Skat til borgere: Bare ignorer certifikat-advarsel

Illustration: Bigstock
Brugere af skat.dk er for få dage siden blevet mødt med en certifikatfejl på Skats hjemmeside. Skat opfordrer brugerne til at ignorere fejlen og stole på siden. Det er problematisk, fordi netop Skat har været udsat for mange phishingangreb, mener sikkerhedsekspert.

»Hvis du stoler på vores link/side, kan du vælge at ignorere meddelelsen og fortsætte, hvorefter du skulle komme ind på siden.«

Illustration: Screenshot fra Facebook, 21. august 2017

Sådan skriver Skat som svar i et af deres Facebook-opslag, hvor brugere gør opmærksom på en certifikatfejlsmeddelelse, når de vil ind på skat.dk.

Det er en rigtig dårlig strategi, mener sikkerhedsekspert og direktør Jacob Herbst fra it-sikkerhedsvirksomheden Dubex.

»Det er dybt problematisk at opfordre brugerne til at ignorere en sådan fejl. Det er imod alle de ting, vi bl.a. gennem awareness-undervisning forsøger at lære folk om korrekt it-adfærd,« siger han.

I stedet kunne Skat prøve at spørge ind til fejlen og prøve at løse problemet i stedet for at bede brugerne om at ignorere det, mener han.

Læs også: b0rger.dk: Det »buldrer løs« med typosquattede .dk-domæner

»Det ville efter min opfattelse være den rigtige løsning på det her - og så at sørge for, at folk ikke får en fejlmeddelelse på Skats sider.«

Illustration: Screenshot fra Facebook, 21. august 2017

Jacob Herbst har selv forsøgt at få certifikatfejlen frem på Skats hjemmeside, men det er ikke lykkedes ham. Enten fordi Skat har fået rettet fejlen, eller fordi Jacob Herbst ikke har fundet frem til den kombination af browser og device, som måske har udløst fejlen hos nogle af Skats brugere.

Skal prøve at løse problemet i stedet

Jacob Herbst fortæller, at der kan være mange grunde til, at der kommer en certifikatfejl op, hvis det er et for enheden ukendt certifikat, der er en browser, som ikke fungerer med certifikatet, eller det kan være noget indhold på siden eller en lille ændring, som kan udløse certifikatfejlen.

Men det er under alle omstændigheder forkert af Skat at opfordre folk til at ignorere fejlen. Specielt fordi netop Skat er nogle af dem, der har været udsat for mange phishingangreb, og er et af de steder, folk derfor skal være ekstra opmærksomme, mener han.

Skat bør i stedet lære deres SoMe-medarbejdere ikke at opfordre folk til at ignorere de fejlmeddelelser, der kommer. I stedet må Skat forholde sig til dem, siger Jacob Herbst.

Illustration: Screenshot fra Facebook, 21. august 2017

Han medgiver, at det kan være svært at teste og afprøve alle kombinationer af ting, men at Skat så er nødt til at bruge mere energi på at løse det, som giver brugerne en fejlmeddelelse.

Læs også: Rapport: Vækst i cyberspionage - det begynder som en phishingmail

Version2 har forsøgt at sætte et interview op med en it-ansvarlig hos Skat, men det har ikke været muligt. I stedet skriver Skat følgende i en mail til Version2, at de ikke mener, at nogen har været udsat for reelle risici, men de indrømmer, at den konkrete vejledning ikke har været tilfredsstillende.

»Den konkrete rådgivning om at lægge skat.dk ind som et trusted site i sin browser er efter vores vurdering helt korrekt, men at ignorere certifikatfejl bør ikke være praksis og bør ikke gives som rådgivning til borgerne. Vi vil naturligvis sikre, at denne information står helt klar og bliver opdateret i Facebook-tråden.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jan Gundtofte-Bruun

"I skal bare stole på, at vores hjemmeside (/emails/links/etc) er legitime, uanset hvad Jeres computers sikkerhedsforanstaltninger har af indvendinger"

Det er skammeligt at en af de myndigheder, som de fleste danskere har et (anstrengt) forhold til, er så flittige til at nedbryde folks IT-sikkerheds-sans, når de i stedet burde indskærpe vigtigheden af den. Hvor mange år er det efterhånden, at vi har brokket os over Jer? Men hvad, "det er jo bare (andre folks) penge"?

Skam Jer, Skat.

  • 31
  • 0
Henrik Eriksen

Man forstår bedre og bedre hvordan Skat har kunnet udbetale milliarder til svindlere, når den lemfældighed der gennemsyrer hele systemet stilles til skue på den måde.
Sådan noget som det her kan man acceptere på lille Peters hjemmeside hvor han skriver om sin opdræt af kanariefugle. Men en offentlig hjemmeside skal ikke fungere sådan. En offentlig hjemmeside skal faneme bare virke, og den skal virke korrekt.
"Ignorér bare sikkerhedsadvarslerne" - Vorherre bevares!

  • 23
  • 0
Tobias Tobiasen

Det er mine screenshots Version2 bruger i historien. Det er fair nok for jeg har jo sendt de screenshots til Version2.
Men jeg undrer mig over at Version2 ikke laver en kildehenvisning. Det plejer man jo at gøre med billeder. Men der gælder måske andre regler for screenshots?

  • 13
  • 0
Tobias Tobiasen

"Den konkrete rådgivning om at lægge skat.dk ind som et trusted site i sin browser er efter vores vurdering helt korrekt"
Hvorfor er det nødvendigt at tilføje skat.dk som trusted for nogle brugere? Burde Skat ikke lave deres side så den virker uden sådanne tweaks?

  • 11
  • 0
Claus Eriksen

Det er da helt til grin at Skat mener man bare skal tilføje til trusted sites - specielt når de ikke engang har gidet bruge de få min det tager at opsætte DNSSEC på et .dk domain.

Kunne da være rart hvis version2 gik dem på klingen med denne kæmpe mangel.

  • 13
  • 0
Povl H. Pedersen

Der er vist ikke mange der stoler på skat, og at de er troværdige eller pålidelige.

De har måske ikke fået sat DNSSEC op endnu, men burde, men i det mindste har de fået en SPF record med -all.

Da de ser ud til at bruge O365, så burde de også opsætte DKIM, hvilket er trivielt, Om ikke andet ville det give dem et indblik i misbrug af deres domæne i phishing kampagner.

  • 3
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize