Sikkerhetsselskapet Immuniweb lanserte onsdag en gratis test som raskt skal kunne sjekke hvordan nettsider oppfyller krav i personvernforordningen GDPR, krav i standarden PCI DSS for sikkerhet i transaksjoner med betalingskort, og sikkerheten i publiseringssystemene.
ImmuniWeb har nå lagt til GDPR-kompatibilitetstesten i selskapets sikkerhetstest for nettsider.
Tyske sider best på personvern
Selskapet har i tillegg valgt ut de 100 mest besøkte nettsidene i hvert av de 28 landene i EU, og sjekket hvor godt de følger personvernforordningen GDPR.
EØS-landene som ikke er med i EU, Norge, Iceland og Liechtenstein, er også omfattet av GDPR, men er ikke tatt med i denne undersøkelsen.
Lokale versjoner av globale selskaper som Google og Facebook er ikke tatt med i testen.
Testene av de mest besøkte Europeiske nettsidene viste følgende:
- 51,5 prosent manglende eller lite tilgjengelige personvernregler.
- 78 prosent usikker bruk av informasjonskapsler/cookies som håndterer potensielt sensitive data.
- 7 prosent utdaterte og sårbare komponenter i publiseringssystemer.
- 6 prosent manglet HTTPS-kryptering eller feil med SSL/TLS, for eksempel bruk av SSLv3.
Tyskland var landet som hadde best overensstemmelse med GDPR på sine mest besøkte nettsider, der så mye som halvparten bestod testen. Disse hadde 40 prosent manglende eller lite tilgjengelige personvernregler, og alle hadde kryptering og sikre publiseringssystemer. Samtidig hadde ingen av de tyske nettsidene sikker bruk av informasjonskapsler.
Deretter kom Italia, Østerrike og Spania best ut. Slovakia, Kroatia, Tsjekkia, Irland og Malta havnet i bunnen av lista med 100 prosent feilrate.
- Mer om informasjonskapsler: I tvil om hva som nå er reglene for samtykke til bruk av cookies? Det er i så fall ikke så rart (saken kan leses av abonnenter).
– Lang vei igjen
«Vi ser en prisverdig innsats hos europeiske virksomheter for å forbedre sikkerheten i webapplikasjoner og oppfylle GDPR-kravene. Det er likevel en lang vei å gå før flertallet av virksomheter begynner å verdsette faktisk sikkerhet over papirbasert samsvar og dermed gi brukerne det personvern og sikkerhet de virkelig fortjener», skriver Immuniweb i en pressemelding.
I løpet av det ene året GDPR nå har vært europeisk lov, er det levert 144.376 klager på ulike brudd, mens selskaper har rapportert 89.271 avvik, som de er forpliktet til å rapportere innen 72 timer etter at de er oppdaget. I en rapport fra Brussel er det funnet at 56 millioner euro av bøter er utlevert siden GDPR trådte i kraft.
Bøter har imidlertid vært mye mindre enn forventet. Under GDPR kan selskapene bli bøtelagt 20 millioner euro eller 4 prosent av deres totale årlige globale inntekter i foregående regnskapsår.
Resultat etter land (sortert på best GDPR-kompatibilitet):
| Totale mangler | Andel av totale mangler | ||||
|---|---|---|---|---|---|
| Land | GDPR -mangler funnet (%) | Problemer med personvernregler (%) | Cookie-mangler (%) |
Sikkerhets-mangler (%) |
Krypterings-mangler (%) |
| Germany | 50 | 40 | 100 | 0 | 0 |
| Italy | 50 | 14 | 86 | 0 | 14 |
| Austria | 67 | 0 | 100 | 0 | 0 |
| Spain | 75 | 67 | 56 | 11 | 11 |
| Greece | 81 | 54 | 69 | 38 | 0 |
| Poland | 82 | 67 | 67 | 11 | 11 |
| Belgium | 83 | 70 | 70 | 0 | 10 |
| Bulgaria | 83 | 40 | 73 | 7 | 7 |
| Cyprus | 83 | 60 | 80 | 0 | 0 |
| France | 83 | 50 | 80 | 0 | 10 |
| Netherlands | 85 | 18 | 91 | 0 | 0 |
| Portugal | 85 | 73 | 82 | 0 | 0 |
| Luxembourg | 86 | 33 | 100 | 0 | 17 |
| UK | 86 | 17 | 100 | 0 | 0 |
| Denmark | 87 | 54 | 85 | 8 | 8 |
| Slovenia | 91 | 70 | 90 | 20 | 10 |
| Estonia | 92 | 67 | 67 | 0 | 8 |
| Latvia | 93 | 64 | 79 | 0 | 0 |
| Finland | 94 | 88 | 50 | 0 | 6 |
| Lithuania | 94 | 67 | 67 | 0 | 7 |
| Romania | 94 | 60 | 87 | 20 | 13 |
| Sweden | 94 | 60 | 87 | 0 | 0 |
| Hungary | 95 | 83 | 44 | 11 | 0 |
| Croatia | 100 | 60 | 80 | 0 | 0 |
| Czechia | 100 | 83 | 44 | 11 | 6 |
| Ireland | 100 | 0 | 88 | 25 | 0 |
| Malta | 100 | 14 | 100 | 14 | 29 |
| Slovakia | 100 | 69 | 69 | 13 | 0 |
| Average: | 86,18 | 51,50 | 78,25 | 6,75 | 5,96 |
- Sikkerhetstrusler i 2018 fordelt på land: Færre løsepengevirus. Nå er det «cryptojacking» som gjelder (saken kan leses av abonnenter).
