En nyligt gennemført kortlægning af samtlige myndigheder i Danmark viser, at 25 % ikke har implementeret det anbefalede niveau for e-mailsikkerhed, som forhindrer forfalskede e-mails.
Dette på trods af, at det siden sidste år har været et krav for de danske myndigheder.
Undersøgelsen blev gennemført i september og oktober af cybersikkerhedsvirksomheden Proofpoint.
Phishing, hvor cyberkriminelle anvender såkaldt spoofing af e-mailadresser, er fortsat et stort sikkerhedsproblem i dagens samfund. Kort fortalt betyder det, at man sender e-mails, der ser ud til at komme fra en anden adresse, end de gør. Via denne metode forsøger cyberkriminelle at få adgang til følsomme oplysninger – som adgangs oplysninger og bankoplysninger – samt at gennemføre bedrageri.
Virksomheder og myndigheder kan beskytte sig mod denne type hændelser ved at implementere DMARC-beskyttelse. Det er en valideringsprotokol, der er designet til at forhindre cyberkriminelle i at bruge virksomhedens domænenavn, og som kontrollerer afsenderens identitet, inden der sendes en meddelelse.
Proofpoint har kortlagt 127 danske myndighedsdomæner. 75 % har implementeret det anbefalede niveau i DMARC, kaldet reject. Dette niveau betyder, at alle mistænkelige mails bliver stoppet, inden de når frem til modtageren. 94 % af myndighederne har påbegyndt arbejdet med DMARC – men har ikke nået reject-niveauet.
Helt konkret betyder det, at 25 % af de domæner, der er registreret hos de danske myndigheder, helt mangler beskyttelse mod domæne-spoofing. Dette på trods af, at DMARC’s reject-niveau er indeholdt i de tekniske mindstekrav for statslige myndigheder, der blev indført i 2020.
“I betragtning af at Danmark har lovgivet om dette sikkerhedsniveau for statslige myndigheder, er det bemærkelsesværdigt, at 25 % ikke har det anbefalede niveau. På baggrund af de angreb, der er sket i de senere år, bør myndighederne være særligt opmærksomme,” siger Örjan Westman, nordisk chef hos Proofpoint.
“Uden det anbefalede reject-niveau i DMARC-valideringsprotokollen kan cyber kriminelle relativt enkelt spoofe en e-mailadresse, det vil sige sende e-mails, der ser ud til at komme fra en myndighed. Det er præcis det, de cyberkriminelle er ude efter,” siger Örjan Westman.
