ERHVERVSMINISTERIET ERKENDER FEJL PÅ EGNE SITES
Erhvervsstyrelsen, der er en del af Erhvervsministeriets koncern, står som en af de organisationer, der bakker op om Sikkerpånettet-kampagnen. Dermed kunne man også tro, at embedsmændene havde sikret sig, at ministeriets eget website var toptunet og klar til at bestå den test, som de gerne vil overtale danske virksomheder til at tage.
Men advarselslamperne blinker hele vejen ned gennem testen, når man beder den undersøge sikkerheden på ”em.dk”.
Den er gal med både https-indstillinger, IPv6-forbindelsen og sikkerhedsindstillingerne.
”Der er plads til forbedring,” konkluderer erhvervsministeriet tørt, da SAMDATA Magasinet spørger efter en kommentar til dette.
Ministeriets skriftlige svar fortsætter: ”Erhvervsministeriet oplyser, at ministeriet selv har anvendt værktøjet sikkerpånettet.dk og er i den forbindelse blevet opmærksom på, at der er plads til forbedring i sikkerhed på hjemmesiden.
Erhvervsministeriet er derfor i dialog med vores leverandør, som er Statens IT, ift. at højne sikkerheden på hjemmesiden.”
Nedenfor kan du se, hvilke huller Sikkerpånettet.dk fandt i ministeriets sikkerhed.
FAKTA: UDVALGTE FEJL PÅ EM.DK IFØLGE SIKKER- PÅNETTET.DK
\ IPv6: Em.dk benytter ikke IPv6-adresser til navne- eller webservere.
\ Https: Webserveren tilbyder ikke en HSTX-politik. En HSTS-politik er med til at mindske risikoen for man-in-the-middle – angreb.
\ Klient-initieret genforhandling: Webserveren tillader klientinitieret genforhandling, hvilket ikke er sikkert.
\ Referrer-Policystatus: Serveren tilbyder ikke Referrer-Policy, hvilket kan introducere privatlivs- og sikkerhedsrisici.
\ Sikker mailforbindelse: Afsendende e-mailservere, der understøtter sikker e-mailtrafik (STARTTLS and DANE) kan ikke oprette eller opretter utilstrækkelig sikker forbindelse til de modtagende mailservere.
SÅ MEGET KOSTER DET, NÅR HACKERNE RAMMER
Det hører til sjældenhederne, at virksomheder åbent fortæller om, at de er blevet ramt af hackere og det er endnu sjældnere, at virksomhederne offentliggør, hvor store udgifterne regningen reelt har været.
En række konsulenthuse har interviewet både store og små virksomheder om de udgifter, de har haft efter et cyberangreb. Svarene varierer i stor stil, men det er dog tydeligt, at navnlig store virksomheder risikerer at løbe ind i regninger i millionstørrelsen.
Konsulenthuset PwC spurgte i 2017 flere hundrede danske og norske firmaer, om de var blevet ramt af cyberangreb. Af dem der var blevet ramt, havde hver tiende haft udgifter over en million kroner, og den gennemsnitlige udgift lå på 900.000 kr.
En undersøgelse fra den amerikanske IT-virksomhed Datto viste, at selve udgiften til hackerne kun beløb sig til ca. 22.000 kr. Den helt store udgift er driftsforstyrrelser i den tid, hvor virksomheden må lukke helt eller delvist ned. Den udgift løb i gennemsnit op i en million kroner for virksomheder i SMV-størrelsen.
Endeligt har sikkerhedsfirmaet Kaspersky i en international undersøgelse opgjort, at de direkte og indirekte omkostninger lagt sammen ved et sikkerhedsbrud i gennemsnit ligger på 570.000 kr. for SMV’er.