Öka trycket på en säkrare e-förvaltning

För gemene man innebär risken för att bli lurad vid användning av de offentliga e-tjänsterna att de kanske hellre avstår, och använder sig av gamla traditionella metoder för myndighetskontakter, dvs. papper eller telefon. Det finns idag inget bra sätt för användaren att fastställa att man verkligen kommunicerar med rätt myndighet eller med en bedragare.

Det är inte så att det saknas metoder och hjälpmedel för att höja säkerhetsnivån, tvärtom. Dessa finns och har varit kända under flera år, de har däremot inte antagits av den svenska offentliga förvaltningen av skäl som för mig inte är uppenbara. Så vi tar det igen.

PTS konstaterade 2006 att "Dagens svenska samhälle är beroende av att Internet fungerar tillfredsställande vilket även inbegriper det för användbarheten kritiska domännamnssystemet (DNS). Falsk DNS-information medför risk för att e-posttrafik leds till oönskat ställe, annans information stjäls eller att transaktioner störs." Mer om PTS syn går att läsa i PTS-ER-2006:36.

DNS Security Extensions (DNSSEC) är ett säkrare sätt att göra uppslagningar på Internetadresser för exempelvis webb och e-post. Uppslagningar med DNSSEC är kryptografiskt signerade vilket gör det möjligt att säkerställa både att de kommer från rätt namnserver och att innehållet inte har ändrats under överföringen. Det har varit möjligt att använda DNSSEC i .se sedan 2005.

Genom ett initiativ av Torbjörn Eklöv på Interlan kontrolleras och redovisas regelbundet information om vilka kommuner och myndigheter som använder DNSSEC men också annan statusinformation om deras system efter kontroll med .SE:s verktyg DNSCheck. Det är ingen rolig läsning.

Vid de senast genomförda kontrollerna nu i februari använder bara 15 av 300 kommuner DNSSEC. Fyra kommundomäner har bara en namnserver (i stället för rekommenderade minst 2) och 42 namnservrar använder Bind version 8, vilket är en alltför gammal programvara som borde ha uppdaterats för länge sedan. Med Bind 8 är det inte möjligt att använda DNSSEC ens om man skulle vilja.

För dessa 300 kommundomäner finns dessutom 122 rekursiva namnservrar, något som .SE varnat för i den årligen återkommande kontrollen av Hälsoläget i .se. DNSCheck hittade även 158 allvarliga fel och 337 varningar i de namnservrar som svarar på frågor om kommunernas domäner.

För de statliga myndigheternas domäner är siffrorna lika dystra som kommunernas. Av 199 myndigheter har endast fyra signerat med DNSSEC. 44 namnservrar är rekursiva och DNSCheck registrerade 129 allvarliga fel och 162 varningar vid den senaste kontrollen. Fem myndigheter förlitar sig på en enda namnserver.

En av de allra flitigast använda tjänsterna på Internet är elektronisk post. Samtidigt riskerar skräppost, nätfiske, spoofing och andra former av missbruk att alltmer urholka förtroendet för e-posten. Det är ett känt faktum sedan minst 20 år tillbaka att det är enkelt att förfalska en avsändaradress och få det att se ut som ett meddelande är skickat av någon annan än det i själva verket är. För en vecka sedan bestämde sig Dagens Nyheter för att ännu en gång göra den möjligheten till en nyhet.

Överföring av elektronisk post sker vanligtvis i klartext och brukar därför ofta jämföras med vykort. Skydd för elektronisk post behövs både för utgående och inkommande meddelanden. Sedan flera år tillbaka finns en standard för hur man kan överföra e-post med transportskydd. Detta gör att den som försöker avlyssna e-posten på vägen mellan postkontoren inte kan se vad som skickas. Transportskyddet kallas STARTTLS, och det finns tillgängliga verktyg som testar om man har det eller inte.

Standardprotokollet för att skicka e-post, SMTP, gör det möjligt att skicka meddelanden med valfri domän som avsändaradress. Det finns lösningar som syftar till att begränsa framkomligheten för t.ex. skräppost genom att försöka verifiera att det är legitima avsändare bakom ett meddelande. Sender Policy Framework, SPF, Sender-ID och ännu hellre Domain Keys Identified Mail, DKIM.

Om man vill skicka e-post som ingen annan ska kunna läsa, inte ens de som sköter e-postsystemet behövs ytterligare skydd. I dessa fall gör man bäst i att kryptera hela meddelandet genom att klistra igen kuvertet och skicka meddelandet rekommenderat, för att jämföra med traditionell postgång. De två vanligast förekommande metoderna för denna typ av skydd är PGP och S/MIME.

Det senaste tillskottet i .SE:s verktygslåda är Mailcheck. Det är ett fritt tillgängligt, automatiskt testverktyg online som låter användare kontrollera många olika kvalitetsrelaterade aspekter på e-post. Mailcheck syftar till att förbättra kvaliteten i e-postsystem på Internet generellt genom att peka ut tänkbara konfigurationsproblem, programvarubrister eller avvikelser från standard för systemadministratörer och slutanvändare. 

Information och tjänster som förmedlas via webbgränssnitt är ett mycket vanligt inslag i e-förvaltning. Många verksamheter är helt beroende av att deras webbtjänster fungerar och är tillgängliga för medborgarna. Det är därför bra att överväga åtgärder för att skapa redundans för webbtjänsterna om dessa är en kritisk resurs.

För tjänster där medborgarna väntas mata in känsliga uppgifter är transportskydd ett rimligt skydd. Med hjälp av SSL-certifikat och tillhörande krypteringsnycklar kan en webbläsare upprätta en säker, krypterad kommunikation med webbservern. En teknik som används för detta är Transport Layer Security, TLS. Endast 25 procent av de fler än 600 domäner som ingick i Hälsoläget-undersökningen 2009 använde TLS, och bland dessa var det många gånger bristfälligt infört. Michael Boman från konsultföretaget Omegapoint har utvecklat ett testverktyg för att verifiera SSL-certifikat och kontrollera vilka algoritmer och protokoll som används.

Se där, något att bita i. Det är bara att sätta igång! E-delegationen kan formulera riktlinjer och sätta en tidplan för när det ska vara klart. Vips så har vi mätbara mål och en tydlig väg framåt. Verkar ni inom det privata näringslivet byter ni bara ut ordet myndighet mot företag, medborgare mot kunder och e-förvaltning mot affärsverksamhet. Åtgärderna är desamma och lika angelägna.

Anne-Marie Eklund Löwinder är kvalitets- och säkerhetschef på .SE. Anne-Marie har rankats som en av Sveriges främsta IT-säkerhetsexperter av CS och har även mottagit Kjell Hultman-stipendiet av Dataföreningen för sina insatser inom området. Hon sitter som ledamot i styrelserna för ISOC-SE och för föreningen SNUS, Swedish Network Users' Society. Ann-Marie satt också med i de första arbets- och referensgrupperna för informations- säkerhetsstandarden LIS inom standardisteringsorganen SIS och myndigheten Swedac. Hon läser och besvarar flitigt remisser på statens offentliga utredningar inom allt som berör Internet och säkerhet. Bland tidigare arbetsgivare finns Statskontoret och IT-kommissionen. Ann-Marie har en systemvetenskaplig utbildning från Stockholms universitet.