | horsens.dk | ✔ | ✔ |
Herning | herning.dk | ❌ | ✔ |
Roskilde | roskilde.dk | ❌ | ✔ |
Næstved | naestved.dk | ✔ | ✔ |
Slagelse | slagelse.dk | ✔ | ✔ |
Gentofte | gentofte.dk | ✔ | ✔ |
Sønderborg | sonderborgkommune.dk | ❌ | ❌ |
Holbæk | holbaek.dk | ❌ | ❌ |
Gladsaxe | gladsaxe.dk | ✔ | ✔ |
Hvem har den bedste SPN-score?
Testen fra sikkerpånettet.dk giver en samlet score på mellem 0 og 100%. Herunder har vi sammenholdt alle de 20 kommunernes score og set på, hvem der klarer sig godt, og hvem der klarer sig knap så godt.
Kommune | Hjemmeside | SPN-SCORE |
---|---|---|
Gladsaxe | gladsaxe.dk | 94% |
København | kk.dk | 79% |
Aarhus | aarhus.dk | 79% |
Kolding | kolding.dk | 79% |
Horsens | horsens.dk | 79% |
Næstved | naestved.dk | 79% |
Slagelse | slagelse.dk | 76% |
Aalborg | aalborg.dk | 73% |
Frederiksberg | frederiksberg.dk | 71% |
Gentofte | gentofte.dk | 71% |
Esbjerg | esbjerg.dk | 61% |
Herning | herning.dk | 52% |
Vejle | vejle.dk | 49% |
Randers | randers.dk | 49% |
Viborg | viborg.dk | 49% |
Sønderborg | sonderborgkommune.dk | 47% |
Holbæk | holbaek.dk | 40% |
Silkeborg | silkeborg.dk | 37% |
Roskilde | roskilde.dk | 34% |
Odense | odense.dk | 32% |
Gladsaxe kommune er klart den kommune der klarer sig bedst når der kommer til Digital Sikkerhed på deres hjemmeside. De har en flot score på hele 94%, hvilket indikerer, at de har godt styr på både DNSSEC og mange andre teknologier og standarder. Gladsaxe kommune er skarpt forfulgt af landets to største kommune København og Aarhus, som begge scorer pænt med 79%.
Værre ser det ud hos landets tredje-største kommune, nemlig Odense kommune, som med kun 32% scorer dårligst blandt de 20 testede kommuner. Her er det både DNSSEC og Moderne IP-adresser (IPv6) som domænet ikke lever op til.
Testen fra sikkerpånettet.dk kan både kigger på mail og hjemmeside, men i vores tilfælde har vi kun brugt testen til hjemmesiden, og derfor omfatter SPN-scoren ikke DMARC. Derfor kan kommuner som Aarhus score højt, selvom de ikke har DMARC.
Vores test af DNSSEC, DMARC og SPN-score er foretaget den 10. december 2021. Vi tager forbehold for tastefejl, da den er foretaget manuelt, og fejl i selve testen.
Flere populære artikler
Nyheder
Hastighedstest: nordicway vs simply.com vs one.com
Stor hastighedstest af nordicway, simply.com og one.com - hvem kan hurtigst loade den præcis samme hjemmeside?... Læs nyhed
2024-10-06Danske WP Engine kunder kan ikke længere opdatere deres WordPress
Danske WP Engine kunder kan ikke længere opdatere WordPress. Her er alternativerne, som du kan flytte dit webhotel til.... Læs nyhed
2024-09-26Prisen stiger igen – denne gang hos one.com
Det er ikke længe siden at Simply.com hævede deres priser og nu har deres største konkurrent i Danmark gjort det samme. One.com hæver nemlig prisen på blandt andet deres begynder pakker, så den fremover koster 59 kroner om måneden i stedet for de 49 kroner om måneden den hidtil har kostet. Vi har fået meldinger […]
... Læs nyhed 2024-05-30Duelhost | Anmeldelse, priser og alternativer
Ovejer du Duelhost som dit nye webhotel? Læs vores anmeldelse af Duelhost og bliv klogere på dem inden du køber.... Læs nyhed
2024-01-15Simply.com hæver priserne frem mod 2024
Det er kun et år siden, at vi sidst kunne berette om, at Danmarks største udbyder af webhoteller Simply, hævede priserne. Nu er det dog sket igen, og Simply har hævet priserne på henholdsvis deres Basic og Standard suite. Prisstigningerne ser således ud: Basic suite: 56 kr/md, hæves til 66 kr/md Standard suite: 93 kr/md, […]
... Læs nyhed 2024-04-03E-studio | Anmeldelse, priser og alternativer
E-studio er et populært dansk webhotel. Læs vores anmeldelse af e-studio og bliv klogere på deres priser, alternativer og meget mere.... Læs nyhed
2024-05-15