Jag läste nyligen rapporten “Nåbarhet på nätet – Hälsoläget i .SE 2009“, en alltmer årlig rapport som ges ut av .SE. I rapporten tar man tempen på den svenska delen av Internet och pekar ut områden där insatser krävs. Några high lights:

  • av samtliga 663 undersökta webbplatser har 23 % allvarliga fel på sin DNS
  • värst vad det gäller fel på DNS:en är landstingen (33 %) och 30 utvalda bolag på OMX-listan (30 %)
  • spridningen av namnservrar på olika operatör minskar vilket innebär en risk om en stor operatör för driftsstörningar
  • bara 9 % använder IPv6 (bäst är universitet och högskolor och ISP:er, i alla andra kategorier ligger användningen på under 5%)
  • alldeles för många (22 %) har namnservrar som är öppna och rekursiva vilket medför säkerhetsrisker
  • mindre än hälften av de undersökta webbplatserna har stöd för transportskydd i sin e-postserver
  • hela 29 % har sin e-postserver placerade utanför Sveriges gränser
  • över 60 % av de undersökta webbplatserna använder proprietära programvaror för webbservrar

Jag förundras av att stora och viktiga samhällsaktörer privat och offentlig inte har bättre koll, t.ex. på sin DNS. Det visar på stora brister på kunskap kring Internets fundamentala struktur och öppnar för säkerhetsproblem och ineffektivitet. Man kan också reflektera att syndarna här säkert ser till att ha onödiga lösenord på det trådlösa nätverket i konferensrummet istället (ett exempel jag varit med om är “Sh12Ar34Ep56Oi78Nt” i ett mötesrum där folk kommer och går).

Jag förundras också av att 24 % av de statliga myndigheterna och 30 % av kommunerna har sin e-postserver utomlands. Vad innebär det för mig som medborgare när jag ska kommunicera med den offentliga sektorn? Hur var det nu med gränstrafik och avlyssning?

En tredje tanken är att de svenska reglerna för upphandling gör det svårt för små aktörer att ta plats. Detta leder till en monokultur vad gäller programvaror av olika slag, man kan kalla det en ekologisk utarmning. Samt förstås betydande risker om vissa leverantörer skulle gå i konkurs …

Rekommendationerna är så bra att jag återger dem i avkortat skick:

  • Kritiska resurser i Sverige bör ha namnservrar som är anslutna till flera operatörer samtidigt
  • Överväg möjligheten att sätta upp en gemensam sekundär DNS-drift för kritiska tjänster exempelvis via de svenska Internetknutpunkterna dit dessa kan anslutas som en extra åtgärd för att skapa redundans
  • Upprätta en gemensam funktion för virustvätt och rensning av skräppost placerad inom landet. Det skulle bli effektivare och förmodligen spara resurser. Samtidigt skulle det förhindra att myndighetsinformation lämnar landet
  • Utfärda riktlinjer om vad som är acceptabelt när det gäller skräpposthantering och virustvätt i offentlig förvaltning
  • Utfärda rekommendation om att e-postservrar för kritiska verksamheter hos svenska myndigheter och statliga verk fysiskt ska ligga i Sverige
  • Ställ krav på offentlig förvaltning om användning av både e-post och webb med TLS för käll- och transportskydd
  • Göra samtliga tjänster tillgängliga över IPv6 och planera långsiktigt för en systematisk övergång till IPv6 inom hela den offentliga förvaltningen
  • Skydda webbservrar med certifikat som är utfärdade av allmänt accepterade certifikatutfärdare och ha kontroll över deras giltighet.

Jag rekommenderar rapporten till läsning! Är du tekniker fixa! Är du inte tekniker se till att din organisation lever upp till en säker och stabil Internetmiljö.

/Johan Groth

PS Mina tankar och funderingar kring webben, böcker och filmer hittar du på www.gogab.se