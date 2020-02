En stor andel av svenska statliga myndigheter väljer att inte skydda mottagarna av deras e-post mot nätfiske och spam, trots att tekniken finns sedan länge och är relativt enkel att implementera. Detta visar den granskning Techworld genomfört.

Förfalskad e.post, phishing eller nätfiske, är det största it-säkerhetsproblemet i dagens digitaliserade samhälle; det är något i princip alla it-säkerhetsexperter är överens om. En majoritet av alla cyberattacker börjar någonstans med en nätfiske-kampanj, eller riktade e-postmeddelanden mot specifika mottagare, så kallad spear-phishing.

Grundproblemet är att det är enkelt att förfalska e-post, så kallad spoofing, och att det är svårt för en lekmanna-mottagare av meddelandet att kontrollera dess äkthet. Meddelandet ser utifrån innehållet oftast äkta ut, och ser ut att komma från rätt avsändare om man bara tittar på avsändaradressen. Men det finns tekniska lösningar på detta problem, framförallt ett säkerhetsprotokoll som heter dmarc (se faktaruta).

Techworld har kartlagt samtliga svenska statliga förvaltningsmyndigheter för att utreda i vilken grad de implementerat dmarc. Tyvärr är resultatet minst sagt nedslående; till och med riktigt stora myndigheter, eller myndigheter som på grund av verksamheten art borde veta bättre, har valt (för det är ett val) att inte verka för att motverka nätfiske i deras namn.

Osäker implementation

Av alla 200 statliga förvaltningsmyndigheter vi analyserat är det bara 48 myndigheter, eller 24 procent som implementerat dmarc, men när vi synar hur implementationerna är utförda ser vi även att det brister i konfigurationen. 29 av de 48 myndigheterna som implementerat dmarc, har valt att sätta en flagga som gör att de meddelanden som borde stoppas ändå släpps igenom.

Anledningen är den så kallade p-flaggan i dmarc som kan sättas till tre värden. Värdet ”reject” gör att meddelandet helt enkelt stoppas; ”quarantine” gör att meddelandet läggs i karantän, och ”none” innebär ingen åtgärd. Av de 48 myndigheter som vid första anblicken ser ut att ha infört en korrekt implementation av dmarc, är det 29 myndigheter som satt p=none. Det reducerar andelen myndigheter som faktiskt har en fungerande dmarc-implementation till 19 stycken eller 9,5 procent.

– Det är siffror som är väldigt bekymmersamma, särskilt som det ändå är rätt lätt att skydda sig från domänspoofing genom dmarc. Vi ser ju löpande att både antalet sociala bedrägeri-attacker växer och blir mer professionella. Ett av de enklaste sätten att identifiera ett bedrägeriförsök är att e-postadressen är uppenbart falsk. Utan den möjligheten kommer fler att bli lurade, så enkelt är det, säger Fredrik Möller, regionchef på Proofpoint i Sverige och Baltikum.

Obligatoriskt i grannländer

I många länder, inte minst i övriga Norden och inom EU, ställs det krav på att myndigheterna ska implementera dmarc. I Danmark har man bestämt att samtliga myndigheter måste implementera dmarc före den 1 juni i år. Även i Norge har man kommit långt där den norska statliga säkerhetsmyndigheten NSM tagit fram tydliga direktiv och rekommendationer. Några liknande direktiv eller riktlinjer finns inte i Sverige.

– När det gäller myndigheter och offentlig verksamhet finns det även andra frågor bortom de rena bedrägeriförsöken. Om någon vill sprida falsk information i myndigheternas namn för att skapa oreda och skada förtroendet för samhället är det vårt ansvar att göra allt vi kan för att förhindra det. I exempelvis Norge och Danmark sker redan en kraftsamling med hårda policies och direktiv på plats för att stärka myndigheters e-postskydd. Jag tror att Sverige behöver ta krafttag för att komma ikapp, säger Fredrik Möller.

Nätfiske med mejl på svenska är vanligare än många tror; när detta skrivs pågår till exempel en nätfiskekampanj som ser ut att komma från Netflix, på perfekt svenska, och tidigare har det förekommit nätfiskekampanjer riktade till kunder till bland andra Postnord, Ica och Skatteverket.

Tunga myndigheter saknar skydd

Det inte vilka myndigheter som helst som valt att inte skydda sin e-post. Som mottagare kan man inte lita på e-post från till exempel Datainspektionen, Digg, Försäkringskassan, Migrationsverket, MSB, Pensionsmyndigheten, Regeringskansliet eller ens Säkerhetspolisen. Dessa har inte implementerat dmarc över huvud taget.

På Datainspektionen har de lagt ut it-driften på en driftleverantör, och myndigheten utreder frågan om dmarc tillsammans med driftleverantören.

– Idag kör vi spf (sender policy framework, reds. anm.), men vi har en pågående utredning med vår driftleverantör om att komplettera detta med dmarc för att få ett ännu bättre skydd. Vi vill bara verifiera att inget annat påverkas av ett införande av dmarc innan vi går vidare. Dmarc en bra lösning som man självklart ska titta vidare på och om allt går bra så kommer detta införas på Datainspektionen inom en snar framtid, säger Joakim Nyberg, it-ansvarig på Datainspektionen.

Vad är det som ni upplever skulle kunna påverkas av ett införande av dmarc?

– Eftersom vi är en statlig myndighet så vill vi verifiera att vi inte på något sätt hindrar medborgare att skicka mjel till oss genom att införa en funktion som denna. Dmarc är tekniskt enkelt att införa men sedan behöver organisationen ta fram rutiner för att hantera loggarna som genereras, till exempel error-loggar.



”Vi har ett löpande säkerhetsarbete”

På Myndigheten för digital förvaltning, Digg, har man haft problem med sin dmarc-implementation och avaktiverat dmarc under en tid.

– Myndigheten för digital förvaltning har, för att lösa ett tillfälligt problem, haft dmarc avaktiverat en tid. Problemet är nu löst och dmarc kommer att återaktiveras så snart som möjligt, säger Inger Greve, kommunikatör på Digg.

På Regeringskansliet vill man över huvud taget inte gå in på detaljer kring it-säkerheten.

– Jag kan av säkerhetsskäl inte gå in på vilka åtgärder som Regeringskansliet vidtar eller har för avsikt att vidta vad gäller vårt mejl- eller it-system. Det jag kan säga är att vi har ett löpande säkerhetsarbete och att vi anpassar våra åtgärder efter de bedömningar som görs av exempelvis risker i omvärlden, säger Regeringskansliets it-chef Inga Brundell Öhman.



E-postlistor skapar problem

Bland dem som implementerat dmarc men satt p=none återfinns till exempel Transportstyrelsen, Tullverket, Polisen, KTH, CSN, Arbetsförmedlingen och Åklagarmyndigheten. De få som gjort helt rätt är bland andra Försvarsmakten, Skolverket, FRA, Kronofogden, Länsstyrelsen, PTS, Riksdagen och Skatteverket.

Nu finns det i ärligheten namn en anledning att sätta p=none, åtminstone initialt under en testperiod, och det är att man vill analysera hur dmarc påverkar mottagandet av meddelanden. I dmarc-posten i dns ska man sätta en returadress (rua- och ruf-flaggorna) dit rapporter från mottagande e-postserver kan skickas till avsändande server.

Dessa rapporter kan sedan användas för analyser. Det finns tillfällen när dmarc ställer till problem, till exempel när ett meddelande vidarebefordras (avsändaradressen ändras) eller e-post till mailinglistor (även här förändras meddelandets attribut), men det finns vedertagna metoder att ta till för att runda dessa undantagsfall.



Hantera e-post som säkerhetsrisk

De mindre myndigheterna i Sverige saknar i allmänhet egen it-kompetens, speciellt gällande e-post och dns, utan har lagt ut dns-funktionen på en dns-leverantör eller leverantör av it-drift. Det kan vara en förklaring till att dessa myndigheter inte aktiverat dmarc – om dmarc inte ingår i kravspecifikationen kommer det inte att aktiveras.

I vårt land talar vi ibland om att ”gå före”, men när det kommer till säker e-post, särskilt bland myndigheter, handlar det snarare om att komma ikapp utvecklingen. Kontentan av vår granskning är helt krasst att en opåkallad e-post från en svensk myndighet är opålitlig, den utgör en säkerhetsrisk och bör hanteras därefter.

– Myndigheter borde absolut göra bättre. Detta är ytterligare ett exempel – IPv6 är ett annat – där vi ser Sverige halkar efter. Man skulle kunna säga detta "bara" är tekniska detaljer, men om inte teknikavdelningar kan göra rätt gällande tekniska saker som ska vara osynliga för verksamheten, hur bra blir det för det som är synligt eller på annat sätt direkt eller indirekt påverkar verksamheten? Sverige är verkligen inte bäst, eller i toppen. Vi är på 14:e plats gällande "Technology infrastructure is the infrastructure available to enable digital activities and connected consumers” säger Patrik Fältström, teknik- och säkerhetschef på Netnod, och pekar på Ciscos senaste rapport Cisco Digital Readiness Index.

