At cyberkriminelle benytter sig af såkaldte spoofede e-mailadresser ved phishing er et stort sikkerhedsproblem. Kort fortalt betyder det, at cyberkriminelle kan sende e-mails, der ser ud til at komme fra en legitim organisation. Ved hjælp af denne procedure kan man få adgang til følsomme oplysninger – såsom loginoplysninger og finansielle oplysninger – og udføre bedrageri.

En måde, hvorpå virksomheder og myndigheder kan beskytte sig mod denne type hændelser, er ved at implementere en DMARC-beskyttelse. DMARC er en valideringsprotokol, der er designet til at forhindre cyberkriminelle i at bruge virksomhedens domænenavn, og som sikrer afsenderens identitet, før en meddelelse sendes.

Men mange nordiske virksomheder mangler implementering heraf. Proofpoint har kortlagt de 25 største virksomheder (OMX 25) på det respektive nordiske marked. Dels er der store forskelle landene imellem, dels er tallene generelt lave.

• Danmark er generelt bedst – hvor 44 procent af virksomhederne har implementeret det anbefalede niveau af DMARC, kaldet reject, og som indebærer, at alle mistænkelige e-mail stoppes, inden de når frem til modtageren. 36 % af myndighederne har påbegyndt arbejdet med DMARC – men har ikke nået reject-niveauet. 20 % af virksomhederne har ikke engang påbegyndt arbejdet med DMARC.

• Blandt de nordiske virksomheder ser det værst ud i Norge. Kun 28 % af de norske virksomheder har implementeret det anbefalede niveau af DMARC, og 48 % har slet ikke påbegyndt arbejdet med DMARC. Helt konkret betyder det, at næsten halvdelen af de norske virksomheder helt mangler beskyttelse mod domænespoofing.

• I Sverige har 28 % implementeret det anbefalede niveau af DMARC, mens 32 % ikke har påbegyndt arbejdet med DMARC. 40 % har påbegyndt arbejdet, men endnu ikke nået reject-niveau, men er i karantænestatus, hvor e-mail sendes til en indbakke i karantæne.

• I Finland har 36 % implementeret det anbefalede niveau. 40 % af virksomhederne har ikke påbegyndt arbejdet med DMARC, hvilket betyder, at 60 % fortsat lader de besøgende være ubeskyttet mod potentielt bedrageri.

– Det er interessant, at Danmark kan fremvise de bedste tal. I dag er det ifølge dansk lovgivning et grundlæggende krav, at statslige myndigheder har DMARC på reject-niveau. Muligvis har det også haft en vis effekt i den private sektor, fortæller Örjan Westman, nordisk chef hos Proofpoint.

Men uanset land er det ifølge Örjan Westman dystre tal. Han advarer samtidig om, at manglen på tilstrækkelig e-mailbeskyttelse kan få alvorlige konsekvenser.

– Tallene burde absolut være meget bedre hele vejen rundt, og Danmark har ingen grund til at slå sig for brystet. Det er præcis det, de cyberkriminelle er ude efter," fortæller Örjan Westman. Hvis domæner ikke har DMARC i reject-niveau, er det ikke særlig svært for cyberkriminelle at spoofe en e-mailadresse og sende e-mails, der ser ud til at komme fra en helt anden adresse. At disse store organisationer ikke er bedre beskyttet, er skødesløst og alvorligt, navnlig i disse urolige tider. De mange ransomware-angreb, der har fået stor opmærksomhed i den senere tid, burde fungere som afskrækkende eksempler, men åbenbart ikke, fortæller han.

Om DMARC

DMARC er en valideringsprotokol, der hjælper med at reducere risikoen for e-mailsvindel. DMARC-godkendelse er baseret på etablerede DomainKeys Identified Mail (DKIM) og Sender Policy Framework (SPF)-standarder for at sikre, at e-mailen ikke forfalsker domænet. Denne godkendelse beskytter medarbejdere, kunder og partnere mod cyberkriminelle, som stjæler og sender mails, der ser ud til at komme fra et pålideligt domæne.