En nyligen genomförd kartläggning över Sveriges samtliga myndigheter visar att 90 procent inte implementerat den rekommenderade nivå av epostsäkerhet som förhindrar förfalskade e-postmeddelanden.
Drygt 40 procent har bara påbörjat arbetet med någon form av DMARC.
Samtidigt är siffrorna betydligt bättre i Danmark – där ny lagstiftning fått effekt.
Nätfiske där nätkriminella använder så kallade spoofade mejladresser är fortsatt ett stort säkerhetsproblem i dagens samhälle. Kortfattat innebär det att man skickar mejl som ser ut att komma från en annan adress än de gör. Genom detta förfarande försöker nätkriminella komma över känsliga uppgifter – som inloggningsuppgifter och bankuppgifter – samt genomföra bedrägerier.
Ett sätt för företag och myndigheter att skydda sig mot den här typen av incidenter är att implementera ett DMARC-skydd – ett valideringsprotokoll designat för att nätkriminella inte ska kunna använda företagets domännamn och som säkerhetsställer avsändarens identitet innan ett meddelande skickas iväg.
Men svenska myndigheter brister i sin implementation.
Proofpoint har kartlagt 200 svenska myndighetsdomäner. Enbart tio procent har implementerat den rekommenderade nivån av DMARC, kallad reject. Den nivån innebär att all misstänkt mejl stoppas innan den når mottagaren. 41 procent av myndigheterna har påbörjat arbetet med DMARC – men inte nått reject-nivån. 49 procent av myndigheterna har inte ens påbörjat arbetet med DMARC.
I klarspråk innebär det att 90 procent av domänerna som är registrerade på svenska myndigheter helt saknar skydd mot domänspoofning.
– Att så få av våra myndigheter har implementerat DMARC-skydd är allvarligt och anmärkningsvärt. Med bakgrund av de attacker som skett de senaste åren bör myndigheter vara särskilt vaksamma. Dessutom är det många invånare som är i behov av kontakt med myndigheter, inte minst under rådande pandemi. Det gör dessa domäner till en extra attraktiv måltavla, säger Örjan Westman, Nordenchef på Proofpoint.
Här syns också stora skillnader mot vårt grannland Danmark, där DMARC på reject-nivå under förra året inkluderades i de tekniska grundkrav som ställs på statliga myndigheter i landet. När Proofpoint i september månad undersökte hur långt det offentliga Danmark kommit med implementering av DMARC visar det sig att 75 procent uppnår den rekommenderade nivån.
– Det är tydligt att danska myndigheter kommit en bra bit på vägen för att motsvara lagstiftarnas ambitioner gällande e-postsäkerhet, även om målsättningen såklart är att samtliga ska leva upp till de krav som ställs. I Sverige har vi inget tvingande regelverk och det avspeglas i resultatet av våra undersökningar. Men utmaningarna är de samma, cyberkriminella bryr sig föga om landsgränser – de fokuserar sina insatser där de får störst utdelning, säger Örjan Westman.
– Utan den rekommenderade nivån av DMARC i reject kan cyberkriminella relativt enkelt spoofa en mejladress, det vill säga skicka mejl som ser ut att komma från myndigheten. Det här är precis det som de cyberkriminella är ute efter, säger han.
