Skat til borgere: Bare ignorer certifikat-advarsel

Brugere af skat.dk er for få dage siden blevet mødt med en certifikatfejl på Skats hjemmeside. Skat opfordrer brugerne til at ignorere fejlen og stole på siden. Det er problematisk, fordi netop Skat har været udsat for mange phishingangreb, mener sikkerhedsekspert.

»Hvis du stoler på vores link/side, kan du vælge at ignorere meddelelsen og fortsætte, hvorefter du skulle komme ind på siden.«

Illustration: Screenshot fra Facebook, 21. august 2017

Sådan skriver Skat som svar i et af deres Facebook-opslag, hvor brugere gør opmærksom på en certifikatfejlsmeddelelse, når de vil ind på skat.dk.

Det er en rigtig dårlig strategi, mener sikkerhedsekspert og direktør Jacob Herbst fra it-sikkerhedsvirksomheden Dubex.

»Det er dybt problematisk at opfordre brugerne til at ignorere en sådan fejl. Det er imod alle de ting, vi bl.a. gennem awareness-undervisning forsøger at lære folk om korrekt it-adfærd,« siger han.

I stedet kunne Skat prøve at spørge ind til fejlen og prøve at løse problemet i stedet for at bede brugerne om at ignorere det, mener han.

»Det ville efter min opfattelse være den rigtige løsning på det her - og så at sørge for, at folk ikke får en fejlmeddelelse på Skats sider.«

Illustration: Screenshot fra Facebook, 21. august 2017

Jacob Herbst har selv forsøgt at få certifikatfejlen frem på Skats hjemmeside, men det er ikke lykkedes ham. Enten fordi Skat har fået rettet fejlen, eller fordi Jacob Herbst ikke har fundet frem til den kombination af browser og device, som måske har udløst fejlen hos nogle af Skats brugere.

Skal prøve at løse problemet i stedet

Jacob Herbst fortæller, at der kan være mange grunde til, at der kommer en certifikatfejl op, hvis det er et for enheden ukendt certifikat, der er en browser, som ikke fungerer med certifikatet, eller det kan være noget indhold på siden eller en lille ændring, som kan udløse certifikatfejlen.

Men det er under alle omstændigheder forkert af Skat at opfordre folk til at ignorere fejlen. Specielt fordi netop Skat er nogle af dem, der har været udsat for mange phishingangreb, og er et af de steder, folk derfor skal være ekstra opmærksomme, mener han.

Skat bør i stedet lære deres SoMe-medarbejdere ikke at opfordre folk til at ignorere de fejlmeddelelser, der kommer. I stedet må Skat forholde sig til dem, siger Jacob Herbst.

Illustration: Screenshot fra Facebook, 21. august 2017

Han medgiver, at det kan være svært at teste og afprøve alle kombinationer af ting, men at Skat så er nødt til at bruge mere energi på at løse det, som giver brugerne en fejlmeddelelse.

Version2 har forsøgt at sætte et interview op med en it-ansvarlig hos Skat, men det har ikke været muligt. I stedet skriver Skat følgende i en mail til Version2, at de ikke mener, at nogen har været udsat for reelle risici, men de indrømmer, at den konkrete vejledning ikke har været tilfredsstillende.

»Den konkrete rådgivning om at lægge skat.dk ind som et trusted site i sin browser er efter vores vurdering helt korrekt, men at ignorere certifikatfejl bør ikke være praksis og bør ikke gives som rådgivning til borgerne. Vi vil naturligvis sikre, at denne information står helt klar og bliver opdateret i Facebook-tråden.«