Digital sikkerhed på kommunale hjemmesider
–
Stor test og undersøgelse af digital sikkerhed kommunale domæner – Udgivet december 2021
Digital sikkerhed er vigtigt, specielt når man er i kontakt med offentlige instanser. Derfor blev det af Rådet for Digital sikkerhed fastsat, at der senest i juli 2020 skulle være implementeret en række minimumskrav til sikkerheden i it-løsninger for statslige myndigheder.
Krav til statslige domæner – men hvad med kommunerne?
Disse krav omfattede blandt andet DNSEC og DMARC på alle statslige domæner – teknologier der gør det sværere for hackere at misbruge statslige hjemmesider og mails.
Men hvad med de kommunale domæner? Hvordan er de sikret?
Det har vi her på siden besluttet os for at finde ud af, og vi har derfor testet domænerne bag landets 20 største kommuner for at se, om de er tilstrækkeligt sikret, eller om man f.eks. ved hjælp af DNS omdirigering kan narre borgere til at besøge en kopi af kommunernes-hjemmeside.
Vi har i vores undersøgelse brugt “Sikker På Nettet”-testen, som blandt andet Center for Cybersikkerhed, Rådet for Digital sikkerhed og e-mærket står bag.
Testen kigger på en række hjemmeside- og mail-relaterede sikkerheds-parametre, og giver efterfølgende en score fra 0 til 100%. Vi vil i det efterfølgende kalde denne score for SPN-score, og senere i artiklen kan du se, hvem der fik den bedste og dårligste samlede score.
Lad os starte med at se på, hvor mange domæner, der havde DNSSEC implementeret.
Næsten halvdelen har ikke DNSSEC
Efter at have teste domænerne bag de 20 største kommuner, var resultatet mildest talt nedslående. Næsten 50% af alle domæner, var nemlig ikke sikret med DNSSEC. Danmarks tredjestørste kommune Odense har f.eks. ikke DNSSEC på deres domæne odense.dk.
Et kort med de testede kommuner kan ses herunder:
Hvad er DNSSEC?
Kort fortalt så er DNSSEC sikkerhedsudvidelse til DNS, som sikrer, at vejen til et domænenavn ikke kan omdirigeres af hackere. DNSSEC er dermed en garanti for, at man som besøgende er på den rigtige hjemmeside og ikke en kopi, som for eksempel har til formål franarre de besøgende for kreditkort-oplysninger eller andre følsomme oplysninger.
Det er derfor ikke så underligt, at alle statslige domæner er blevet påkrævet at implementere DNSSEC i 2020.
Flere har styr på DMARC
Bedre ser det ud, når det kommer til DMARC, hvor kun 4 af 20 kommunale domæner ikke er sikret. Det drejer sig blandt andet om vejle.dk, holbaek.dk og sonderborgkommune.dk, som alle i øvrigt heller ikke har styr på DNSSEC. Overaskende nok har Aarhus kommune heller ikke DMARC på deres domæne, hvilket man måske havde forventet af Danmarks andenstørste kommune.
Hvad er DMARC
DMARC er en teknologi, der beskytter mod forfalskning af e-mails, således at en hacker vil blive opdaget i at udgive sig for at være afsender på eksempelvis post@aarhus.dk. Helt lavpraktisk så fungerer DMARC på den måde, at falske afsendelser afvises af modtageren i henhold til, hvad DMARC-politikken siger. Hvis der ikke er en DMARC-politik risikerer e-mailen at blive leveret uden problemer eller advarsler til modtageren, som måske i god tro tror, han eller hun har fået en mail fra kommunen, selvom det slet ikke er dem der har sendt den.
DMARC er derfor også en meget vigtig teknologi, da borgerne i kommunerne ellers nemt kan blive narret til at opgive personlig oplysninger ved at svare på falske e-mails.
Her følger den samlede liste med både DNSSEC OG DMARC resultaterne:
| Kommune | Hjemmeside | DNSSEC | DMARC |
|---|---|---|---|
| København | kk.dk | ✔ | ✔ |
| Aarhus | aarhus.dk | ✔ | ❌ |
| Odense | odense.dk | ❌ | ✔ |
| Aalborg | aalborg.dk | ✔ | ✔ |
| Esbjerg | esbjerg.dk | ✔ | ✔ |
| Vejle | vejle.dk | ❌ | ❌ |
| Frederiksberg | frederiksberg.dk | ✔ | ✔ |
| Randers | randers.dk | ❌ | ✔ |
| Viborg | viborg.dk | ❌ | ✔ |
| Silkeborg | silkeborg.dk | ❌ | ✔ |
| Kolding | kolding.dk | ✔ | ✔ |
| Horsens | horsens.dk | ✔ | ✔ |
| Herning | herning.dk | ❌ | ✔ |
| Roskilde | roskilde.dk | ❌ | ✔ |
| Næstved | naestved.dk | ✔ | ✔ |
| Slagelse | slagelse.dk | ✔ | ✔ |
| Gentofte | gentofte.dk | ✔ | ✔ |
| Sønderborg | sonderborgkommune.dk | ❌ | ❌ |
| Holbæk | holbaek.dk | ❌ | ❌ |
| Gladsaxe | gladsaxe.dk | ✔ | ✔ |
Hvem har den bedste SPN-score?
Testen fra sikkerpånettet.dk giver en samlet score på mellem 0 og 100%. Herunder har vi sammenholdt alle de 20 kommunernes score og set på, hvem der klarer sig godt, og hvem der klarer sig knap så godt.
| Kommune | Hjemmeside | SPN-SCORE |
|---|---|---|
| Gladsaxe | gladsaxe.dk | 94% |
| København | kk.dk | 79% |
| Aarhus | aarhus.dk | 79% |
| Kolding | kolding.dk | 79% |
| Horsens | horsens.dk | 79% |
| Næstved | naestved.dk | 79% |
| Slagelse | slagelse.dk | 76% |
| Aalborg | aalborg.dk | 73% |
| Frederiksberg | frederiksberg.dk | 71% |
| Gentofte | gentofte.dk | 71% |
| Esbjerg | esbjerg.dk | 61% |
| Herning | herning.dk | 52% |
| Vejle | vejle.dk | 49% |
| Randers | randers.dk | 49% |
| Viborg | viborg.dk | 49% |
| Sønderborg | sonderborgkommune.dk | 47% |
| Holbæk | holbaek.dk | 40% |
| Silkeborg | silkeborg.dk | 37% |
| Roskilde | roskilde.dk | 34% |
| Odense | odense.dk | 32% |
Gladsaxe kommune er klart den kommune der klarer sig bedst når der kommer til Digital Sikkerhed på deres hjemmeside. De har en flot score på hele 94%, hvilket indikerer, at de har godt styr på både DNSSEC og mange andre teknologier og standarder. Gladsaxe kommune er skarpt forfulgt af landets to største kommune København og Aarhus, som begge scorer pænt med 79%.
Værre ser det ud hos landets tredje-største kommune, nemlig Odense kommune, som med kun 32% scorer dårligst blandt de 20 testede kommuner. Her er det både DNSSEC og Moderne IP-adresser (IPv6) som domænet ikke lever op til.
Testen fra sikkerpånettet.dk kan både kigger på mail og hjemmeside, men i vores tilfælde har vi kun brugt testen til hjemmesiden, og derfor omfatter SPN-scoren ikke DMARC. Derfor kan kommuner som Aarhus score højt, selvom de ikke har DMARC.
Vores test af DNSSEC, DMARC og SPN-score er foretaget den 10. december 2021. Vi tager forbehold for tastefejl, da den er foretaget manuelt, og fejl i selve testen.
Flere populære artikler
Nyheder
Simply.com hæver priserne frem mod 2024
Det er kun et år siden, at vi sidst kunne berette om, at Danmarks største udbyder af webhoteller Simply, hævede priserne. Nu er det dog sket igen, og Simply har hævet priserne på henholdsvis deres Basic og Standard suite. Prisstigningerne ser således ud: Basic suite: 56 kr/md, hæves til 66 kr/md Standard suite: 93 kr/md, […]
... Læs nyhed 2023-12-01E-studio | Anmeldelse, priser og alternativer
E-studio er et populært dansk webhotel. Læs vores anmeldelse af e-studio og bliv klogere på deres priser, alternativer og meget mere.... Læs nyhed
2023-10-26Hostinger | Anmeldelse, priser og alternativer
Overvejer du at bruge Hostinger som dit nye webhotel? Læs vores anmeldelse, inden du køber og blive klogere på b.la. priser & alternativer... Læs nyhed
2023-09-22AzeroCloud ramt af ransomware angreb | Løsninger og alternativer
Er du en af de uheldig hos Azerocloud/CloudNordic, som har mistet sin hjemmeside, emails og alt data. Se her, hvordan du kommer videre.... Læs nyhed
2023-08-24503 fejl & 508 fejl (Resource limit / Service Unavailable) hos Simply
Oplever du også 503 fejl eller 508 fejl Resource limit reached hos Simply? Læs med her og find ud af, hvad du kan gøre for at løse det.... Læs nyhed
2023-10-25Woocommerce vs Shopify
Læs mere om fordele og ulemper ved WooCommerce og Shopify og bliv klogere på, hvad du bør vælge til din webshop.... Læs nyhed
2023-08-08