En nyligen genomförd kartläggning av Proofpoint visar att en klar majoritet (78 procent) av svenska miljardvärderade startups- och teknikbolag släpar efter med grundläggande cybersäkerhetsåtgärder.
Det leder till en högre risk för kunder, partners och leverantörer att drabbas av e-postbaserade identitetsattacker .
Resultaten är baserade på Domain-based Message Authentication, Reporting and Conformance (DMARC) adoptionsanalys av svenska startups- och teknikbolag. DMARC är ett protokoll för e-postvalidering utformat för att skydda domännamn från att missbrukas av cyberbrottslingar. Den autentiserar avsändarens identitet innan ett meddelande tillåts nå sin avsedda destination. DMARC har tre skyddsnivåer – monitor, quarantine och reject, där reject är det säkraste för att förhindra att misstänkta e-postmeddelanden når inkorgen.
Michael Järpenge
Kartläggningen av de 82 organisationerna visar att svenska startup och teknik-bolag visar allvarliga brister i sin implementering, med endast 22 procent som implementerat DMARC på reject-nivå.
Det betyder att 78 procent lämnar kunder, partners och leverantörer vidöppna för risken för e-postbedrägerier.
I teorin innebär det att cyberkriminella relativt enkelt skulle kunna skicka mejl i någon av de oskyddade startup- och teknikbolagens namn.
Cyberbrottslingar som skickar mejl som ser ut att komma från en annan adress än de gör är ett vanligt knep som används för att få tag på känslig information – som inloggningsuppgifter och bankuppgifter – och utföra bedrägerier. Ingreppet kallas spoofing och har ökat de senaste åren.
Det positiva är att 76 procent av bolagen har startat arbetet med DMARC och implementerat grundläggande nivå – men inte nått den rekommenderade nivå som innebär att all misstänkt epost stoppas innan den når mottagaren. 24 procent har inte påbörjat arbetet alls.
– Det brukar vara dystra siffror när vi genomför den här typen av kartläggningar. Man skulle kunna tro att svenska startup- och teknikbolag, som oftast pratar om att ligga i framkant i den tekniska utvecklingen, borde ha en större förståelse för vilka risker som finns. Men faktum är att siffrorna i stort sett likadana jämfört med vår kartläggning av svenska kommuner och myndigheter, som vi genomförde under våren, säger Michael Järpenge, teknisk cybersäkerhetsexpert på Proofpoint.
– Det är ett underkänt betyg. Det är inte bara en säkerhetsdetalj, det handlar om så mycket mer. Företagets eller organisationens rykte kan skadas av att någon illvillig part skickar skadlig epost som kommer från företagets egna domän(er) till kunderna som ett exempel. Vi vet att det här är något som utnyttjas av nätkriminella och vi vet också att förlusterna riskerar att bli mycket kännbara för den som drabbas av spoofing. Därför är det så viktigt att täppa till sårbarheter.
