WHT.pl publikuje wyniki badania poziomu bezpieczeństwa polskiego Internetu
Poziom zabezpieczeń stron WWW w polskim Internecie jest wciąż bardzo niski. Zaledwie 9% stron internetowych jest poprawnie zabezpieczonych za pomocą szyfrowania SSL, a tylko 1% zabezpieczono równocześnie za pomocą certyfikatu SSL i protokołu DNSSEC. Warto zaznaczyć że już pod koniec lipca użytkownicy popularnej przeglądarki Chrome będą informowani o tym, że strona jest niebezpieczna, jeżeli nie będzie używała szyfrowania SSL.
WHT.pl to opiniotwórczy portal branżowy, który wydaje ranking top100.wht.pl, badający ilość domen utrzymywanych przez firmy hostingowe. W wyniku przeprowadzonego na początku czerwca badania polskich stron internetowych, uzyskano szereg danych ukazujących obraz rynku w zakresie bezpieczeństwa. Analiza przeprowadzona na bazie informacji o 2,35 mln nazw domen wykazała, że poprawny certyfikat SSL – tj. rozpoznawalny przez popularne przeglądarki internetowe i zgodny z nazwą domeny, w której działa serwis – posiada tylko 9% domen, czyli zaledwie 210 tys. unikalnych stron w polskim Internecie. Najpopularniejszym wystawcą darmowych certyfikatów jest Let’s Encrypt, natomiast w kategorii wystawców komercyjnych pierwszą pozycję zajmuje polska firma Asseco Data Systems.
Przeprowadzone badanie wykazało, że na najwyższy stopień ochrony za pomocą certyfikatu SSL EV (ang. Extended Validation), wymagający weryfikacji właściciela certyfikatu, zdecydowało się zaledwie 1100 wydawców stron internetowych. Wśród nich znalazły się przede wszystkim banki, instytucje finansowe, strony rządowe oraz portale internetowe. Tak niski poziom zabezpieczenia jest zastanawiający z uwagi na fakt, że trzech przedstawicieli branży oferującej produkty dla e-commerce czyli: home.pl, IAI S.A. i Shoplo sp. z o.o. przytoczyło w niedawnym liście otwartym informację, że z ich platform technologicznych korzysta obecnie 20 tys. sklepów internetowych. Warto więc zadać pytanie czy dostawcom usług e-commerce i ich klientom nie powinno zależeć na najwyższym poziomie ochrony?
Zabezpieczenie strony za pomocą certyfikatu SSL to jednak nie wszystko. Konieczna jest bowiem również ochrona informacji otrzymywanych z systemu DNS o adresie IP, na który kieruje domena internetowa. Gdyby przekierowanie nastąpiło do niewłaściwego serwera podstawionego przez cyberprzestępców, możliwe byłoby przejęcie całej transmisji, łącznie z poufnymi informacjami. Do zabezpieczenia odpowiedzi z systemu DNS służy protokół DNSSEC – na wdrożenie którego zdecydowało się zaledwie 21,5 tys. wydawców stron WWW spośród wszystkich 210 tys. korzystających z zabezpieczenia kluczem SSL. Wydawcy serwisów WWW mogą być nieświadomi istniejących zagrożeń, co niepokoi przede wszystkim ze względu na fakt, że prowadzą oni wiele stron zbierających dane osobowe, przetwarzających dane finansowe i świadczących usługi e-commerce. W obliczu tak niskiej świadomości branży, zmiany w poziomie zabezpieczeń muszą zostać zainicjowane przez dostawców usług hostingowych.