En nyligen genomförd kartläggning över Sveriges myndigheter och kommuner visar att en klar majoritet inte har den rekommenderade nivå av epostsäkerhet som förhindrar förfalskade e-postmeddelanden.
Det visar data från Proofpoint – som kartlagt i vilken utsträckning svenska domäner tillhörande myndigheter och kommuner implementerat så kallat DMARC-skydd.
DMARC är ett valideringsprotokoll designat för att nätkriminella inte ska kunna använda företagets domännamn och som säkerhetsställer avsändarens identitet innan ett meddelande tas emot. Genom att implementera den högsta och även rekommenderade nivån av DMARC – reject – förhindrar man att mejl skickas som ser ut att komma från en annan adress än de gör. Förfarandet kallas spoofing och är ett vanligt knep som cyberkriminella tar till för att komma över känsliga uppgifter – som inloggningsuppgifter och bankuppgifter – samt genomföra bedrägerier.
Proofpoint har kartlagt 235 svenska myndighetsdomäner samt 292 domäner tillhörande Sveriges kommuner. Bland myndigheter har 21 procent den högsta, och rekommenderade nivån, av skydd. Bland kommuner har enbart 13 procent implementerat rekommenderad nivå. Det betyder att 79 procent av domänerna som är registrerade på svenska myndigheter och 87 procent av domänerna som är registrerade på svenska kommuner helt saknar skydd mot domänspoofing.
I teorin innebär det att cyberkriminella relativt enkelt skulle kunna skicka mejl i någon av de oskyddade myndigheternas eller kommunernas namn.
58 procent av myndigheterna och 64 procent av kommunerna har startat arbetat med DMARC och implementerat grundläggande nivå – men inte nått den rekommenderade nivå som innebär att all misstänkt epost stoppas innan den når mottagaren.
– Det här är anmärkningsvärt givet de attacker som skett mot offentliga myndigheter och kommuner de senaste åren. Genom att inte implementera tillräckligt epostskydd spelar man cyberkriminella i händerna, det är precis det här som de är ute efter. Eftersom spoofing är ett effektivt och vanligt förekommande sätt är det viktigt att täppa till sårbarheter, säger Michael Järpenge, teknisk cybersäkerhetsexpert på Proofpoint.
– DMARC är ett bra redskap oavsett vilken domän det handlar om men för myndigheter och kommuner är det extra viktigt. Domäner tillhörande myndigheter och kommuner bör betraktas som kritisk infrastruktur och skyddas därefter. Medborgarna behöver kunna lita på att innehåll på dessa sajter är korrekt och att kommunikation från myndigheter och kommuner är säkert. Som denna kartläggning visar går inte det att garantera.