Artikel top billede

Dit webhotel tager ikke din it-sikkerhed alvorligt

Klumme: Danske webhoteller er alt for længe om at løse sikkerhedsproblemer. De tager kort og godt ikke sikkerheden alvorligt.

Fra otte dage til flere uger. Så lang tid kan der gå, fra vi advarer et webhotel om et sikkerhedsproblem, til det tager affære.

Tendensen er helt klar: De danske webhoteller tager ikke it-sikkerhed alvorligt.

Det mærker vi i Dk-Cert, når vi modtager henvendelser fra vores samarbejdspartnere rundt om i verden.

Spreder malware

En henvendelse kan for eksempel handle om, at et websted spreder skadelige programmer (malware). Eller det kan blive brugt til phishing-svindel.

Når vi får sådan en henvendelse, finder vi ud af, hvem der har ansvaret for webstedet.

Derefter skriver vi til den ansvarlige, der ofte vil være et webhotel. Og så venter vi.

Ofte svarer webhotellet slet ikke på vores henvendelse.

Det er selvfølgelig heller ikke nødvendigt, hvis bare det løser problemet - men det sker heller ikke lige med det samme.

Et eksempel: Et amerikansk sikkerhedsfirma skriver til Dk-Cert, at de nu for tredje gang henvender sig om et phishingsted, der ligger hos et dansk webhotel.

I skrivende stund har det været online 264 timer - altså 11 dage. Webhotellet reagerer ikke.

Selvfølgelig er ikke alle webhoteller lige slemme. De fleste har styr på procedurerne og reagerer prompte.

Men der er desværre nogle få, som reagerer alt for sent, og de er til skade for sikkerheden.

Opdateringer mangler

Også på et andet punkt svigter webhotellerne sikkerheden: Opdateringer.

De holder ikke deres software opdateret med de seneste sikkerhedsrettelser. Det medfører, at deres systemer er sårbare.

Resultatet er, at kunderne bliver ofre for mass defacements, hvor hundredvis af domæner på samme IP-adresse overtages i ét hug.

Her er det særlige problem

Et særligt problem udgøres af CMS-systemer (Content Management System), som webhotellerne tilbyder deres kunder at installere.

Når først kunden har installeret en pakke, er det som regel kundens ansvar at holde den opdateret.

Det er uheldigt.

Jeg synes, at webhotellerne skal overveje i højere grad at tilbyde CMS'er som SaaS (Software as a Service), hvor alle kunderne kører på den samme kodebase. På den måde kan webhotellet opdatere softwaren for alle kunder fra centralt hold.

Glad smiley søges

Jeg har tidligere foreslået, at der skulle indføres en smiley-ordning for webhoteller. De hoteller, der holder deres systemer opdateret, får en glad smiley.

Modellen er ikke helt færdig.

Den har den svaghed, at et websted med en sur smiley kan virke som en invitation til hackere: Her er en server med svag sikkerhed. Det problem skal løses, før en smiley-ordning kan indføres.

Under det videre arbejde med smiley-ideen kan vi udvide forslaget:

For at få en glad smiley skal webhotellet forpligte sig til at reagere inden for et bestemt tidsrum på henvendelser om sikkerhedshændelser. Det kunne for eksempel være inden for to dage.

Gå sammen

Jeg opfordrer webhotel-branchen til at mødes og diskutere, hvordan de vil håndtere sikkerhed.

Jeg er klar over, at der findes nogle små og mindre seriøse spillere, som vi ikke får i tale.

Men hvis de dominerende på markedet kan blive enige om retningslinjer, er vi nået langt.

Vi har drøftet dette emne i andre kredse i branchen, og stort set alle er enige om, at det er et reelt problem.

Vi ved også, at det kun kan løses i fællesskab.

Derfor opfordrer jeg til at samarbejde på tværs af branchen, så vi finder en løsning.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed.

DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

DK-CERT er en tjeneste fra UNI-C, en styrelse under Undervisningsministeriet.
Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere