Uppfært 25/02 – Vefur Persónuverndar hefur nú verið uppfærður í HTTPS. #SSLvæðing
——–
Síðustu dagar hér á Lappari.com hafa verið litaðir af umræðum og skrifum um persónuvernd á internetinu. Margar íslenskar vefverslanir nota ekki HTTPS (öruggur samskiptastaðall) en það ætti alltaf að nota á þannig vefsíðum. Þetta á reyndar ekki bara við um vefverslanir heldur allar vefsíður þar sem notendur þurfa að skrá inn upplýsingar. Skiptir engu hvort það séu upplýsingar til innskráningar (user/password), samskiptaform eða einhverjar aðrar upplýsingar sem við sláum inn yfir netið.
Við ákváðum að taka þetta atriði fyrir, þar sem það er einfalt fyrir okkur notendur að sjá og benda á þegar það vantar.
Í stuttu mál: svona lítur HTTPS vefsíða út í Chrome vafranum.
Heimasíða Landsbankans í Chrome, grænn lás, slóðin byrjar á HTTPS = samskipti milli þín og vefsíðu eru varin og dulkóðuð.
Síðustu daga hafa lesendur verið duglegir að benda okkur á vefsíður sem ættu að vera með HTTPS en eru það ekki. Flest þessara dæma eru af svipuðum toga og við höfum bent á hér, hér og hér, þó eru sum þeirra nokkuð alvarlegri. Þau verstu ákvað ég að sleppa í umfjöllun okkar og koma mér beint í samband við fyrirtækin til að benda á augljósa öryggisbresti sem ég sá.
Það er samt eitt dæmi sem ég vil skoða betur hér. Það er vefurinn hjá Persónuvernd en þar fer öll vefumferð fram yfir HTTP en ekki HTTPS.
Ef heimasíða Persónuverndar er skoðuð má glögglega sjá að hlutverk stofnunarinnar sé margþætt. Hér má til dæmis sjá nokkur atriði úr “Stefna og gildi Persónuverndar”
Ég leyfði mér að setja inn þennan gula fagra lit, til að undirstrika gildi sem tengjast þessu máli að mínu mati.
Samkvæmt heimasíðu þá annast Persónuvernd eftirlit með framkvæmd laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga en þar segir í 3.gr laga að efnislegt gildissvið þeirra gildi “um sérhverja rafræna vinnslu persónuupplýsinga”.
Það má því leiða líkum að því að undir þessi lög falli upplýsingar sem ég og aðrir notendur Persónuverndar láti stofnuninni í té yfir óvarða HTTP tengingu á vefsíðu þeirra. Þetta stakk mig bæði af því að notendur slá inn og sinna samskiptum við stofnunina í gegnum vefinn þeirra. Einnig vegna þess að tilgangur þessarar stofnunar er að gæta og verja perónuupplýsingar okkar. Til að gera langa sögu stutta þá var ég ósáttur og ákvað því að senda Perónuvernd tölvupóst (18/02) en hér er skjáskot af þeim tölvupósti
Eins og sést greinilega þá er vefurinn hvorki með grænan lás né HTTPS í slóðinni. Þetta segir mér að samskipti milli mín sem notenda og persónuverndar…. njóti ekki lágmarks persónuverndar sem hlýtur að teljast furðulegt þegar hlutverk Persónuverndar er haft í huga.
Ég fékk svar í lok vinnudags (21/2) um að Persónuvernd sé meðvituð um þennan veikleika (eftir ábendingu okkar líklega) og að unnið sé að úrbótum. Þetta eru vissulega frábærar fréttir, enda er þetta markmið okkar með þessum ábendingum okkar.
Til viðbótar kom fram:
Þjónustuaðilar stofnunarinnar, Hugvit annars vegar og Hugsmiðjan hins vegar, hafa verið beðnir um að bregðast við þessu m.a. með breytingu á tilkynningarkerfi stofnunarinnar til að tryggja öryggi þeirra persónuupplýsinga sem sendar eru yfir heimasíðu Persónuverndar.
Persónuvernd þakkar fyrir ábendinguna og vonast til að úrbótum verði lokið sem allra fyrst svo unnt sé að tryggja öryggi notenda vefsíðu Persónuverndar.
Þetta er vitanlega jákvætt svar en ég hef samt tvær athugasemdir.
- Þjónustuaðilar Persónuverndar, eru rótgróin og þekkt fyrirtæki í þessum bransa. Hefði ekki einhver átt að vera búinn að benda á og laga þetta fyrir löngu síðan?
- Starfsmaður Persónuverndar vonast til þess að úrbótum þjónustuaðila verði lokið sem allra fyrst…. afhverju er ekki búið að laga þetta á þessum fjórum (núna tæplega fimm) dögum?
Varðandi tímann, þá hef ég alltaf sagt að það taki 5-60 mínútur að setja SSL vottorð á vefþjón og beina HTTP umferð yfir á HTTPS. Skekkjumörkin eru svona mikil hjá mér vegna þess að stundum þarf að fara yfir vefinn og leita að tenglum, valslám eða efni sem þarf að laga. Ef svo er, þá þarf að leita aðeins og síðan smá handavinna við að laga en ég hef aldrei verið lengur en 60 mínútur með einn vef.
Til að sannreyna þessi tímamörk þá talaði ég við Arnar Snæ Gunnarsson, sérfræðing hjá Nýherja í upplýsingaöryggi og IT högun. Ég spurði Arnar: “Hversu langan tíma að tekur að setja upp SSL vottorð á vef og færa hann úr HTTP yfir í HTTPS?”
“Óháð ferlinu að kaupa skilríkið, bara að setja það upp, kveikja á HTTPS og beina allri traffík yfir HTTPS, tekur það bara 5 – 10 mínútur.
Til viðbótar bætti Arnar við:
Það er langbest að hjúpa alla vefsíðuna með SSL skilríki frekar en að vera að færa bara innsláttarform og login síður bakvið HTTPS“
Gott mál, Arnar staðfestir að viðskiptavinir ættu ekki að þurfa að bíða eftir úrvinnslu sérfræðinga í marga daga. Það er allavega erfitt að sjá tæknilega ástæðu fyrir því.
Þó færslan sé um Persónuvernd þá er sökin ekki nema að hluta til hjá þeim.
Ég vil enda þetta með því að taka það skýrt fram, ég er ekki, og vil ekki halda því fram að þetta sé bara Persónuvernd að kenna. Vitanlega má færa fyrir því rök að þetta grunnatriði, sem er til þess gert að vernda persónuupplýsingar, eigi að liggja ljóst fyrir starfsmönnum Persónuverndar en ég ætla ekki nánar út í það hér.
Persónuvernd, eins og flest fyrirtæki sem ég hef nafngreint í þessum HTTPS færslum hér á Lappari.com, eru með eða hafa nær örugglega á einhverjum tímapunkti, verið í samskiptum við sérfræðing í þessum málum. Aðili sem sinnir IT málum í viðkomandi fyrirtæki, vefhönnuðir og/eða hýsingaraðilar hefðu átt að sjá þetta strax í upphafi þegar þarfagreining fyrir vefinn var unnin.
Hvert er hlutverk sérfræðinga og ráðgjafa í IT högun, vefhönnun og þróun, ef ekki er að benda á grunnatriði sem þurfa að vera í lagi á svona vef og til að hafa vit fyrir viðskiptavinum?
