måndag 24 november 2014

Dags att börja använda kryptering - Computer Sweden

Dags att börja använda kryptering - Computer Sweden



Det står var och en fritt att kryptera - så varför händer det inte? Den frågan ställer Anne-Marie Eklund Löwinder.



Internet är i sin allra bredaste
definition den dominerande tekniken för all elektronisk kommunikation
inte bara för webb och e-post, utan även för andra typer av tjänster som
telefoni, videokonferenser och streaming av film, serier samt mer
traditionella radio- och tv-program.


Om du handlar, eller förväntas lämna
känslig information, hos en webbtjänst via internet, så borde det falla
sig naturligt att kryptera exempelvis kreditkortsinformation eller
personinformation. Tanken med att skydda information som utväxlas mellan
dessa enheter är att ingen annan på nätverket, till exempel det publika
internet, ska kunna avlyssna eller förvanska informationen.


Men är det så självklart? Nej. I
2013 års undersökning av hälsoläget på internet gjord av Punkt SE med
fokus på nåbarhet, har turen kommit till transportskyddet. Vi har tittat
lite närmare på hur en tjänsteleverantör på nätet skyddar sina kunder
och sin information.


Överföring av elektronisk post som
sker i klartext brukar jämföras med vykort. Frågan är om inte det är
lite orättvist – för vykorten. Dem måste man trots allt ha fysisk
åtkomst till för att läsa. På nätet behöver man bara snappa upp trafiken
som passerar.


Även för en användare som via webben
vill komma i kontakt med en svensk myndighet eller bank är det viktigt
att veta att den webbserver man har kontakt med är rätt server, att
anslutningen av någon anledning inte har skett till fel tjänst eller
server på grund av felkonfiguration eller något medvetet
bedrägeriförsök.


För att kryptera kommunikationen
mellan två enheter, vare sig det är mellan en webbserver och en
webbläsare, e-postservrar och e-postklienter eller någonting annat så
använder man samma teknik för att skydda överföringen, Transport Layer
Security, TLS.


Med väl etablerade och kända
standardprotokoll kan man alltså skapa skydd mot avlyssning genom
upprättandet av en säker förbindelse mellan två parter. Vid
undersökningen 2013 är det bara 54 procent som ens har stöd för
användning av TLS och det betyder att det bara är ungefär hälften som
vidtar åtgärder för att skydda exempelvis e-posttrafik från insyn.


Av de undersökta certifikat som
används för webbplatser är endast 8 procent så kallade EV-certifikat
(Extended validation), där certifikatutfärdaren kontrollerat extra noga
att de utfärdar certifikat till rätt mottagare.


Av de certifikat som var utfärdade
för domänerna i undersökningsgruppen gick endast 64 procent att
verifiera mot en publik certifikatutfärdare. 23 procent av certifikaten
var självsignerade, resterande 13 procent hade antingen gått ut (det
vill säga passerat sista användningsdag) eller hade andra typer av fel.


Med tanke på att vår undersökning
täcker många av de viktigaste verksamheterna i det svenska samhället och
med tanke på att det är gammal beprövad teknik är detta ett nedslående
resultat.

 


  • Betyder det att man inte bryr sig om sina kunder eller användare?
  • Betyder det att man inte har gjort en korrekt riskbedömning?
  • Betyder det att man prioriterar andra saker än informationsskydd?
  • Eller är det helt enkelt bara för jobbigt?


Jag har inget bra svar. Har du?

Inga kommentarer:

Skicka en kommentar