Metode
Domeneoppbygging
Skanneren henter listen over alle norske kommuner fra Geonorge. For hver kommune bygges et forventet domene basert på kommunenavnet (f.eks. oslo.kommune.no). Spesialtegn som æ, ø og å translittereres til ae, o og a. Noen kommuner har manuelt kartlagte domener der standardmønsteret ikke stemmer.
Nettleserskann (Playwright)
Kjernen i skanningen er en fullverdig nettleser (Chromium via Playwright) som besøker kommunens forside og fanger opp all nettverkstrafikk — ikke bare det som er synlig i HTML-kildekoden. Nettleseren:
- Kjører JavaScript: Skript som laster analyseverktøy, chatwidgets, sporingspiksler og andre dynamiske ressurser fanges opp, i motsetning til en enkel HTML-skanner.
- Aksepterer samtykke: Skanneren forsøker å klikke «Godta»-knapper på samtykkebannere (cookie consent). Mange tjenester, som Google Analytics og Meta Pixel, lastes først etter samtykke er gitt. Antall forespørsler før og etter samtykke registreres.
- Scroller siden: Nettleseren scroller gjennom forsiden for å utløse lazy-lasting av innhold, bilder og innebygde tredjeparter som kun lastes når de blir synlige.
- Samler informasjonskapsler: Alle cookies satt under besøket registreres, inkludert de som settes etter samtykke.
- Sjekker service workers: Eventuelle registrerte service workers logges.
Statisk HTML-analyse
I tillegg til nettleserskannet gjøres en enkel HTTP-forespørsel (uten JavaScript) som analyserer rå HTML med BeautifulSoup. Dette fanger opp innebygde <script>- og <link>-tagger, iframes, og andre tredjepartsreferanser som er synlige i kildekoden.
DNS- og infrastrukturskann
For hvert domene gjøres DNS-oppslag (NS, MX, TXT, CNAME, A) via dig. NS-poster avslører DNS-leverandør, MX-poster avslører e-postleverandør, og TXT-poster (SPF, DMARC, DKIM) gir informasjon om e-postsikkerhet. DKIM-oppslag sjekkes for vanlige velgere som selector1, selector2 og google.
TLS-sertifikat
TLS-tilkoblingen inspiseres direkte for å identifisere sertifikatutsteder (Let's Encrypt, DigiCert, Buypass osv.).
Klassifisering
Hver oppdaget tjeneste matches mot et regelsett med kjente tjenester fordelt på kategorier. Tjenester tildeles opprinnelsesland basert på morselskapets juridiske jurisdiksjon — f.eks. er Cloudflare klassifisert som amerikansk selv om serveren kan stå i Europa.
Vektet risikoscore
Ikke alle avhengigheter utgjør like stor risiko. En kommune med Microsoft 365 e-post og Azure-hosting er i en fundamentalt annen situasjon enn en som kun laster en Google-skrifttype. Derfor beregnes en vektet risikoscore som reflekterer faktisk strategisk eksponering.
| Risikonivå |
Vekt |
Kategorier |
Begrunnelse |
| Kritisk |
3× |
E-post, DNS, Hosting, Lagring |
Dyp innlåsing. Avbrudd eller juridisk pålagt datautlevering rammer kjerneinfrastruktur direkte. |
| Operasjonell |
2× |
CMS, Analyse, Sikkerhet, Overvåking, E-postsikkerhet, Tag Manager |
Viktig, men erstattelig over tid. Migrering krever uker til måneder. |
| Perifer |
1× |
TLS, CDN, Fonter, Embeds, Kart, Annonsering |
Lett erstattelig. Google Fonts kan selvhostes på en ettermiddag. Let's Encrypt er en gratis ideell tjeneste som ikke lagrer kommunedata. |
Scoren beregnes ved å summere vektene for alle amerikanske avhengigheter. En kommune med Microsoft 365 e-post (3) + Azure DNS (3) + Azure Hosting (3) + Google Fonts (1) + Let's Encrypt (1) scorer 11, mens en kommune med kun Google Fonts (1) + Let's Encrypt (1) + jsDelivr (1) scorer 3 — selv om den har tre avhengigheter.
Tjenester vi søker etter
USA
Norge
EU/EØS
Annet
DNS (34)
Domeneshop
Cloudflare
Azure DNS
AWS Route53
Google Cloud DNS
Microsoft DNS
PRO ISP
One.com
Loopia
Telia
Tietoevry
GlobalConnect
Braathe
ACOS
Enivest
Bedsys
Trollnet
Vitnett
eSunnmøre
Nordkapp
SSIKT
Fjordane IT
Kommune-drift
Online4u
Dataguard
TIKT
Halden.net
ServeTheWorld
REV
Datacenter
PBSys
DNSnet
Barentsnett
Bibsyst
E-post (9)
Microsoft 365
Google Workspace
Proofpoint
Mailgun
SendGrid
Amazon SES
Comendo
ProISP
Trend Micro
E-postsikkerhet / DMARC (3)
Valimail
dmarcian
Agari
Hosting (10)
Microsoft Azure
Amazon Web Services
Google Cloud
Cloudflare
Netlify
Vercel
GitHub Pages
Domeneshop
PRO ISP
Hetzner
CDN (6)
Cloudflare CDN
Amazon CloudFront
Fastly
jsDelivr
unpkg
Netlify Edge
TLS-sertifikater (9)
Let's Encrypt
DigiCert
Sectigo
Amazon Trust Services
Google Trust Services
Entrust
GlobalSign
Buypass
ZeroSSL
Analyse og sporing (8)
Google Analytics
Google Tag Manager
Meta Pixel
Microsoft Clarity
Microsoft App Insights
Hotjar
LinkedIn Insight
Siteimprove
Fonter, kart og embeds (7)
Google Fonts
Google Maps
YouTube
Vimeo
Twitter/X
Power BI
Office 365 Forms
Sikkerhet og samtykke (4)
Google reCAPTCHA
Cookiebot
Cookie Information
Plausible
Øvrige tjenester (8)
Zendesk
HubSpot
Sentry
Stripe
SharePoint
Vipps
BankID
Plausible
CMS (9)
ACOS
Optimizely
WordPress
Umbraco
SharePoint CMS
Enonic XP
Drupal
Sitecore
Liferay
Hva som skannes («synlige lag»)
Kun de offentlig tilgjengelige delene av kommunens webinfrastruktur: DNS-poster, HTTP-hoder, TLS-sertifikater, JavaScript-lastede ressurser, innebygde skript og skrifter, informasjonskapsler, og nettverksforespørsler som utløses ved et vanlig sidebesøk.
Hva som ikke er inkludert
Backendinfrastruktur, interne systemer, tjenester bak innlogging, intranett og eventuelle skytjenester som ikke er synlige i den offentlige weben er ikke med i skanningen.
Begrensninger og svakheter
Denne skanningen gir et minimumsbilde — det reelle antallet avhengigheter er nesten sikkert høyere. Vi er åpne om svakhetene:
- Kun forsiden skannes: Undersider som skjemaer, kartportaler og bookingsystemer har ofte andre avhengigheter enn forsiden. En kommune kan bruke Google Maps på kartsiden sin uten at det synes på forsiden.
- Ingen innloggede tjenester: De største avhengighetene — Microsoft 365, fagsystemer, saksbehandling — er bak innlogging og helt usynlige for denne skanneren.
- Samtykke kan feile: Skanneren forsøker å akseptere samtykkebannere automatisk, men treffer ikke alltid riktig knapp. Tjenester som kun lastes etter samtykke kan dermed mangle hos noen kommuner.
- Nøkkelordmatching kan gi falske treff: Tjenester identifiseres ved å søke etter kjente nøkkelord i DNS-poster, hoder, nettverksforespørsler og HTML. Brede nøkkelord kan i sjeldne tilfeller gi falske positive.
- Landtilordning er forenklet: Alle tjenester tilordnes ett land basert på morselskapets jurisdiksjon. Den vektede risikoscoren kompenserer delvis for dette — Let's Encrypt (perifer, vekt 1) påvirker scoren langt mindre enn Azure-hosting (kritisk, vekt 3). GlobalSign er belgisk, men eies av japanske GMO Internet. Virkeligheten er mer nyansert enn flaggene tilsier.
- TLS-utsteder ≠ rot-CA: Skanneren rapporterer mellomliggende sertifikatutsteder, ikke nødvendigvis rot-CA i sertifikatkjeden. Dette er teknisk upresis, men påvirker sjelden landklassifiseringen.
- Øyeblikksbilde: Resultater representerer tilstanden på skannetidspunktet. Kommuner endrer leverandører, og nettsider oppdateres løpende.
- Ensidig fokus: Analysen fokuserer på amerikanske avhengigheter uten å vurdere europeiske eller norske alternativer for sikkerhet, pålitelighet eller egne juridiske risikoer. Kommuner velger ofte disse tjenestene av gode grunner — kvalitet, pris, driftssikkerhet — og migrering medfører egne kostnader og risikoer.
Kort sagt: tallene her er en nedre grense. Hvis en kommune viser 3 amerikanske avhengigheter, har den sannsynligvis flere. Skanningen er reproduserbar og kildekoden er åpen — men den erstatter ikke en fullstendig leverandørgjennomgang.