DIGST om manglende mail-beskyttelse i staten: »Vi forventer, at myndighederne vil tage hånd om opgaven«

Illustration: Nanna Skytte
DMARC-beskyttelse blev obligatorisk på alle statslige domæner 1. juli, men 60 mangler stadig at implementere teknologien, som Center for Cybersikkerhed har anbefalet i årevis. Nu skal de nølende myndigheder fremlægge en tidsplan for Digitaliseringsstyrelsen.

Som Version2 for nylig kunne fortælle, mangler 60 statslige domæner stadig at implementere den DMARC-beskyttelse mod mail-svindel, der blev obligatorisk for alle statslige myndigheder 1. juli.

Nu skal Digitaliseringsstyrelsen til at følge på må myndighedernes implementering af en række såkaldte ‘tekniske minimumskrav’ på sikkerhedsområdet, der blandt andet omfatter DMARC - og hvis man ikke er i mål, vil man blive afkrævet en tidsplan, lyder det i en skriftlig kommentar fra Marie Wessel, der er kontorchef for cyber- og informationssikkerhed i Digitaliseringsstyrelsen.

Læs også: Center for Cybersikkerhed: Alle statslige myndigheder skal have DMARC-politik på passive domæner i 2020

»Det ligger i opfølgningen i 2020, at myndigheden skal redegøre for en tidsplan for implementering af kravet, hvis myndigheden ikke overholder et af kravene,« udtaler hun.

»Vi har en forventning om, at myndighederne vil tage hånd om opgaven og sikre, at de kommer i mål med implementeringen af de tekniske minimumskrav, herunder DMARC. Det er vigtigt, så vi kan højne cyber- og informationssikkerheden på tværs af alle de statslige myndigheder.«

Hun understreger dog, at Digitaliseringsstyrelsen ikke har nogen hammer at slå de myndigheder oven i hovedet med, som ikke får implementeret DMARC.

»Minimumskravene følger ikke af lovgivning, og der er derfor ikke umiddelbart juridiske sanktioner ved manglende overholdelse.«

Center for Cybersikkerhed har anbefalet DMARC siden 2017.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Henrik Størner

Rigtig mange beslutningstagere er panisk angste for at de skal gå glip af en mail, der bliver afvist pga nogle regler som de ikke forstår. Eller endnu værre: At deres egen mail ikke kommer igennem fordi IT "roder med noget teknik".

Komplet irrationelt, men det er virkelighed når teknikken møder chef-laget.

Har selv haft udfordringen for nylig, og de statslige anbefalinger var klart en nyttig løftestang. Til efteråret skal vi så igang med at overtale til at have "p=reject" i stedet for "p=quarantine".

  • 7
  • 1
#4 Tom Paamand

Komplet irrationelt, men det er virkelighed

Som tidligere beskrevet - så er bekymringen for at miste mail uhyre rationel, hvis man fx er tvunget til kontakt via Google Mail. Og diverse kontoransatte venner oplever tilsvarende scenarioer, når IT-afdelingen "roder med noget teknik".

DMARC-anbefalerne lyder i mine ører generelt hallelujah-begejstrede, og gør hermed for lidt for at forklare panisk angste brugere hvorfor det så absolut er prisen værd at miste vigtige mails, og aldrig være helt sikre på, at beskederne får lov til at nå ufiltrerede frem.

  • 3
  • 1
#5 Søren Walther

Jeg mangler stadig en forståelse af hvorfor en rapporteringsfunktion hjælper med at sikre mails.

DMARC er ikke andet end et sted at opsamle information omkring hvordan SPF og DKIM ser ud til at fungere ud fra hvem der har modtaget mails der påstår at være afsendt fra ens domæne og kun hvis modtageren er sat op til at afsende de data til opsamlingsstedet.

/Søren

  • 1
  • 0
#6 Henrik Schack

Det er ekstremt brugbart ikke mindst i implementeringsfasen.

"Traditionelt" gør folk som de har lyst til med email.

Support afdelingen har nogle systemer som sender email.

Salg og marketing har nogle andre systemer.

Udviklerne måske nogle helt tredie løsninger.

At finde én person med et samlet overblik kan være svært.

Den udfordring løser DMARC rapporterne ganske elegant.

Hvis du i dine DMARC rapporter ser noget email fra Zendesk som mangler korrekte DKIM signaturer ved du at du skal have fat i suport folkene osv

  • 4
  • 0
#7 Povl H. Pedersen

Der skal være en omkostning ved IKKE at at implementere det for at der sker noget. Trusler om krav om tidsplan er ikke nok. Man sanktioneres vel ikke hvis tidsplanen ikke holder, udover måske et krav om en revideret tidsplan.

Hvorfor satte man ikke krav om tidsplan da man indførte reglerne ?

Krav om seneste endelige implenenteringsdato er åbenbart ikke noget statslige institutioner forstår.

Institutionerne reagerer forventeligt. De gør det billigste, nemlig ingenting. Det er forståeligt, og et stykke hen ad vejen i skatteydernes interesse. Private virksomheder ville gør det samme.

  • 1
  • 1
Log ind eller Opret konto for at kommentere