Artikel top billede

Dit webhotel tager ikke din it-sikkerhed alvorligt

Klumme: Danske webhoteller er alt for længe om at løse sikkerhedsproblemer. De tager kort og godt ikke sikkerheden alvorligt.

Fra otte dage til flere uger. Så lang tid kan der gå, fra vi advarer et webhotel om et sikkerhedsproblem, til det tager affære.

Tendensen er helt klar: De danske webhoteller tager ikke it-sikkerhed alvorligt.

Det mærker vi i Dk-Cert, når vi modtager henvendelser fra vores samarbejdspartnere rundt om i verden.

Spreder malware

En henvendelse kan for eksempel handle om, at et websted spreder skadelige programmer (malware). Eller det kan blive brugt til phishing-svindel.

Når vi får sådan en henvendelse, finder vi ud af, hvem der har ansvaret for webstedet.

Derefter skriver vi til den ansvarlige, der ofte vil være et webhotel. Og så venter vi.

Ofte svarer webhotellet slet ikke på vores henvendelse.

Det er selvfølgelig heller ikke nødvendigt, hvis bare det løser problemet - men det sker heller ikke lige med det samme.

Et eksempel: Et amerikansk sikkerhedsfirma skriver til Dk-Cert, at de nu for tredje gang henvender sig om et phishingsted, der ligger hos et dansk webhotel.

I skrivende stund har det været online 264 timer - altså 11 dage. Webhotellet reagerer ikke.

Selvfølgelig er ikke alle webhoteller lige slemme. De fleste har styr på procedurerne og reagerer prompte.

Men der er desværre nogle få, som reagerer alt for sent, og de er til skade for sikkerheden.

Opdateringer mangler

Også på et andet punkt svigter webhotellerne sikkerheden: Opdateringer.

De holder ikke deres software opdateret med de seneste sikkerhedsrettelser. Det medfører, at deres systemer er sårbare.

Resultatet er, at kunderne bliver ofre for mass defacements, hvor hundredvis af domæner på samme IP-adresse overtages i ét hug.

Her er det særlige problem

Et særligt problem udgøres af CMS-systemer (Content Management System), som webhotellerne tilbyder deres kunder at installere.

Når først kunden har installeret en pakke, er det som regel kundens ansvar at holde den opdateret.

Det er uheldigt.

Jeg synes, at webhotellerne skal overveje i højere grad at tilbyde CMS'er som SaaS (Software as a Service), hvor alle kunderne kører på den samme kodebase. På den måde kan webhotellet opdatere softwaren for alle kunder fra centralt hold.

Glad smiley søges

Jeg har tidligere foreslået, at der skulle indføres en smiley-ordning for webhoteller. De hoteller, der holder deres systemer opdateret, får en glad smiley.

Modellen er ikke helt færdig.

Den har den svaghed, at et websted med en sur smiley kan virke som en invitation til hackere: Her er en server med svag sikkerhed. Det problem skal løses, før en smiley-ordning kan indføres.

Under det videre arbejde med smiley-ideen kan vi udvide forslaget:

For at få en glad smiley skal webhotellet forpligte sig til at reagere inden for et bestemt tidsrum på henvendelser om sikkerhedshændelser. Det kunne for eksempel være inden for to dage.

Gå sammen

Jeg opfordrer webhotel-branchen til at mødes og diskutere, hvordan de vil håndtere sikkerhed.

Jeg er klar over, at der findes nogle små og mindre seriøse spillere, som vi ikke får i tale.

Men hvis de dominerende på markedet kan blive enige om retningslinjer, er vi nået langt.

Vi har drøftet dette emne i andre kredse i branchen, og stort set alle er enige om, at det er et reelt problem.

Vi ved også, at det kun kan løses i fællesskab.

Derfor opfordrer jeg til at samarbejde på tværs af branchen, så vi finder en løsning.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed.

DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

DK-CERT er en tjeneste fra UNI-C, en styrelse under Undervisningsministeriet.
Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Konica Minolta Business Solutions Denmark A/S
Salg af kopimaskiner, digitale produktionssystemer og it-services.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere