Selskaper som ikke gjør nok for sikkerheten på nettsidene sine bør navngis og henges ut til spot og spe, mener den nystartede ideelle organisasjonen Trustworthy Internet Movement (TIM).

Organisasjonen planlegger derfor å regelmessig offentliggjøre lister over de verste og beste nettsidene, skriver BBC.

En undersøkelse TIM har fått gjennomført viser at 52 prosent av nettsidene som blitt gått nærmere etter i sømmene, benytter sikkerhetsprotokoller som man vet har blitt kompromittert. Det vil si at noen har kommet seg forbi sikkerhetsløsningene.

Bak TIM står både sikkerhetseksperter, industriledere og entreprenører som mener utviklingen av nettsikkerhet går for treigt. Spesielt pekes det på fremveksten av nettskybaserte tjenester, og den potensielle sikkerhetsrisikoen disse angivelig utgjør.

-Vi ønsker å stimulere gode initiativer og få ting gjort, sier TIM-grunlegger Philippe Courtot.

Courtot, som også er sjef i sikkerhetsfirmaet Qualys, skal angivelig ha bidratt til med en halv million dollar av egen lomme. Skjønt Courtot sier ikke noe om arbeidet til TIM vil kunne bety flere kunder og økte inntekter for eget firma.

Varierende SSL

TIM har som mål å hindre spredning av botnet og ondsinnet kode (malware), og vil til å begynne med fokusere på bruken av såkalt SSL(Secure Sockets Layer) teknologi.

Et SSL-sertifikat er en form for digital legitimasjon som ved hjelp av kryptering skal tilby sikker kommunikasjon på Internett. For eksempel når kredittkortnummer og annen sensitiv data som utveksles mellom nettsider og brukere skal beskyttes.

Courtot og TIM mener SSL er en fundamental del av Internett, og akter derfor å sjekke hvor godt eller dårlig nettsider har integrert SSL.

Resultatene vil bli offentliggjort slik at alle kan se hvem som scorer henholdsvis høyt og lavt. De som kommer dårlig fra det, vil bli oppfordret til å forbedre og oppgraderer sikkerheten på nettsidene sine.

Vil sjekke sertifikatutstederne

I tillegg ønsker TIM å rette søkelyset mot de som utsteder SSL-sertifikatene, såkalte Certificate Authority(SA), som går god for at nettsidene tilbyr de sikkerhetsløsningene de hevder.

Det vises til at to slike sertifikatutstedere, DigiNotar og GlobalSign, i 2011 utstedte falske SSL-sertifikat etter innbrudd i selskapenes CA-infrastruktur.