Sveriges myndigheter och offentliga verksamheter är mycket illa rustade sett till epostsäkerhet.
Redan i december kunde Ekot visa på allvarliga brister hos svenska myndigheter. Av den uppföljande granskning Ekot genomförde i veckan att döma har inget rättats till sedan dess.
Faktum är att det inte hänt särskilt mycket på området i Sverige de senaste åren. I oktober 2021 hade enbart tio procent av svenska myndighetsdomäner implementerat reject-nivå på sina domäner, den högsta och internationellt rekommenderade nivån av epostskyddet dmarc. Det är exakt samma siffra som senast vi gjorde samma genomgång år 2019. I princip är det samma myndigheter som idag inte når upp till den rekommenderade nivån av e-postskydd som saknade det då. Att säga att det inte hänt särskilt mycket är närmast en skönmålning. Det har egentligen inte hänt någonting.
Varför det ser ut så här är svårt att bli klok på. Dmarc-standarden är ett av de mest effektiva sätten att skydda organisationen mot så kallad spoofing – att cyberkriminella kapar adresser och utger sig från att mejla från exempelvis en myndighet.
Att det rapporteras om bristen i epostskydd är därför extra välkommet, men att det skulle ske någon större förändring vore nog att hoppas på för mycket. Det verkar nämligen råda någon form av vilda västern på området där man från regeringshåll valt att lägga över ansvaret på enskilda myndigheter. Sett till att det inte skett någon förbättring är det en strategi som helt uppenbart inte fungerar.
Ett alternativ vore att göra som i Danmark där myndigheter via lag är skyldiga att ha rejectnivå för sina domäner. Lagstiftningen har också fått effekt – danska domäner är betydligt bättre skyddade än svenska.
Under oroliga och osäkra tider behöver medborgare kunna lita på våra myndigheter. Det får helt enkelt inte vara så enkelt att kapa svenska myndigheters mejladresser. Det är genant och det visar på en okunskap som i slutändan riskerar att få katastrofala följder.
Slutligen: Korrekt implementerat utgör dmarc ett bra skydd, men det riskerar också att skapa en falsk trygghet när implementation till reject-nivå bara täcker information om domäntrafiken som finns för konsumentkommunikation (som exempelvis privat email). Det gäller att implementera ett fullständigt skydd som även täcker den information som finns i kommunikationen mellan företag och olika verksamheter.
Örjan Westman, Nordenchef Proofpoint