Fler än sex av tio samhällsviktiga organisationer i Sverige brister i sin användning av de funktioner som gör dem åtkomliga på Internet. En fjärdedel av dem har allvarliga fel. Det visar en genomgång från .SE (Stiftelsen för Internetinfrastruktur) och Krisberedskapsmyndigheten (KBM). I studien, som utförts av konsultföretaget Kirei, har drygt 800 centrala myndigheter, länsstyrelser, landsting, kommuner, medieföretag och andra samhällsviktiga organisationer granskats.

Undersökningen har kartlagt hur myndigheter och andra viktiga samhällsaktörer hanterar sin närvaro på Internet. Med hjälp av ett specialutvecklat kontrollverktyg har en stor mängd öppet publicerade data samlats in och analyserats. Testerna har genomförts på drygt 800 domäner fördelade på drygt 1 000 namnservrar för ett stort antal viktiga verksamheter i samhället, som centrala myndigheter, kommuner, landsting, länsstyrelser, medieföretag och ett antal av de största börsnoterade bolagen.

– Resultatet är alarmerande. Nästan var fjärde organisation i undersökningen har allvarliga fel och hela 64 procent har sådana brister att vårt verktyg utfärdar varningar, berättar Anne-Marie Eklund Löwinder, kvalitets- och säkerhetschef på .SE. Tidigare i höst har hon av den ledande branschtidningen Computer Sweden utsetts till Sveriges främsta IT-säkerhetsexpert.

Några av resultaten från undersökningen:

* 84 procent av de undersökta domänerna saknar ett digitalt källskydd vilket innebär att det är möjligt för vem som helst att kapa andra organisationers avsändaradresser i syfte att lura mottagare.

* Tre fjärdedelar av alla webbservrar saknar stöd för säkert utbyte av information. Detta innebär att användarens webbläsare inte kan avgöra om man hamnat på rätt hemsida eller en kopia som utvecklats för till exempel nätfiske.

* Var tredje organisation i undersökningen har problem med att deras namnservrar inte kommunicerar med andra namnservrar på rätt sätt. Detta gör att IT-miljön blir mer instabil. Problemet är störst hos landstingen.

* 40 procent av organisationerna har servrar som lämnar ut information till okända domäner, vilket innebär att de kan utnyttjas som mellanhänder i riktade överbelastningsattacker.

* Tre av fem organisationer saknar stöd för e-postkryptering och saknar därför kapacitet att skydda sin verksamhet mot insyn.

* Allt för många har sina namnservrar stående hos en och samma operatör. Många förlitar sig också på bara en namnserver, vilket gör att det inte finns någon reservkapacitet.

* Hos 6 av 10 myndigheter passerar all e-posttrafik servrar som står i ett främmande land.

– Det borde utfärdas fastare riktlinjer kring var samhällsviktiga informationssystem får placeras. Det är till exempel inte rimligt att känslig myndighetsinformation skickas via e-postservrar i utlandet. Det borde också ställas krav på att åtminstone de offentliga verksamheterna skyddar både webb och e-post, säger Svante Nygren, analytiker på Krisberedskapsmyndigheten.

Domäner och namnservrar utgör grunden för hela Internets infrastruktur och det är i denna struktur som bristerna kartlagts. Domänsystemet DNS (Domain Name System) är en katalogtjänst, en slags telefonkatalog över Internet, som bland annat innehåller referenser till var på nätet man hittar en organisations webbplats och e-postsystem. Om denna information inte är korrekt eller felaktigt inställd innebär det att hela organisationen kan få sin kontakt med omvärlden avskuren, eftersom ingen längre vet vart datapaketen ska skickas.

Källa: Stiftelsen för Internetinfrastruktur