Datatilsynet afviser anmeldelse af manglende HTTPS på læge-hjemmeside - er det et problem?

Ifølge Datatilsynet er det ikke et problem, at der ingen synlig hængelås er på en side, hvor der eksempelvis skal indtastes et cpr-nummer.

Skal der være en HTTPS-forbindelse på hjemmesider, hvor der skal indtastes følsomme data, eller er det nok, at selve formularen, hvor data bliver indtastet i, sender via en krypteret forbindelse?

Annonce: Infosecurity Denmark 2017 Oplev Danmarks største IT-sikkerhedsevent den 3.-4. maj 2017 i Øksnehallen, København Bliv opdateret, når vi præsenterer 22 danske og internationale keynotes fra blandt andet Tokyo Institute of Technology, Interpol og Dropbox. Netværk med fagpersoner fra hele branchen – og vælg frit blandt 80 seminarer og cases inden for IT-sikkerhedsemner som compliance, cybercrime, IoT, enterprise mobility og cloud security. Læs mere på Infosecurity.dk

Ifølge et svar fra Datatilsynet, så er det tilstrækkeligt med beskyttelse, hvis formularen blot sender data krypteret. Der behøver altså ikke være en grøn hængelås eller stå HTTPS i det synlige adressefelt i browseren.

Version2-læser Dan Storm er stødte tidligere på året på en hjemmeside for en læge, hvor der blandt andet skal indtastes CPR-nummer.

Selve siden er ikke beskyttet med HTTPS, og det fik Dan Storm, der arbejder som Senior Backend Developer, til at rette henvendelse til Datatilsynet.

»Jeg mener dog, at siden ikke overholder Datatilsynets udtrykkelige krav om kryptering ved overførsel af personnumre via hjemmesider,« skrev Dan Storm blandt andet i sin henvendelse til Datatilsynet.

Ikke nok beskyttelse

Dan Storm påpeger desuden i henvendelsen, at oplysningerne, der bliver indtastet i den indlejrede formular på den pågældende side godt nok bliver sendt via HTTPS. Men det er ikke godt nok, mener han.

»Dette er dog ikke nok til at beskytte mod man-in-the-middle angreb, siden med formularen ikke er leveret via en krypteret forbindelse,« skriver Dan Storm i sin henvendelse til Datatilsynet og fortsætter:

»Ved at siden med formularen mangler kryptering kan man, via et man-in-the-middle angreb, modificere sidens indhold uden den besøgendes umiddelbare viden og derefter opsnappe både CPR nummer, kommentaren til lægen og og e-mailadressen - en ret triviel opgave i virkeligheden.«

Ingen anledning til bemærkninger

Datatilsynet har set på Dan Storms henvendelse, og essensen i det relativt kortfattede svar fra tilsynet lyder:

»Datatilsynet kan oplyse, at tilsynet i forbindelse med en tidligere sag har undersøgt sikkerheden på den pågældende hjemmeside. Undersøgelsen gav ikke tilsynet anledning til bemærkninger, da transmission af oplysninger på hjemmesiden ifølge en IT-sikkerhedskonsulent i tilsynet sker via HTTPS.«

Dan Storm har sidenhen sendt korrespondancen til Version2. I et efterfølgende interview uddyber backend-udvikleren, hvorfor han mener, det er et problem med den manglende HTTPS-beskyttelse - ofte vist via en hængelås - på den pågældende hjemmeside.

»Når certifikatet er valideret, og man dermed får den 'grønne hængelås', så sikrer HTTPS-laget, at indholdet fra serveren er uændret, når det når klienten. Det er grundstenen i HTTPS,« siger Dan Storm og fortsætter:

»Når hængelåsen ikke er der, så har brugeren ikke nogen garanti for, at indholdet ikke er ændret mellem serveren og brugeren, der sidder og kigger på siden. Og det er her, problematikken omkring man-in-the-middle kan opstå.«

Det vil eksempelvis sige, at hvis en bruger lokkes til at koble på et ondsindet wifi-hotspot, som en angriber kontrollerer, så kan angriberen manipulere indholdet på siden fra lægen, og opsnappe de oplysninger, brugeren indtaster.

»Jeg synes, det er rimeligt banalt, men nu arbejder jeg selvfølgeligt også med det. Men som borger havde jeg nok en eller anden forventning om, at de ville kunne forstå inde ved Datatilsynet, at det her er et problem.«

Forskelligartet opfattelse

Dan Storm peger på, at problemstillingen nok også udspringer af en forskelligartet opfattelse hos ham selv, og så Datatilsynet i forhold til, hvad det vil sige, at oplysninger bliver sendt krypterede.

Og han mener i den forbindelse ikke, det giver mening at tale om, at oplysninger på en ikke HTTPS-beskyttet side bliver sendt krypterede, uanset om der så måtte være en indlejret HTTPS-formular på sitet.

Problemet er blandt andet, påpeger Dan Storm, at oplysningerne, som bliver indtastet i formularen, kan blive opsamlet via et Javascript, skudt ind på den ubeskyttede side.

»Vi kan ikke forvente, at alle forstår forskellen (på hængelås og ingen hængelås). Man kan sige, at hvis der var krav om, at siden, hvor oplysningerne bliver indtastet, er krypteret, så har man jo gjort hvad man kunne for at beskytte data fra fra Datatilsynets side - og selvfølgeligt også fra udbyderen af sitets side. Sådan er det ikke nu,« siger han.

Version2 har bedt Datatilsynet forholde sig til Dan Storms kritikpunkter.

Datatilsynet: Hængelås er ikke nogen garanti

Kontorchef i tilsynet Lena Andersen oplyser via mail, at »vi ikke ønsker at sagsbehandle med medierne som mellemmand - hvis den pågældende borger har yderligere han vil vende med os, må han rette direkte henvendelse hertil – ikke via medierne.«

I forhold til den generelle pointe om, at Datatilsynet ikke mener, det er nødvendigt med en HTTPS-forbindelse/hængelås på et site, hvor der indtastes eksempelvis et cpr-nummer, oplyser Lena Andersen, at tilsynet ikke stiller krav om hængelås, »da en synlig hængelås eller farven på hængelåsen ikke er nogen garanti.«

Datatilsynets ikke udelte begejstring for synlige HTTPS-forbindelser/hængelåse er ikke ny.

Version2 omtalte i oktober sidste år en såkaldt sikkerhedstekst fra Datatilsynet. Det skete i en artikel med overskriften 'Datatilsynet advarer mod at stole på hængelåsen i browseren'.

I sikkerhedsteksten fra Datatilsynet lyder det blandt andet:

»Visning af hængelås eller HTTPS i browserens adressefelt garanterer ikke imod, at uvedkommende kan kikke med eller endda ændre i dataudvekslingen.«

I teksten bemærker tilsynet desuden, at en hængelås eller HTTPS i browserens adressefelt indikerer, at »der er anvendt kryptering, men ikke hvilken slags, eller i hvilken grad krypteringen beskytter imod, at uvedkommende omdanner de kryptere data til læsbart format.«

Hvad tænker Version2's læsere? Har Datatilsynet en pointe i, at det ikke i sig selv giver mening at kræve en umiddelbart synlig HTTPS-forbindelse på en hjemmeside, hvor der indtastes eksempelvis et cpr-nummer - altså forudsat at data ellers sendes krypteret fra siden?

Eller er det Dan Storm der har ret i, at der bør være HTTPS på den slags sider for at forhindre manipulation af indhold og diverse man-in-the-middle-angreb?