Som en del av studien har Proofpoint kartlagt i vilken utsträckning svenska domäner tillhörande myndigheter och kommuner implementerat så kallat Domain-based Message Authentication, Reporting & Conformance (DMARC)-skydd. DMARC är ett valideringsprotokoll utformat för att skydda domännamn från att missbrukas av cyberbrottslingar. Det autentiserar avsändarens identitet innan ett meddelande tillåts nå sin avsedda destination. DMARC har tre skyddsnivåer – monitor, quarantine och reject, där reject är det säkraste för att förhindra att misstänkta e-postmeddelanden når inkorgen.
I kartläggningen har Proofpoint analyserat 232 svenska myndighetsdomäner samt 289 domäner tillhörande Sveriges kommuner.
”Mycket kvar att göra”
Bland myndigheter har 26 procent den högsta, och rekommenderade nivån, av skydd. Det är en viss ökning jämfört med hur det såg ut vid samma tidpunkt i fjol, då 21 procent hade den högsta nivån av skydd. Bland kommuner har enbart 22 procent (64 domäner) implementerat rekommenderad nivå. Även det en ökning från i fjol, då 13 procent hade rekommenderad nivå. Det betyder att 74 procent av domänerna som är registrerade på svenska myndigheter och 78 procent av domänerna som är registrerade på svenska kommuner saknar skydd mot domänspoofing, vilket ökar risken att allmänheten drabbas av e-postbedrägerier.
– Att så få av Sveriges kommuner och myndigheter nått en rekommenderad nivå av DMARC-skydd visar att det fortfarande finns mycket kvar att göra. Domäner som tillhör den offentliga sektorn är en del av vår kritiska infrastruktur och bör skyddas därefter. Vi ser gång på gång att den offentliga sektorn är ett prioriterat mål för cyberkriminella och bristen på domänskydd är precis den typ av lucka de kan dra nytta av, säger Mikael Järpenge, senior engineer på Proofpoint.
Fler har påbörjat arbetet
Det positiva är att 72 procent av myndigheterna och 87 procent av kommunerna har påbörjat arbetet med DMARC och implementerat grundläggande nivå. I fjol hade 58 procent av myndigheterna och 64 procent av kommunerna startat arbetet men inte nått rekommenderad nivå.
– Det är glädjande att vi ser en positiv utveckling och att fler börjar ta steg mot att bygga ett skydd mot förfalskade e-postmeddelanden. Men det går långsamt och det här är ett ganska bra exempel på en konkret åtgärd som skulle kunna göra stor skillnad, säger Mikael Järpenge.
