It-sikkerheden sejler hos offentlige forsyningsvirksomheder

Uddaterede Windowsmaskiner, manglende forsigtighed over for e-mails og ukendskab til data og servere er blandt årsagerne til, at it-sikkerheden i offentlige virksomheder er alt for dårlig. Det var flere fagfolk enige om på en netop afholdt konference for it-sikkerhed i forsyningssektoren.

»Når vi kontakter en offentlig virksomhed og oplyser, at den sandsynligvis er kompromitteret, oplever vi typisk, at man ikke har overblik over virksomhedens netværksstruktur.«

Det sagde centerchef Thomas Lund-Sørensen, Center for Cybersikkerhed, til lidt over 100 deltager fra forsyningssektoren, myndigheder og konsulentvirksomheder på Danmarks første konference om it-sikkerhed i energi- og forsyningssektoren, som blev afholdt i denne uge i København.

»Vi har således oplevet, at en virksomhed har afvist kendskabet til en server, der er inficeret, selv om serveren er en del af virksomhedens netværk,« fortsatte han.

Awareness er afgørende

Hos rådgivningsvirksomheden PWC fortæller partner Mads Nørgaard Madsen samme historie.

»Vores kunder har typisk ikke styr på, hvor data ligger,« fortæller han.

Hos PWC er man ikke i tvivl om, at forsyningssektoren vil blive offer for cyberangreb, og mener, at manglende awareness i virksomhederne er et af de svage led i kæden.

Og her bakkes han op af både chefkonsulent Peter Kjær Hansen fra Dansk Energi og sikkerhedsekspert Peter Kruse fra CSIS Security Groupe.

Peter Kjær Hansen peger på, at awareness blandt de ansatte i forsyningssektoren er afgørende for sikkerheden, men desværre er et område, der mangler fokus.

126.000 virksomheder kompromitteret

Peter Kruse forklarer, at han har talrige af eksempler på tilfælde, hvor medarbejdere åbner vedhæftede filer i mails uden først at kontrollere, om afsenderen er valid.

»Vores erfaring viser, at hackere har utrolig stor held med phishing-angreb,« forklarer han.

Ifølge Peter Kruse har han og CSIS Security Group kendskab til, at it-systemer i over 126.000 danske virksomheder p.t. er kompromitteret - heriblandt nogle af landets mest kendte selskaber.

Angrebene er oftest af hybrid karakter, hvor hackeren udnytter en manglende awareness til at plante en malware, der giver sig selv rettigheder på den kompromitterede maskine og på den måde 'gemmer sig' i en virksomhed.

Et lige så stort problem for sikkerheden er ifølge Mads Nørgaard Madsen, at der i Danmark står 100.000 Windows-servere, der er gået end-of-life og derfor ikke længere supporteres af Microsoft.

Beredskab ifølge EU

Fuldmægtig Jens Christian Vedersø fra Energistyrelsen mener, at energi- og forsyningssektoren har behov for et nyt beredskabsniveau med fokus på it-sikkerhed, men fastslår, at ansvaret for sikkerheden ligger lokalt hos den enkelte leverandør.

Han henviser i den forbindelse til anvisningerne i EU-Kommissionens NIS-direktiv, som skal sikre et højt fælles niveau for net- og informationssikkerhed i alle EU-lande.

Opdateret: Efter rettelse fra Peter Kruse er tallet 600.000 rettet til 126.000.

Følg forløbet

Kommentarer (39)

Anne-Marie Krogsbøll

Det ville jo næsten være et mirakel, hvis tilstandene ikke var som beskrevet i forsyningssektoren, når det er sådan det er i resten af samfundet. Forventeligt, men deprimerende.

"Peter Kruse forklarer, at han har talrige af eksempler på tilfælde, hvor medarbejdere åbner vedhæftede filer i mails uden først at kontrollere, om afsenderen er valid."
Det udløser et amatørspørgsmål fra mig: Hvordan kontrollerer man det? Handler det bare om tommelfingerreglen med ikke at åbne mails fra afsendere, man ikke kender, eller skal man gøre et eller andet mere aktivt for at sikre sig?

"Fuldmægtig Peter Kjær Hansen fra Energistyrelsen mener, at energi- og forsyningssektoren har behov for et nyt beredskabsniveau med fokus på IT-sikkerhed, men fastslår, at ansvaret for sikkerheden ligger lokalt hos den enkelte leverandør."
Hvorfor er det en selvfølge? Hvis man uddelegerer disse opgaver til private firmaer, så forventer jeg som borger, at det offentlige har ansvaret for at føre et grundigt tilsyn med, om sikkerheden er i orden. Ansvaret for at følge op på, om det fungerer tilstrækkeligt forsvarligt, er et offentligt ansvar, som ikke kan uddelegeres til private (med mindre det netop er kontrollen med sikkerheden, der er deres primære opgave, og selv har det offentlige også et ansvar) - efter min opfattelse.

At henvise til, at ansvaret ligger hos de private aktører er jo netop det, der gør, at der typisk ikke er nogen, der har styr på disse ting - og at huller først opdages, når det går galt. Hvorefter alle børster ansvaret af sig "det ligger hos de andre"...

Mads Bendixen

Det offentlige har brug for et Datatilsyn der kan (har tid, viden etc.) til rent faktisk at føre tilsyn og give råd og vejledning til de offentlige virksomheder og myndigheder. De skal fastsætte krav og retningslinjer til f.eks. it-sikkerheden, så der istedet for ord som "brug stærk kryptering" sættes reelle krav bag, i stedet for det er fri for fortolkning. Desuden er det et område hvor barren løbende hæves, hvorfor hvad der for 3 år siden var "stærk kryptering" ikke nødvendigvis er det længere.

Maciej Szeliga

Det udløser et amatørspørgsmål fra mig: Hvordan kontrollerer man det? Handler det bare om tommelfingerreglen med ikke at åbne mails fra afsendere, man ikke kender, eller skal man gøre et eller andet mere aktivt for at sikre sig?


Hej Anne-Marie

Kort svar: Det kan man SLET ikke og det ved Peter Kruse også godt, SMTP (protokollen som overfører mails) er skruet sammen på en måde som gør at det eneste der checkes for er om mail adresserne i afsender, modtager, CC og BCC er skruet rigtigt sammen dvs. om der er et @ i og at der ikke er ugyldige tegn i. Jeg kunne i princippet sende en mail til enhver som ville dukke op hos dem med dig som afsender... nogle ISP'ere checker det men det kan de kun på hjemmeforbindelser.
Det man kan/bør checke er de servere som mailen er kommet igennem - det kan man se i headeren men det kræver en ekstra operation inden man åbner vedhæftninger... og så skal man ofte gennem yderligere en ekstra operation fordi man jo kan køre gennem anden mailserver end den som hedder noget med samme domæne som det man har i mailadressen (f.eks. hvis man kører med hosted Exchange eller ekstent udgående spamfilter).
Der findes div. udvidelser (f.eks. SPF, RFC7372: https://tools.ietf.org/html/rfc7372 ) men de er ikke Internet Standarder endnu (og nogle af de løsninger kræver ekstra infrastruktur på nettet, hvilket betyder ekstra udgifter og potentielt ekstra problemer).

SMTP er bygget op som en "send og glem" løsning på samme måde som alm. post, når en server modtager en mail så checker den hvilken mailadresse den skal til skærer alt fra venstre til og med @ væk og spørger sin DNS server om MX (mailexchanger) for det domæne og så sender mailen dertil, hvis modtagerserveren accepterer mailen svarer den 250 OK og så er mailen dens problem... hvis modtagerserveren ikke svarer på "opkaldet" så venter serveren og prøver igen flere gange og hvis den ikke kan afleveres efter 48 timer (det er anbefalet standard indstilling) så returnerer serveren til afsenderen. Hvis mailadressen er ugyldig (enten ingen gyldig MX fundet eller MX'eren ikke ved hvad den skal gøre med mailen) så får man en 5XX fejl retur med det samme (55X er typisk noget med modtagerens postkasse, f.eks. at den ikke findes eller at den er fuld).

Håber det ikke blev al for meget volapyk...

Johnnie Hougaard Nielsen

Det tal lyder meget højt. Danmarks Statistik har 2013-tal på lidt under 300.000 virksomheder, hvor af en ikke lille del må antages at mangle fysisk eksistens, såsom "selskaber" der kun har som formål at indgå som led i hvordan penge flyttes rundt i deres karruseltur udenom gener som skat og offentlighed. Og bare en antagelse om at samtlige virksomheder er kompromitteret synes lidt for sensationel.

Johnnie Hougaard Nielsen

Hvordan kontrollerer man det? Handler det bare om tommelfingerreglen med ikke at åbne mails fra afsendere, man ikke kender

Selv om Maciej har ret i at en effektiv kontrol er umulig, med mindre afsender er med i et koncept hvor der sikres at afsender ikke er forfalsket, synes jeg nu at det rækker et stykke af vejen med en vurdering af om mailen er "påfaldende overraskende" (i høj grad også ved et genkendt afsender navn, det kunne tænkes at afsender er blevet hacket).

En "nem måde" at mindske risikoen er i øvrigt at bruge et godt webmail system, som Gmail. De gør meget for at fange mistænkelige mønstre, og komme med eksplicitte advarsler, eller direkte i spam mappen. En risiko er jo det med at åbne vedhæftede filer. Her kunne jeg aldrig finde på at "stille min nysgerrighed" ved at åbne i fx Word/Excel, men i stedet gå gennem en web-baseret løsning. Derved er eventuel skadelig kode udenfor min computer, og jeg har basis for (igen) at forholde mig til troværdigheden.

Bent Jensen

"Peter Kruse forklarer, at han har talrige af eksempler på tilfælde, hvor medarbejdere åbner vedhæftede filer i mails uden først at kontrollere, om afsenderen er valid."

Afsender kan være inficeret, eller mail adr kan ligne så meget at man ikke ser det i en travlt dag. Hvis den eneste sikkerhed for ikke at få virus er at travle, ikke sikkerheds udannet mennsker ikke skal trykke på en knap. Så er jeg mere forundret over at de bliver angrebet så lidt.

Hvad bestiller vedhæftet filer og mail på en maskinne og net som styre noget kritisk
?

Anne-Marie Krogsbøll

hej Maciej:

Tak for svaret - har i perioder forsøgt mig med at få vist hele headeren, men er lidt lost mht. at vurdere, om den så ser ud som den skal.

Så jeg går ud fra, at for den almindelige bruger er der ikke så meget andet at gøre end at forlade sig på tommelfingerreglen, og så håbe på, at systemadministrator har styr på kritiske opdateringer, firewalls og antivirus :-(

Anne-Marie Krogsbøll

Johnnie Hougaard Nielsen :

Tak for uddybning. Jeg vidste ikke, at det var specielt risikabelt at åbne i f.eks. Word - der har jeg da vist ofte dummet mig.

Hvordan med Thunderbird Mail på Linux- er der også noget der, man skal passe på mht. at åbne vedhæftninger?

Mht. gmail så troede jeg, at det var en af de "slemme" mht. indsamling af personoplysninger - hvis det er rigtigt, så overtrumfer det for mit vedkommende evt. andre fordele ved gmail :-)

Christian Nobel

SMTP er bygget op som en "send og glem" løsning på samme måde som alm. post

Mit største ønske er en ny mailstandard, nemlig hvor der blev bygget et lag intelligens ind, og det behøvede faktisk ikke være ret svært - men klart en ny standard vil være problematisk, nu vi er sovset ind i det gamle standarder.

Men det burde foregå på denne måde:

Forudsætning: to valide domæne med tilknyttet mailserver, f.eks. szeliga.dk og nobel.dk (jeg ejer det ikke, så lad være med at prøve!).

Når jeg så skulle sende en mail til Marciej skulle det foregå på denne måde:

  1. nobel.dk kontakter marciej.dk og fortæller at der er en post fra christian til marciej.

  2. marciej.dk siger til nobel.dk: fint, jeg vender tilbage.

  3. marciej.dk laver DNS opslag (for guds skyld ikke misforståelsen rDNS) på nobel.dk og kontakter nobel.dk.

  4. marciej.dk spørger så nobel.dk om der er en oprettet bruger ved navn christian der har en mail i kø til marciej.

  5. nobel.dk svarer ja.

  6. marciej beder derefter nobel.dk om at overføre mailen.

På denne måde ville det kun være muligt for legale brugere, på legale domæner at sende mails, men samtidig ville man ikke lave et system der var omklamret af overformynderi.
Det ville ikke kræve de store ændringer i forhold til i dag, men ville gøre en verden til forskel fsva. spam mv.

Men hvordan kommer man igennem med sådan et forslag?

Maciej Szeliga

Så jeg går ud fra, at for den almindelige bruger er der ikke så meget andet at gøre end at forlade sig på tommelfingerreglen, og så håbe på, at systemadministrator har styr på kritiske opdateringer, firewalls og antivirus :-(


Det er desværre korrekt.
Virksomheder kan abonnere på filtrerede DNS tjenester (det leverer CSIS f.eks.)... men det er selvf. ikke gratis, de blokerer for forbindelser til servere som spreder malware. I de fleste tilfælde får man en link i mailen så man selv henter filen med malware, det kræver et DNS opslag som så ender med at pege ud i "den blå luft" i stedet for den server som har malwaren.

Christian Nobel

Tak for svaret - har i perioder forsøgt mig med at få vist hele headeren, men er lidt lost mht. at vurdere, om den så ser ud som den skal.

Hovedparten af phising og malware er trods alt rettet mod Windows, så allerede der er du en del sikrere.

Og så drejer det sig om sund fornuft - jeg sletter konsekvent mails som ser bare det mindste mærkelige ud, eller kommer fra nogen som jeg på ingen måde har noget med at gøre.

Hvis der eksempelvis kommer en phising mail fra nogen der kalder sig noget ala Den Danske Bank, YouSee, Telia eller lignende, så ryger det helt reflektorisk i skraldespanden, uagtet det er phising eller ej - jeg ringer heller ikke tilbage til folk jeg ikke kender, hvis det er vigtigt, så ringer de nok igen.

Og mails der bare indholder et link, fra nogen mig fuldstændig ukendte ryger også bare ud - og så skal man selvfølgelig også se på sproget, for 99% er skrevet på et mere eller mindre ubehjælpeligt dansk.

Så igen, sund fornuft og kritisk sans kommer man langt med - desværre er det dyder der i højere og højere grad er ved at være en mangelvare.

Johnnie Hougaard Nielsen

Hvordan med Thunderbird Mail på Linux- er der også noget der, man skal passe på mht. at åbne vedhæftninger?

Nu er det længe siden jeg har kørt Thunderbird, men mit indtryk er at den hører til i "den bedre ende" omkring sikkerhed. Fornylig meldte Mozilla dog ud at de ikke længere vil fokusere deres kræfter på Thunderbird, og så får vi se om den ganske lille gruppe brugere er "nok" til at nogen holder dampen oppe.

Hvad Gmail angår, findes der jo nogle, der yder at hævde at Google laver ekstrem overvågning og dataindsamling. Disse påstande florerer uden beviser, så de bliver et spørgsmål om tro og rygtespredning. Men det må være op til den enkelte om disse farverige påstande skal vægtes højere end hvad hvad der er substans bag. NSA havde dog via fiberselskaber lavet indbrud i infrastrukturen hos bl.a. Google, hvilket har ført til at kommunikationen mellem datacentrene nu krypteres.

Samme teknik med at lytte på fibre giver selvfølgelig vid adgang til Internet trafik, som f.eks. mail. Det vil sige at klassisk Internet mail (uden kryptering ovenpå) giver langt flere punkter hvor indholdet kan opsnappes.

Når jeg anbefaler webmail (ikke kun Gmail) hænger det sammen med at langt de fleste brugere ikke kan holde en lokal mail klient i et miljø som er effektivt beskyttet mod digitale indbrud. Her har webmail udbyderne hold af specialister som gør et stort og konstant arbejde for at opretholde sikkerheden. Den almindelige bruger vil få langt bedre sikkerhed mod målrettet hacking ved at bruge webmail.

Men den enkelte må selvfølgelig selv afveje sit tekniske fundament, vilje til vedligeholdelse, og graden af mistro til større service udbydere. Hvad der skal til for at føle sig tryg er ikke lineært forbundet med graden af risiko.

Hvad Word angår, er sagen at "smarte features" kan indebære at der køres kode når et dokument åbnes. Og historien viser at der har været svagheder som gav adgang ud på resten af computeren. Sådanne huller bliver selvfølgelig løbende lukket, men software er jo ikke perfekt. Og ikke alle har sørget for løbende opdateringer af Office.

Anne-Marie Krogsbøll

Tak for svaret, Christian.

Jeg har ikke forudsætninger for at vurdere dit forslag med "Maciej.dk til Nobel.dk", men det lyder smart :-)

Phishing-mails tror jeg, jeg oftest vil opdage, hvis det ikke ligefrem er noget med falsk afsender. I så fald håber jeg, at det er tids nok at opdage, at selve teksten måske ser mærkelig ud.

Det er værre med evt. inficerede vedhæftede filer. Jeg modtager en del vedhæftninger i min thunderbird mail på Linux - fra offentlige institutioner, som jeg har bedt om en eller anden aktindsigt. Og når jeg hører om det rod, der er med IT-sikkerhed, så kan jeg da være bekymret for, hvor "rene" man kan regne med, at sådanne vedhæftninger er.

Men jeg håber, at jeg er rimeligt beskyttet, når jeg åbner dem i Linux, selv om det ofte er word-dokumenter?

Men udgangspunktet for artiklen var jo offentlige forsyningsvirksomheder (fik lige afsporet det, sorry), og der lyder det da som om, det bør være på et niveau højere end brugerniveau, hvis man skal sikre mod skidt og møg i mails.

Men sådan er der så meget mærkeligt indenfor det offentlige mht. IT-sikkerhed. I dag kom jo historien om Region Hovedstaden, der ikke gider passe på adgangen til patientjournalerne: http://www.dr.dk/nyheder/indland/region-hovedstaden-har-sjusket-med-pati...

Maciej Szeliga

Men hvordan kommer man igennem med sådan et forslag?


Hej Christian

Det er jo faktisk forbavsende nemt i teorien: man skriver en RFC (hos ietf.org) og håber at tilstrækkeligt mange nørder syntes at RFC'en lyder intelligent mok til enten at prøve at implementere den eller at komme med ideer til forbedringer... hvis man evt. allierede sig med nogen som kunne lave en proof of concept implementering (det er desværre ikke lige mit område, ellers ville jeg selv) så folk kunne prøve det i praksis.
Jeg ville lige foreslå at kryptering bør være en del af det, så kunne det kaldes AMTP. (Advanced Mail Transfer Protocol).

Kasper Sandberg

tiltag som dkim hjælper dog noget, og for eksempel gmail bruger det jo.

ved godt det ikke fikser problemet med at afsender computeren kunne være inficeret, eller lignende problemstillinger, men hvis langt flere implementerede dkim ville det hjælpe en del med at tjekke op på om det kommer fra det korrekte sted.

Ville selvfølgelig også kræve ordentlig implementering i mail klienter, da folk næppe gider tjekke headers selv

Henrik Schack

Det udløser et amatørspørgsmål fra mig: Hvordan kontrollerer man det? Handler det bare om tommelfingerreglen med ikke at åbne mails fra afsendere, man ikke kender, eller skal man gøre et eller andet mere aktivt for at sikre sig?


Hej Anne-Marie
Næste generation email sikkerhed blev faktisk "opfundet" for lidt over 4 år siden.
Systemet hedder DMARC, man kan læse om det her http://dmarc.org og her https://tools.ietf.org/html/rfc7489
Alle de store mailbox udbydere har implementeret DMARC, herunder Google, Microsoft & Yahoo, man regner med et sted mellem 70 & 80% af verdens mailboxe er beskyttet af DMARC.
DMARC kræver imidlertid også en indsats af de firmaer som afsender email, og her går det rigtig skidt når vi taler danske virkesomheder, vi mildt sagt en del år efter udviklingen.
Mange udenlandske firmaer har anvendt DMARC i årevis for at beskytte brugerne (og sig selv) mod phishing, et par eksempler er : Facebook, Netflix, Paypal, Twitter.

I praksis betyder DMARC at man f.eks IKKE kan lave en falsk email med noreply@paypal.com stående i From: feltet, og sende den til en gmail adresse, den vil kort og godt blive afvist i døren, uden den tænkte modtager nogensinde behøver at tage stilling til nogetsomhelst.

Hvis du nu sikker og tænker, hold da fast, det burde Bankerne, SKAT, NemID og NETS da få implementeret i en fart, så kan jeg kun sige: Enig!, jeg ved ikke hvad de venter på :-)

Henrik Schack
Brian Hansen

Med at nægte samtlige mailservere der ikke bruger simple ting som DMARC, SPF osv. net-adgang.
Der er desværre forsat rigtigt meget gammelt skrammel på nettet, der er alt for nemt at misbruge.
Og der er mindst lige så meget gammelt skrammel der er meget modtagelige for mails der burde fejle enhver sanity check.

Peter Kruse

Jeg har behov for lige at rette et par misforståelser i denne artikel:

1) Jeg havde fokus på at spear phishing er utroligt svært at gennemskue for en almindelig medarbejder. Jeg taler ikke om SMTP protokolen.

2) Der er 126.000 inficerede maskiner i Danmark (jvf vores statistik fra sidste uge). Tallet er velsagtens en del højere, men det er de infektioner, vi kan monitorere på. Jeg ved ikke hvor 600.000 kommer fra.

/Peter

Johnnie Hougaard Nielsen

Med at nægte samtlige mailservere der ikke bruger simple ting som DMARC, SPF osv. net-adgang.

DMARC implementering er ved at komme dertil hvor Global Mailbox Providers Deploying DMARC to Protect Users indebærer fx at Google erklærer "Google is committed to email authentication. In June of 2016, we will be taking a big step by moving gmail.com to DMARC policy p=reject". Også Yahoo tager lignende skridt, og jeg vil formode at mange virksomheder allerede har gjort noget tilsvarende, selv om det jo er nævnt at der også er væsentlige mangler her.

Det er nok også mere realistisk at modtager mail server står for at checke mod header fusk, end at nægte netadgang til en mail server uden disse beskyttelser. Der er jo mange veje til at komme på nettet, så det holder næppe med en grænsebom.

René Nielsen

Hvis det har interesse, så har Zoho (https://www.zoho.com) en gratis email løsning som er relativ sikker og findes som webklient og som traditionel email klient og som apps til din telefon. Zoho filterer det meste spam fra.

Du kan vælge zoho domænet eller dit eget emaildomæne - det sidste kræver at du retter i din DNS og så længe vi taler om under 10 email konti er det gratis, selvom de naturligvis gerne vil sælge dig "den fulde palette" af produkter.

Jeg bruger Zoho til mig selv, min kone og børn, som yder en nogenlunde beskyttelse. Vi har hver en konto samt en delt konto som vi kalder slammails. Den sidste bruger vi, når vi ikke ønsker at forurene vor egen emailadresse. Denne emailkonto sletter vi løbende og bliver kun brugt når vi skal lave en profil på en hjemmeside, hvor vi ikke ønsker at modtage 500 emails om dagen bagefter.

Ivar Hansen

Som deltager i den nævnte konference må jeg desværre sige, at såvel overskrift som indhold i denne artikel er temmelig unuanceret. Det er korrekt, at sikkerhed ikke har nok fokus i alle virksomheder, men der blev på konferencen også vist praktiske eksempler på, at der er godt styr på det andre steder. Der er en udfordring omkring sikkerhed, det er vi enige om, men det er efter min mening ikke så slemt, at der ikke er tænkt sikkerhed i branchen. Alt står ikke piv-åbent alle steder. Af 126.000 systemer, hvor mange er så kritiske i forhold til person- og forsyningssikkerhed? Man kan ikke sikre alt, men er nødt til at prioritere.
Jeg synes også man skylder at nævne, at når det handler om phishing kommer man langt med awareness og nogle skærpede processer på it-beredskabet. Bare et forsøg på at nuancere det en smule :-)

John Foley

Ja, det er deprimerende læsning, men desværre ikke noget nyt , der fortælles. Konferencens konklusion er, at det er på høje tid at der etableres et Nationalt Cybersikkerheds Råd på strategisk niveau, som et Private-Public Partnership.
Den nuværende indsats fra både det offentlige og private er for fragmenteret og ukoordineret. Det nytter ikke at man bliver ved med at pege fingre ad hinanden, der skal samarbejde, styrke og handling til - her og nu. Og det er jeg ved at gøre noget ved, idet der snakkes for meget og handles for lidt.
Center for Cybersikkerhed og alle de andre der gav indlæg på konferencen, vil kunne skrive og sige nøjagtigt det samme igen om et år. Intet vil være forbedret, ingen tager ansvar og alle perger fingre ad hinanden, og vil sige, at det er de andres skyld, når katastrofen rammer.

Lasse Mølgaard

I udlandet ja, der er mange virksomheder som har implementeret DMARC.
I Danmark drejer det sig vel om noget i stil med et par håndfulde eller deromkring.
Der er virkelig plads til forbedring :-)

Selv syntes jeg det var lidt af en mundfuld at få SPF, DKIM og DMARC til at virke med min server, men Unlock The Inbox gjorde det noget nemmere for mig.

Specielt deres test mail adresse er god til at finde ud af om man har konfigurerer sin server korrekt. :-)

Claus Jensen

Igen har vi en sag i DK, hvor manglen på seriøse Privileged Identity Management / Privileged Account Security-løsninger idag er et altoverskyggende problem. Tyveri af administratorers credentials er alt alt for let idag, fordi sikkerheden omkring passwords som oftest er en joke. Visse Adm's brug af samme credentials til eget login såvel som privileged login har vi også fra tid til anden hørt om - hvilket jo er en regulær katastrofe. Vi har desuden på det seneste kunnet læse om Region Hovedstaden, hvor 'Segregation of Duties' tydeligvis er ikke-eksisterende. Således har tusindvis af brugere - som ej længere er ansat - stadig adgang til følsomme patientdata....Stram nu op venner!

Johnnie Hougaard Nielsen

Der er nogen der allerede har forsøgt:

https://en.wikipedia.org/wiki/Internet_Mail_2000

Når konceptet bygger på at mail lagres på afsender-siden, uden at blive kopieret til modtager, forstår jeg nu godt at entusiasmen for en "revolution" ikke er så stor. Der kan ske så meget med en mail server, også ud over myndigheders indgreb, at det ville give for stor risiko for at afsendt mail forsvinder fra modtagerne - vel at mærke også efter første læsning af noget det kunne være interessant at kunne vende tilbage til.

Anne-Marie Krogsbøll

Sagen i Region Hovedstaden uddybes her:
http://www.dagensmedicin.dk/nyheder/20000-har-ulovligt-adgang-til-patien...

Man har ikke engang logget, hvem der har været inde i data, så vidt jeg kan forstå.

Hvordan kan den slags fejle? Der er jo love og regler om den slags. Er der ikke i Region Hovedstaden en instans, som har det som sit specifikke ansvarsområde at sikre, at almindelige persondatasikkerhed overholdes på sygehusene?

Hvis ikke, hvem har så truffet den beslutning, at en sådan instans vil vi ikke have?

Endnu engang må vi nok konstatere, at man nu vil "se fremad", frem for at forfølge, hvem der har misligholdt sit ansvarsområde. Det er jo sikkert en beslutning på politisk niveau, som ingen vil tage ansvaret for.

Christian Nobel

Når konceptet bygger på at mail lagres på afsender-siden, uden at blive kopieret til modtager, forstår jeg nu godt at entusiasmen for en "revolution" ikke er så stor.

Det er så heller ikke det jeg plæderer for, men at der lægges et ekstra led ind som checker validiteten af afsender, før posten leveres til modtagers mailserver, ligesom der kommer et delay når man benytter graylisting.

Johnnie Hougaard Nielsen

Det er så heller ikke det jeg plæderer for, men at der lægges et ekstra led ind som checker validiteten af afsender, før posten leveres til modtagers mailserver

Min kommentar gik kun på Internet Mail 2000.

Målsætningen med validitets check lyder jo smuk, men hvis det der med "ekstra led" kræver et ekstra infrastruktur lag (hos ISP, eller hvor?) lyder det som en hæmsko for udbredelse af tanken. Jeg læste ikke ordene som at det "kun" var at modtagers mail server skulle kunne nægte modtagelse uden at have set selve indholdet...

Som tingene er nu, kan der dog opnås noget lidt lignende, ved at lade en webmail server filtrere før en klient henter posten med POP3. Det løser ikke alt, men hvis DMARC derigennem får en bredere udbredelse, er det da en ikke ringe forbedring. Og mon ikke netop DMARC pt er det mest realistiske bud på en praktisk gennemførlig vej frem...?

Henrik Schack

Og mon ikke netop DMARC pt er det mest realistiske bud på en praktisk gennemførlig vej frem...?


Jo, det burde være muligt at gennemføre DMARC ideen.
DMARC bygger på gammelkendte teknologier (SPF & DKIM) så der skal som sådan ikke opfindes noget nyt, i bund og grund skal der egentlig bare ryddes op i eksisterende mailløsninger og tilføjes en ekstra DNS record.

Mogens Bluhme

De kendte applikationer såsom Word og Excel har en forfejlet udviklingshistorie over mange år. De er overdænget med overflødige features, som intet har at gøre med den funktionalitet, de er beregnet til - derfor de mange sikkerhedshuller. Hvorfor skal Word kunne åbne en pdf-fil? Og hvorfor åbner Word default hvis man bare skal skrive Hej i en mail med makroer, Base64 og jeg skal komme efter dig?

Det er ikke markedet, som har efterspurgt det - havde man spurgt brugerne, ville svaret være det samme som den klassiske UNIX-filosofi : lad et program gøre én og kun én ting - så lærer brugerne at søm skal slås i med en hammer og skruer betjenses af en skruetrækker.

Christian Nobel

Målsætningen med validitets check lyder jo smuk, men hvis det der med "ekstra led" kræver et ekstra infrastruktur lag (hos ISP, eller hvor?) lyder det som en hæmsko for udbredelse af tanken. Jeg læste ikke ordene som at det "kun" var at modtagers mail server skulle kunne nægte modtagelse uden at have set selve indholdet...

Prøv lige at læse en gang til hvad jeg skrev i går kl. 16:34.

Der skal ikke noget ekstra infrastruktur lag ind, udelukkende foretages en validering fra den modtagende postservers side at den afsendende server er legal, og at brugeren er oprettet på den.

Teknisk set burde det ikke være raket videnskab.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen