Sjusk med passwords, kundeportaler med manglende kryptering og e-mailsystemer, der åbner for identitetstyveri.

Selv om nogle af verdens største containerrederier i år har været ramt af alvorlige hackerangreb, halter it-sikkerheden flere steder stadig.

Det viser en ny it-sikkerhedsanalyse blandt 14 containerrederier, der alle er på top 20 over verdens største containerrederier.

Det danskbaserede it-sikkerhedsfirma Improsec har undersøgt it-sikkerheden på tre områder hos 14 containerrederier og konstaterer, at selv om sikkerheden er forbedret på et område (brugen af passwords) sammenlignet med tidligere undersøgelser, står det fortsat sløjt til på to andre områder: websikkerhed og e-mailsikkerhed.

Ifølge analysen tillader hvert tredje containerrederi (36 pct.), at medarbejdernes passwords, der kan give login-adgang til rederiets vitale it-systemer, kan bestå af færre end otte karakterer. I ét tilfælde er der et rederi, der accepterer, at passwords kan bestå af blot én karakter.

Det anses normalt som et minimums sikkerhedskrav, at passwords er sammensat af mindst otte karakterer - en blanding af tal, bogstaver og specialtegn.

Falske e-mails i rederiets navn

Improsecs analyse viser, at den også er gal med e-mailsikkerheden hos flere rederier. Således har kun 14 pct. af rederierne (2 ud af 14) implementeret den såkaldte e-mail-godkendelsesmekanisme, DMARC, i deres systemer.

DMARC er designet til at at give e-mail-domæneejere muligheden for at beskytte deres domæne mod uautoriseret brug.

Ellers risikerer man, at nogen uretmæssigt kan sende falske e-mails i rederiets navn Claus Vesthammer, partner i it-sikkerhedsfirmaet Improsec

"Sikkerhed er en tværgående disciplin, og hvis man ikke har styr på de her helt basale it-sikkerhedsforhold, så er der måske også andre ting galt, når man åbner låget til maskinrummet. Brugen af DMARC i e-mailsystemerne er f.eks. noget alle bør gøre her i 2020, ellers risikerer man, at nogen uretmæssigt kan sende falske emails i rederiets navn", siger Claus Vesthammer, partner og sikkerhedsrådgiver i Improsec.

På det tredje område, som Improsec har undersøgt, har hvert fjerde rederi ikke tilstrækkelig sikkerhed i deres webservices, der bl.a. dækker over offentlige trading- og kundesystemer. Her anvender hvert fjerde rederi i dag HTTP, der er en ikke-krypteret protokol, der bruges til kommunikunikation på internettet.

Det betyder, at informationer, der f.eks. sendes fra en kundes webbrowser til rederiets webserver kan læses af alle og enhver. Det svarer til at sende et postkort med postvæsenet. Ifølge Improsec bør alle i stedet brug den mere sikre HTTPS-protokol. Så er kommunikationen krypteret og kan kun læses af afsender og modtager.

"Grunden til vi har lavet den her undersøgelse er at få sat fokus på, at der er nogle basale forhold, man skal have styr på. Og det behøver ikke at betyde, at man skal investere mange millioner i ny it-sikkerhed. Man kan starte med at kigge på det grundlæggende," siger Claus Vesthammer.

Flere angreb i år

Improsecs analyse er ikke baseret på et spørgeskema eller på aftalte forsøg om at trykprøve containerrederiernes it-systemer gennem hacking. Det danske it-sikkerhedsfirma har alene set på rederiernes offentlige trading- og kundesystemer og tjekket rederiernes kommunikerede holdninger til password- og web-sikkerhed. Hvilke rederier, der er undersøgt, vil Improsec ikke oplyse.

Den utilstrækkelige it-sikkerhed hos flere containerrederier er også blevet demonstreret i den virkelige verden. Flere hackerangreb har de senere år martret rederier som bl.a. Maersk, COSCO, CMA CGM og MSC. Hackerangrebet på franske CMA CGM fandt sted så sent som 28. september i år.

Danske Rederier har ingen kommentarer til undersøgelsen, men henviser til en pressemeddelelse, hvor rederiforeningen kommenterede på, at Center for Cybersikkerhed (CfC), der hører under Forsvarets Efterretningstjeneste, aktuelt vurderer at truslen fra it-kriminalitet er "meget høj".