Lista över vilka ridföreningar som har TLS/HTTPS på sina hemsidor

Få ridklubbar använder sig av TLS på sina hemsidor

Knappt över hälften av Sveriges ridföreningar har en godkänd TLS-kryptering på sina hemsidor, det visar min undersökning av totalt 862 olika föreningar. Det här är första delen i en serie inlägg som ska kartlägga och bedöma IT-säkerheten inom ridsporten. 

Länk till tabellen: https://draklyckan.se/Ridforeningar_TLS.html
Det var ett och ett halvt år sedan GDPR-lagen trädde i kraft, men fortfarande har endast 53,4% av sveriges ridföreningar implementerat TLS på sina hemsidor. De resterande 46,3 procenten har antingen ingen kryptering alls eller använder sig av s.k. ”mixed content” där endast delar av hemsidan skickas krypterat, vilket är lika osäkert som en hemsida utan någon kryptering alls. En hemsida som inte använder sig av TLS är sårbar mot bl.a. ”mannen-i-mitten” attacker, då all datatrafik till och från hemsidan skickas helt öppet för vem som helst att se.

Under ca. två veckors tid har jag manuellt gått in på alla Sveriges ridföreningars hemsidor och kollat om de använder sig av TLS-kryptering (även känt som HTTPS/SSL), antecknat resultatet och sedan sammanställt allt i en lång tabell (länk nedan). Delvis är det intressant att se hur många som faktiskt har tagit sig tid till att säkra sina sidor, men anledningen till att jag gjorde denna undersökning är att uppmärksamma en av de brister som finns inom ridsportens IT-system. Resultatet av denna undersökning är att 402 av totalt 862 ridföreningar saknar en godkänd TLS-anslutning.

Det har nu gått över ett och ett halvt år sedan EU:s GDPR-lag trädde i kraft. Under kapitel 4 artikel 25 i denna lag står det;

”[…] the controller shall[…] implement appropriate technical and organisational measures[…] and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects”, [1]

vilket indirekt betyder att webbsidor ska skickas över TLS, vare sig de innehåller personlig information eller inte för att säkerställa att datan är skyddad på en tillräckligt hög nivå. TLS är numera gratis och enkelt att implementera. T.ex. erbjuder Let’s Encrypt gratis TLS-certifikat, samt IdrottOnline har numera en knapp som gör allt jobbet åt en. [2], [3] Det tar minuter att fixa och förbättrar hemsidans säkerhet och skyddar användarnas personuppgifter.

Resultatet av min undersökning kan ses i tabellen här. Jag har undersökt alla Sveriges ridföreningar som är registrerade hos Svenska Ridsportförbundet. Datan har inhämtats från SRFs föreningsregister [4]. Alla föreningars hemsidor (om de har någon) har öppnats manuellt en för en (det tog en väldans tid) och TLS statusen har noterats. Jag antecknade också vilket system som varje förening använder sig av, och det verkar som nästan alla är anslutna till IdrottOnline.

Teckenförklaring:

  • Förening: Namn på föreningen (som det är registrerat i SRF)
  • Hemsida: Föreningens hemsida
  • HTTPS: Nej = 0, Ja = 1
  • System: IO = IdrottOnline, MR = MinRidskola, Ö = övrigt
  • DK: Delvis krypterad (”mixed content” kryptering)

Notering: Om föreningen har en egen domän som fungerar är denna undersökt, annars kollade jag på IdrottOnline-versionen (som i många fall har TLS-kryptering). En ”1” eller ”0” under HTTPS betyder respektivt att hemsidan har godkänt TLS-kryptering eller inte. En hemsida som är delvis krypterad räknas som okrypterad, och därmed har de med kommentaren ”DK” fått ”0” under HTTPS. Som det också syns har jag antecknat ”IO” hos nästan alla föreningar. Det var svårt att veta vilka som faktiskt använder sig av IdrottOnline, men då nästan alla var anslutna så antog jag att detta var fallet.

Datan samlades in mellan 2020-01-25 och 2020-02-08 och kan innehålla felaktigheter. Om en ridklubb har skaffat TLS under eller efter denna period får de gärna höra av sig genom att lämna en kommentar nedan eller skicka ett mail till mig (epost-addressen finns under Kontakt)

Länk till listan ifall den ovan inte funkar: https://draklyckan.se/Ridforeningar_TLS.html



Källor:

[1]: https://gdpr.eu/article-25-data-protection-by-design/
[2]: https://letsencrypt.org/
[3]: https://idrottonline.se/Nyheter/kravpahttpsefterchromesuppdatering/
[4]: https://www.ridsport.se/Omoss/Organisation/sokdistriktforening/

Lämna en kommentar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *