»Hvis du stoler på vores link/side, kan du vælge at ignorere meddelelsen og fortsætte, hvorefter du skulle komme ind på siden.«
Sådan skriver Skat som svar i et af deres Facebook-opslag, hvor brugere gør opmærksom på en certifikatfejlsmeddelelse, når de vil ind på skat.dk.
Det er en rigtig dårlig strategi, mener sikkerhedsekspert og direktør Jacob Herbst fra it-sikkerhedsvirksomheden Dubex.
»Det er dybt problematisk at opfordre brugerne til at ignorere en sådan fejl. Det er imod alle de ting, vi bl.a. gennem awareness-undervisning forsøger at lære folk om korrekt it-adfærd,« siger han.
I stedet kunne Skat prøve at spørge ind til fejlen og prøve at løse problemet i stedet for at bede brugerne om at ignorere det, mener han.
»Det ville efter min opfattelse være den rigtige løsning på det her - og så at sørge for, at folk ikke får en fejlmeddelelse på Skats sider.«
Jacob Herbst har selv forsøgt at få certifikatfejlen frem på Skats hjemmeside, men det er ikke lykkedes ham. Enten fordi Skat har fået rettet fejlen, eller fordi Jacob Herbst ikke har fundet frem til den kombination af browser og device, som måske har udløst fejlen hos nogle af Skats brugere.
Skal prøve at løse problemet i stedet
Jacob Herbst fortæller, at der kan være mange grunde til, at der kommer en certifikatfejl op, hvis det er et for enheden ukendt certifikat, der er en browser, som ikke fungerer med certifikatet, eller det kan være noget indhold på siden eller en lille ændring, som kan udløse certifikatfejlen.
Men det er under alle omstændigheder forkert af Skat at opfordre folk til at ignorere fejlen. Specielt fordi netop Skat er nogle af dem, der har været udsat for mange phishingangreb, og er et af de steder, folk derfor skal være ekstra opmærksomme, mener han.
Skat bør i stedet lære deres SoMe-medarbejdere ikke at opfordre folk til at ignorere de fejlmeddelelser, der kommer. I stedet må Skat forholde sig til dem, siger Jacob Herbst.
Han medgiver, at det kan være svært at teste og afprøve alle kombinationer af ting, men at Skat så er nødt til at bruge mere energi på at løse det, som giver brugerne en fejlmeddelelse.
Version2 har forsøgt at sætte et interview op med en it-ansvarlig hos Skat, men det har ikke været muligt. I stedet skriver Skat følgende i en mail til Version2, at de ikke mener, at nogen har været udsat for reelle risici, men de indrømmer, at den konkrete vejledning ikke har været tilfredsstillende.
»Den konkrete rådgivning om at lægge skat.dk ind som et trusted site i sin browser er efter vores vurdering helt korrekt, men at ignorere certifikatfejl bør ikke være praksis og bør ikke gives som rådgivning til borgerne. Vi vil naturligvis sikre, at denne information står helt klar og bliver opdateret i Facebook-tråden.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
