Den 1 juni 2020 trädde nya riktlinjer och bestämmelser i kraft för danska myndigheter.
Bland annat infördes minimikrav för dmarc-skydd – ett valideringsprotokoll som minskar risken för epostbedrägerier.
Numera är danska myndigheter via lag skyldiga att ha rejectnivå för sina domäner, den högsta möjliga och internationellt rekommenderade nivån av dmarc.
Enligt en större kartläggning av svenska och danska myndighetsdomäner som Proofpoint genomförde i oktober 2021 har det danska lagkravet fått effekt. 75 procent har implementerat reject-nivå på sina domäner. Motsvarande siffra i Sverige är 10 procent.
Faktum är att det inte hänt särskilt mycket i Sverige de senaste åren. Även 2019, första gången vi genomförde motsvarande kartläggning, var siffran 10 procent. I princip samtliga myndigheter som då saknade rekommenderad nivå av epostskydd saknar fortfarande det.
Förutom då att Sverige inte har något liknande lagkrav är det inte enkelt att bli klok på varför det ser ut så här. Dmarc-standarden är ett av de mest effektiva sätten att skydda organisationen mot så kallad spoofing – att cyberkriminella kapar adresser och utger sig från att mejla från exempelvis en myndighet.
Mot bakgrund av de senaste årens massiva cyberattacker, exempelvis den som drabbade Västra Götalandsregionen i december 2020, blir avsaknaden ännu märkligare. Dessutom har det under pandemin varit högt tryck på trovärdig och snabb information från myndigheter. Cyberkriminella har inte varit sena att utnyttja detta, och framgångsrikt utgett sig för att representera såväl hälsomyndigheter som polismyndigheten, för att nämna några uppmärksammade fall.
Det bör alltså ligga i myndigheternas intresse att skydda sina domäner bättre. Och kanske finns det ett ljus i slutet av tunneln?
Enligt Proofpoints kartläggning har 41 procent av de svenska myndigheterna påbörjat arbetet med att implementera dmarc – men inte nått fram till reject-nivå.
Förhoppningsvis är dessa 41 procent i full gång med implementationen och visar upp bättre siffror nästa gång vi genomför den här kartläggningen.
Men om vi ska vara realistiska är det en naiv förhoppning. Mer troligt är att man helt enkelt har skaffat någon slags implementation av dmarc och nöjt sig med det. Det stora problemet är att dmarc på lägre nivåer än reject inte erbjuder särskilt mycket i form av skydd.
Danskarna är visserligen inte heller perfekta. Givet lagstiftningen är det allvarligt att 25 procent av myndighetsdomänerna saknar rejectnivå. Men det är ett stort steg mellan 75 procent och 10 procent.
Från den svenska regeringens håll verkar strategin vara att lägga över ansvaret på den enskilda myndigheten och hoppas på det bästa. Eller så bryr man sig helt enkelt inte nämnvärt om att skydda medborgarna från epostbedrägerier. Det första alternativet är helt verkningslöst, eftersom kunskapen ute på myndigheterna är för låg. Alternativ två vore beklagligt, om än inte särskilt förvånande. Oavsett anledning så är det tydligt att något behöver hända – utvecklingen går inte åt rätt håll. I en tid där medborgarna alltmer lutar sig mot elektronisk kommunikation med det offentliga Sverige är det svårt att se det som något annat än ett allvarligt misslyckande.
Oavsett vad riskerar det att skapa en bild av Sverige, i jämförelse med våra grannar i syd, som ett cybersäkerhetens u-land för epostskydd.
Det nationella cybersäkerhetscenter som instiftades i slutet av förra året är ett välkommet om än sällsynt inslag av proaktivitet från styrande håll. Men det räcker inte. För att minska risken för storskaliga attacker behövs en dialog kring epostsäkerhet.
Den måste börja med det viktigaste; hur vi ser till att medborgarna får en säker kommunikation med myndigheterna.
Danskarna visar i detta nu vägen. När följer Sverige efter?
Örjan Westman, Nordenchef Proofpoint