Norge sikrer ikke e-posten
En ny undersøkelse av de største selskapene og departementene gir Norge bunnplasseringen i Norden på sikring av e-post ved hjelp av DMARC.
Sikkerhetsselskapet Proofpoint sjekket i oktober de største børsnoterte selskapene og alle departementene i Norge, Sverige, Danmark og Finland for sikring av e-post ved hjelp av DMARC. De norske private bedriftene tar en klar sisteplass, mens departementene her til lands deler sisteplassen med Sverige og Finland.
I begge kategoriene ligger Danmark på topp.
Sikrere e-post
I flere år har vi blitt fortalt at den viktigste inngangen for de datakriminelle er e-posten vår. Enten det er direktørsvindel, phishing for å få offeret til å gå til et falskt nettsted eller levering av skadelig programvare via et uskyldig utseende e-postvedlegg, så er det e-post som er begynnelsen på angrepet.
E-post er en av de eldste internetteknologiene, som ble utviklet i en tid da dataangrep var en sjeldenhet. Dermed har ikke protokollene og teknikkene bak innebygd sikkerhet, og det er et kjempeproblem i dag. Det finnes imidlertid nye teknikker som bidrar til høyere sikkerhet for e-posten, men de er ikke innebygde; den ansvarlige administratoren for virksomhetens e-post på selv installere dem for å ha glede av dem.
Dette har blant andre Nasjonal Sikkerhetsmyndighet (NSM) for ikke lenge siden publisert en veileder om, der de peker på kombinasjonen av STARTTLS, SPF, DKIM og DMARC som en god grunnleggende sikring av e-posten.
Domenetest
For å enkelt sjekke om et e-postdomene er sikrer med DMARC, satte NSM nylig opp nettstedet dmarc.no, der du i tillegg til testen også finner veilederen om sikring av e-post. Proofpoint har også en slik sjekk, som gir mer informasjon enn det NSMs tjeneste foreløpig gjør. Det er resultater fra dette verktøyet som også ligger til grunn for selskapets undersøkelse.
«Heldigvis er det mulig å beskytte seg mot «spoofing» takket være det anerkjente e-postbekreftelsessystemet DMARC (Domain-based Message Authentication, Reporting and Conformance). Systemet kan sammenliknes med en «passkontroll» for e-post, som autentiserer avsenderen gjennom to andre standarder (DKIM og SPF), og som kan blokkere alle uautoriserte sendere fra å speile domenenavnet.
DMARC har vært i bruk siden 2012, og vi bestemte oss for å evaluere hvor godt de nordiske landenes største selskaper, regjeringer og regionale departementer er beskyttet. Som utgangspunkt for undersøkelsen brukte vi de største selskapene som var registrert børs i hvert av landene», skriver Fredrik Möller, regionssjef for Norden og Baltikum i en bloggpost.
I en e-post til Computerworld opplyser selskapet at de baserte den norske delen av undersøkelsen på de 23 mest omsatte selskapene på OSEBX-listen til Oslo Børs.
Danmark er best
Også i denne undersøkelsen må vi altså se oss forbigått av danskene, som synes å toppe alle lister og kåringer som gjelder en eller annen fasett av det brede digitaliseringsbegrepet. Om privat sektor skriver Möller videre at:
«Samlet sett er Danmark «klassens beste» i Norden. Blant de 20 selskapene vi undersøkte, hadde 60 prosent en form for DMARC-beskyttelse, som også er over gjennomsnittet sett i en global sammenheng. Sverige ligger på andreplass, med 43 prosent av OMXS30-selskapene, som også er på linje med det nordiske gjennomsnittet. Dette innebærer at 57 prosent av de største børsnoterte selskapene i Norden ikke har DMARC-beskyttelse. For Finland og Norge er tallene henholdsvis 40 og 30 prosent.
NORGE PÅ BÅNN: Statistikken fra undersøkelsen i oktober viser at norske børsnoterte selskaper er alene på bunnen når det kommer til å sikre e-posten. (Ill: Proofpoint)
Bank- og finanssektoren er naturlig nok et hovedmål for svindelaktivitet, og generelt sett ser vi her også et raskere tempo når det gjelder å iverksette sikkerhetstiltak. Samtlige danske banker/finansselskaper har installert den sterkeste formen for DMARC-beskyttelse, som blokkerer uautoriserte e-poster. Mange børsnoterte banker i Sverige og Norge mangler DMARC, og beskyttelsesnivået er 60 prosent i Sverige og 40 prosent i Norge».
Rogaland lyspunkt i det offentlige
Bildet er tilsvarende for offentlig sektor, det eneste lyspunktet sett med norske øyne er at vi ikke er alene på bunnen. Möller skriver:
«Departementene i Sverige, Norge og Finland har ingen DMARC-beskyttelse, mens 78 prosent av de danske departementene har tatt i bruk DMARC. Imidlertid har alle disse departementene en såkalt «Monitor»-modus, noe som betyr at it-sikkerhetsansvarlige mottar en rapport om DMARC, men uten å blokkere e-postene. Det samme gjelder for 60 prosent av Danmarks regioner som har DMARC-beskyttelse».
I statistikken fra Proofpoint opereres det med 16 norske departementer – de 15 departementene pluss Statsministerens kontor.
Alt er likevel ikke helsvart i Norge, i bloggposten finnes det ett godt eksempel, om enn utenfor utvalget av departementer og store børsnoterte selskaper:
«Faktisk har kun to regioner/fylkeskommuner i Norden høyest mulig beskyttelse, og dette er Västra Götaland i Sverige og Rogaland i Norge», skriver Möller.
Økende bevissthet
Det er ikke vanskelig å gjette hva som blir konklusjonen i Proofpoints undersøkelse:
«Konklusjonen her er selvfølgelig at det er rom for forbedring. Heldigvis ser vi økende bevissthet om DMARC og større interesse for å bruke protokollen for å beskytte både økonomiske verdier og opprettholde tillit til industrien og publikum. I Norge leder den Nasjonale Sikkerhetsmyndigheten (NSM) et initiativ for aktivt å øke bruken av DMARC. Dette er noe som burde oppmuntre og inspirere alle landene i Norden. Vi har et felles ansvar for å gjøre det så vanskelig som mulig for svindlere og falske nyhetsspredere å lure oss», avslutter Möllers bloggpost. Det er lett å være enig.
Nasjonal Sikkerhetsmyndighets veileder om e-postsikkerhet.
Proofpoints utmerkete DMARC-verktøy.