Norske bedrifter er dårligst på epost-beskyttelse i Norden

At nettkriminelle bruker såkalte spoofede e-postadresser ved nettfiske er et stort sikkerhetsproblem. Kort sagt betyr det at nettkriminelle kan sende e-post som ser ut til å komme fra en legitim organisasjon. På denne måten kan de få tilgang til sensitive opplysninger – som påloggingsopplysninger og økonomisk informasjon – og gjennomføre svindel.

Proofpoint har kartlagt de 25 største selskapene (OMX 25) på respektive nordiske markeder. Dels er forskjellene mellom landene store, dels er tallene ganske lave. De har tatt utgangspunkt i om selskapene er beskyttet med DMARC-beskyttelse. DMARC er en valideringsprotokoll som gir muligheten til å beskytte epost mot spoofing.

Danskene slår oss

Generelt sett er Danmark best på å implementere DMARC. 44 prosent av bedriftene bruker det anbefalte nivået som kalles reject, der all mistenkelig epost stoppes før den når mottakeren. 36 prosent av danske bedrifter har begynt jobben med DMARC, men har ikke nådd reject-nivå. 20 prosent av selskapene har ikke engang startet jobben med DMARC.

– At Danmark viser de beste tallene er interessant. I dag er det ifølge dansk lov et grunnleggende krav at statlige myndigheter har DMARC på reject-nivå. Muligens har det også fått en viss effekt i privatsektoren, sier Örjan Westman, nordisk sjef i Proofpoint, i en pressemelding.

Dårligst i den nordiske klassen er Norge. Bare 28 prosent av de norske bedriftene har implementert anbefalt nivå av DMARC, og 48 prosent har ikke startet jobben med DMARC i det hele tatt. I klartekst betyr det at nesten halvparten av de norske bedriftene mangler beskyttelse mot domene-spoofing.

I Sverige har 28 prosent implementert anbefalt nivå av DMARC, mens 32 prosent ikke har startet jobben med DMARC. 40 prosent har påbegynt jobben, men ikke nådd reject-nivå ennå, men er i karantenestatus der e-post sendes til en innboks i karantene.

I Finland har 36 prosent implementert anbefalt nivå. 40 prosent av bedriftene har ikke startet jobben med DMARC, noe som betyr at 60 prosent lar det være åpent for potensiell svindel. Enn så lenge.

Ingen grunn til å slå seg på brystet

Det er dystre tall, ifølge Westman. Han advarer samtidig om at mangelen på tilstrekkelig e-postbeskyttelse kan få alvorlige effekter.

– Tallene burde absolutt være mye bedre over det hele, og Danmark har ingen grunn til å slå seg på brystet. Dette er akkurat det cyberkriminelle er ute etter. Hvis ikke domener har DMARC i reject, er det ikke så vanskelig for nettkriminelle å forfalske en e-postadresse og sende e-post som ser ut til å komme fra en helt annen adresse, påpeker Westman.

At så store organisasjoner ikke er bedre beskyttet er uforsiktig og alvorlig, spesielt gitt de urolige tidene vi lever i, mener han.

– De mange løsepengevirusangrepene som har fått stor oppmerksomhet den siste tiden, burde fungere som avskrekkende eksempler, men åpenbart ikke, sier han.