Sikkerhedshul på Skats hjemmeside: "Det er kritisk"

Et godt råd om IT-sikkerhed er, at man skal holde øje med at forbindelsen er sikker. Det er den ikke for alle, der besøger Skats hjemmeside.

En stigende del af trafikken på nettet er sikret, så hackere og IT-kriminelle ikke kan aflure os. Men på skat.dk er det ikke alle, der får den sikre forbindelse tilbudt. (© Solvej Gregersen)

Hvis du vil bevæge dig sikkert rundt på nettet, så skal du blandt andet holde øje med et lille symbol i adressefeltet i din browser. Hvis du kan se en grøn hængelås, så er det er en sikker forbindelse.

Det er et meget simpelt råd. Og du kan for eksempel læse om det her på borger.dk, hvor der er gode råd til almindelige netsurfende danskere.

Hængelåsen viser, at forbindelsen til det pågældende website er sikker, og at bagmanden bag hjemmesiden er den, de giver sig ud for at være.

- Jeg har lavet den her demonstration for at vise, at Skat er sårbar overfor den her type angreb og potentielt aflure passwords. Det er kritisk

Thomas Kobber Panum, PhD-studerende, Aalborg Universitet

Derfor er det vigtigt at tjekke forbindelsen hver gang, at du skal taste følsomme oplysninger som for eksempel kodeord og brugernavne ind i din browser.

Men på en af det offentliges mest centrale sider - skat.dk - mangler hængelåsen for mange borgere. De risikerer at få en usikker forbindelse. Og dermed risikerer de, at følsomme oplysninger kan blive opsnappet af hackere.

Den grønne hængelås

Den grønne hængelås i din browser betyder, at kommunikationen mellem dig og siden du besøger, bruger den såkaldte HTTPS-protokol i modsætning til HTTP, som er standarden.

Det betyder, at du kan være sikker på, at det faktisk er den korrekte side, du taler med. En potentiel hacker kan ikke udgive sig for at være siden.

Det betyder også, at data er sikret. Det betyder, at hackere ikke kan sidde som mellemmænd og opsamle og ændre på data der sendes frem og tilbage.

Det opdagede PhD-studerende ved Aalbrog Universitet Thomas Kobber Panum ved et tilfælde. Han forsker i, hvordan man med matematik kan forudsige brud på IT-sikkerhed.

- En dag, da jeg skulle på skat.dk opdagede jeg, at den lille karakteristiske grønne hængelås ikke var der. Det studsede jeg en lille smule over. Som teknisk person siger det mig, at forbindelsen er usikker, siger Thomas Kobber Panum til DR Viden.

Kan aflure dit password

Det lyder måske ikke så slemt. Men det kan faktisk betyde, at en hacker eller lignende på netværket agerer mellemmand og ændrer på din kommunikation med Skats hjemmeside.

Det betyder, at Thomas Kobber Panum ved at sende trafikken fra Skats hjemmeside til sin egen udgave af NemIDs login-side i stedet for den rigtige, faktisk kan aflure dit password.

- Jeg har lavet den her demonstration for at vise, at Skat er sårbar overfor den her type angreb og potentielt aflure passwords. Det er kritisk, siger han.

Og den metode ville virke, hvis han sad på en café og lavede det samme nummer. Det kræver bare, at du er på det samme netværk, som personen, der vil aflure dit kodeord.

NemID er dog sikret ved, at man har et fysisk papkort med koder, man også skal bruge. Så hackeren kan ikke logge direkte ind og lave din selvangivelse. Men med et stjålet password er man i farezonen for et identitetstyveri.

Burde have været standard

Problemet er ikke, at systemet er svært eller umuligt at lave for Skat.

Man kan i dag få forskellige tilføjelser til sin internet-browser, så man kan tvinge sider til at bruge sikre forbindelser. Og det kan man også med Skat.

- Jeg synes Skat burde have den sikre forbindelse som standard. Brugerne har selvfølgelig et ansvar for at tjekke at forbindelsen er sikker, men Skat kan også som offentlig myndighed presse på, siger Thomas Kobber Panum.

Underdirektør i Skats Drifts og Udviklingscenter, Martin Wood, mener heller ikke, at den nuværende situation er helt optimal. Han har ansvaret for sikkerheden, og han siger, at Skat arbejder på at forbedre den:

- Vi arbejder løbende på at opdatere vores systemer, blandt andet for at sikre, at sikkerheden er bedst mulig. Men det er komplekst. Hvis en konvertering havde været ligetil, havde vi gjort det, men det er noget vi er i gang med at arbejde på, siger han.

Han oplyser, at når Skat bliver splittet op i syv styrelser den 1. juli, vil alle styrelsernes hjemmesider tilbyde en krypteret forbindelse som standard.