Skat til borgere: Bare ignorer certifikat-advarsel

15 kommentarer.  Hop til debatten
Skat til borgere: Bare ignorer certifikat-advarsel
Illustration: Bigstock.
Brugere af skat.dk er for få dage siden blevet mødt med en certifikatfejl på Skats hjemmeside. Skat opfordrer brugerne til at ignorere fejlen og stole på siden. Det er problematisk, fordi netop Skat har været udsat for mange phishingangreb, mener sikkerhedsekspert.
24. august 2017 kl. 05:12
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

»Hvis du stoler på vores link/side, kan du vælge at ignorere meddelelsen og fortsætte, hvorefter du skulle komme ind på siden.«

Sådan skriver Skat som svar i et af deres Facebook-opslag, hvor brugere gør opmærksom på en certifikatfejlsmeddelelse, når de vil ind på skat.dk.

Det er en rigtig dårlig strategi, mener sikkerhedsekspert og direktør Jacob Herbst fra it-sikkerhedsvirksomheden Dubex.

Artiklen fortsætter efter annoncen

»Det er dybt problematisk at opfordre brugerne til at ignorere en sådan fejl. Det er imod alle de ting, vi bl.a. gennem awareness-undervisning forsøger at lære folk om korrekt it-adfærd,« siger han.

I stedet kunne Skat prøve at spørge ind til fejlen og prøve at løse problemet i stedet for at bede brugerne om at ignorere det, mener han.

»Det ville efter min opfattelse være den rigtige løsning på det her - og så at sørge for, at folk ikke får en fejlmeddelelse på Skats sider.«

Jacob Herbst har selv forsøgt at få certifikatfejlen frem på Skats hjemmeside, men det er ikke lykkedes ham. Enten fordi Skat har fået rettet fejlen, eller fordi Jacob Herbst ikke har fundet frem til den kombination af browser og device, som måske har udløst fejlen hos nogle af Skats brugere.

Skal prøve at løse problemet i stedet

Jacob Herbst fortæller, at der kan være mange grunde til, at der kommer en certifikatfejl op, hvis det er et for enheden ukendt certifikat, der er en browser, som ikke fungerer med certifikatet, eller det kan være noget indhold på siden eller en lille ændring, som kan udløse certifikatfejlen.

Men det er under alle omstændigheder forkert af Skat at opfordre folk til at ignorere fejlen. Specielt fordi netop Skat er nogle af dem, der har været udsat for mange phishingangreb, og er et af de steder, folk derfor skal være ekstra opmærksomme, mener han.

Skat bør i stedet lære deres SoMe-medarbejdere ikke at opfordre folk til at ignorere de fejlmeddelelser, der kommer. I stedet må Skat forholde sig til dem, siger Jacob Herbst.

Han medgiver, at det kan være svært at teste og afprøve alle kombinationer af ting, men at Skat så er nødt til at bruge mere energi på at løse det, som giver brugerne en fejlmeddelelse.

Version2 har forsøgt at sætte et interview op med en it-ansvarlig hos Skat, men det har ikke været muligt. I stedet skriver Skat følgende i en mail til Version2, at de ikke mener, at nogen har været udsat for reelle risici, men de indrømmer, at den konkrete vejledning ikke har været tilfredsstillende.

»Den konkrete rådgivning om at lægge skat.dk ind som et trusted site i sin browser er efter vores vurdering helt korrekt, men at ignorere certifikatfejl bør ikke være praksis og bør ikke gives som rådgivning til borgerne. Vi vil naturligvis sikre, at denne information står helt klar og bliver opdateret i Facebook-tråden.«

15 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
11
24. august 2017 kl. 11:19

Der er vist ikke mange der stoler på skat, og at de er troværdige eller pålidelige.

De har måske ikke fået sat DNSSEC op endnu, men burde, men i det mindste har de fået en SPF record med -all.

Da de ser ud til at bruge O365, så burde de også opsætte DKIM, hvilket er trivielt, Om ikke andet ville det give dem et indblik i misbrug af deres domæne i phishing kampagner.

10
24. august 2017 kl. 10:57

Det er da helt til grin at Skat mener man bare skal tilføje til trusted sites - specielt når de ikke engang har gidet bruge de få min det tager at opsætte DNSSEC på et .dk domain.

Kunne da være rart hvis version2 gik dem på klingen med denne kæmpe mangel.

6
24. august 2017 kl. 09:38

Ærligt at vi ikke også kan få lov til at se et bilede at det pågældende certifikat fejl, men måske kan vedkommende ikke finde ud at sende et billede til version2, eller hvad?

Jeg har selv været inde i skat og der er det hele i orden.

5
24. august 2017 kl. 09:19

"Den konkrete rådgivning om at lægge skat.dk ind som et trusted site i sin browser er efter vores vurdering helt korrekt" Hvorfor er det nødvendigt at tilføje skat.dk som trusted for nogle brugere? Burde Skat ikke lave deres side så den virker uden sådanne tweaks?

4
24. august 2017 kl. 09:07

Det er mine screenshots Version2 bruger i historien. Det er fair nok for jeg har jo sendt de screenshots til Version2. Men jeg undrer mig over at Version2 ikke laver en kildehenvisning. Det plejer man jo at gøre med billeder. Men der gælder måske andre regler for screenshots?

3
24. august 2017 kl. 07:52

Man forstår bedre og bedre hvordan Skat har kunnet udbetale milliarder til svindlere, når den lemfældighed der gennemsyrer hele systemet stilles til skue på den måde. Sådan noget som det her kan man acceptere på lille Peters hjemmeside hvor han skriver om sin opdræt af kanariefugle. Men en offentlig hjemmeside skal ikke fungere sådan. En offentlig hjemmeside skal faneme bare virke, og den skal virke korrekt. "Ignorér bare sikkerhedsadvarslerne" - Vorherre bevares!

2
24. august 2017 kl. 07:24

"I skal bare stole på, at vores hjemmeside (/emails/links/etc) er legitime, uanset hvad Jeres computers sikkerhedsforanstaltninger har af indvendinger"

Det er skammeligt at en af de myndigheder, som de fleste danskere har et (anstrengt) forhold til, er så flittige til at nedbryde folks IT-sikkerheds-sans, når de i stedet burde indskærpe vigtigheden af den. Hvor mange år er det efterhånden, at vi har brokket os over Jer? Men hvad, "det er jo bare (andre folks) penge"?

Skam Jer, Skat.

1
24. august 2017 kl. 06:22

1-2-3 Let's Encrypt, og så er den skid slået.