DIGST om manglende mail-beskyttelse i staten: »Vi forventer, at myndighederne vil tage hånd om opgaven«

11. august 2020 kl. 10:277
DIGST om manglende mail-beskyttelse i staten: »Vi forventer, at myndighederne vil tage hånd om opgaven«
Illustration: Nanna Skytte.
DMARC-beskyttelse blev obligatorisk på alle statslige domæner 1. juli, men 60 mangler stadig at implementere teknologien, som Center for Cybersikkerhed har anbefalet i årevis. Nu skal de nølende myndigheder fremlægge en tidsplan for Digitaliseringsstyrelsen.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Som Version2 for nylig kunne fortælle, mangler 60 statslige domæner stadig at implementere den DMARC-beskyttelse mod mail-svindel, der blev obligatorisk for alle statslige myndigheder 1. juli.

Nu skal Digitaliseringsstyrelsen til at følge på må myndighedernes implementering af en række såkaldte ‘tekniske minimumskrav’ på sikkerhedsområdet, der blandt andet omfatter DMARC - og hvis man ikke er i mål, vil man blive afkrævet en tidsplan, lyder det i en skriftlig kommentar fra Marie Wessel, der er kontorchef for cyber- og informationssikkerhed i Digitaliseringsstyrelsen.

»Det ligger i opfølgningen i 2020, at myndigheden skal redegøre for en tidsplan for implementering af kravet, hvis myndigheden ikke overholder et af kravene,« udtaler hun.

»Vi har en forventning om, at myndighederne vil tage hånd om opgaven og sikre, at de kommer i mål med implementeringen af de tekniske minimumskrav, herunder DMARC. Det er vigtigt, så vi kan højne cyber- og informationssikkerheden på tværs af alle de statslige myndigheder.«

Artiklen fortsætter efter annoncen

Hun understreger dog, at Digitaliseringsstyrelsen ikke har nogen hammer at slå de myndigheder oven i hovedet med, som ikke får implementeret DMARC.

»Minimumskravene følger ikke af lovgivning, og der er derfor ikke umiddelbart juridiske sanktioner ved manglende overholdelse.«

Center for Cybersikkerhed har anbefalet DMARC siden 2017.

7 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
7
13. august 2020 kl. 15:57

Der skal være en omkostning ved IKKE at at implementere det for at der sker noget. Trusler om krav om tidsplan er ikke nok. Man sanktioneres vel ikke hvis tidsplanen ikke holder, udover måske et krav om en revideret tidsplan.

Hvorfor satte man ikke krav om tidsplan da man indførte reglerne ?

Krav om seneste endelige implenenteringsdato er åbenbart ikke noget statslige institutioner forstår.

Institutionerne reagerer forventeligt. De gør det billigste, nemlig ingenting. Det er forståeligt, og et stykke hen ad vejen i skatteydernes interesse. Private virksomheder ville gør det samme.

6
12. august 2020 kl. 13:53

Det er ekstremt brugbart ikke mindst i implementeringsfasen.

"Traditionelt" gør folk som de har lyst til med email.

Support afdelingen har nogle systemer som sender email.

Salg og marketing har nogle andre systemer.

Udviklerne måske nogle helt tredie løsninger.

At finde én person med et samlet overblik kan være svært.

Den udfordring løser DMARC rapporterne ganske elegant.

Hvis du i dine DMARC rapporter ser noget email fra Zendesk som mangler korrekte DKIM signaturer ved du at du skal have fat i suport folkene osv

5
12. august 2020 kl. 11:41

Jeg mangler stadig en forståelse af hvorfor en rapporteringsfunktion hjælper med at sikre mails.

DMARC er ikke andet end et sted at opsamle information omkring hvordan SPF og DKIM ser ud til at fungere ud fra hvem der har modtaget mails der påstår at være afsendt fra ens domæne og kun hvis modtageren er sat op til at afsende de data til opsamlingsstedet.

/Søren

4
11. august 2020 kl. 13:17

Komplet irrationelt, men det er virkelighed

Som tidligere beskrevet - så er bekymringen for at miste mail uhyre rationel, hvis man fx er tvunget til kontakt via Google Mail. Og diverse kontoransatte venner oplever tilsvarende scenarioer, når IT-afdelingen "roder med noget teknik".

DMARC-anbefalerne lyder i mine ører generelt hallelujah-begejstrede, og gør hermed for lidt for at forklare panisk angste brugere hvorfor det så absolut er prisen værd at miste vigtige mails, og aldrig være helt sikre på, at beskederne får lov til at nå ufiltrerede frem.

3
11. august 2020 kl. 12:39

Rigtig mange beslutningstagere er panisk angste for at de skal gå glip af en mail, der bliver afvist pga nogle regler som de ikke forstår. Eller endnu værre: At deres egen mail ikke kommer igennem fordi IT "roder med noget teknik".

Komplet irrationelt, men det er virkelighed når teknikken møder chef-laget.

Har selv haft udfordringen for nylig, og de statslige anbefalinger var klart en nyttig løftestang. Til efteråret skal vi så igang med at overtale til at have "p=reject" i stedet for "p=quarantine".

2
11. august 2020 kl. 12:06

Hej Sidsel,

Tak for din kommentar - og jo, vi kigger nærmere på det inden længe.

Mvh Adam

1
11. august 2020 kl. 11:56

Kunne journalisterne på Version2 ikke kontakte nogle af de instanser som endnu ikke har fået indført DMARC og spørge dem, hvad det er der blokerer for udrulningen? Det kunne være interessant at få et indblik i.