Fra Frederiksberg til Aarhus er der stadig ikke styr på helt basal it-sikkerhed. Men mest pinligt er det måske, at også Kommunernes Landsforening, KL, halter bagefter med at få implementeret et simpelt it-sikkerhedskrav, som skal forhindre at deres mailsystem nemt kan misbruges til phishing.
Radar lavede et forsøg, hvor vi kunne sende mails, der så ud til at komme fra KL’s administrerende direktør Kristian Vendelboe, som er tidligere departementschef i Indenrigsministeriet.
– Ja, jeg har modtaget mailen nu, lyder det fra en pressemedarbejder hos KL, da Radar sender mailen for at påvise den manglende sikkerhed.
39 kommuner dumper it-krav
I alt 39 kommuner dumper det meget simple tekniske minimumskrav, DMARC, som KL anbefaler alle kommuner at implementere, viser Radars test på hjemmesiden Sikkerdigital, som Politiets Efterretningstjeneste og Center For Cybersikkerhed står bag.
DMARC er et af statens 20 ufravigelige tekniske minimumskrav til alle statslige myndigheder, som for længst skulle være på plads.
It-konsulent Henrik Schack har forsøgt at råbe myndigheder, virksomheder og politikere op om problemerne med mailsikkerhed.
– Det er ved at være pinligt, for DMARC har haft 10 års fødselsdag, og det burde være nok tid. Det er ikke fordi, de ikke er blevet gjort opmærksomt på det, men jeg tror næsten, at de undlader at implementere det i trods, siger han.
Og særligt i en krigstid bør alle tage sikkerheden på nettet alvorligt, da danske myndigheder og virksomheder ifølge Center for Cybersikkerhed er i højrisiko for at blive udsat for hackerangreb.
– Deres domæne står til fri afbenyttelse til at sende emails af folk fra hele verden. Specielt i en krigstid er det dumt ikke at have styr på noget helt basal sikkerhed, siger Henrik Schack, der anslår, at det vil tage en halv arbejdsdag at implementere det.
Henning Mortensen, der er formand for Rådet Digital Sikkerhed, mener også, at det er et stort problem for kommunerne.
– Offentlige myndigheder har generelt høj grad af troværdighed, og derfor vil almindelige brugere være mere tilbøjelige til at klikke på mails fra myndighederne. Derfor er det vigtigt at alle myndigheder – herunder kommuner – implementerer DMARC. Man må sige, at der er rum til forbedring hos kommunerne, siger Henning Mortensen.
KL: Vi er i gang
Radar ville gerne vide hvad KL’s øverste chef tænker om, at vi kunne misbruge hans mail.
I stedet har vi modtaget et skriftligt svar fra kontorchef i Digitalisering & Teknologi Pia Færch på vores spørgsmål om, hvorfor KL ikke lever op til basal it-sikkerhed.
– Vi anbefaler alle kommuner, at de bruger de 35 anbefalede tekniske minimumsstandarder, der findes på KL’s videnscenter. Anbefalingen af DMARC er en af dem. Det har vi løbende dialog med kommunerne om. KL er selv i gang med implementering af DMARC for at få bedre IT sikkerhed på mail, siger Pia Færch.
Sådan gjorde vi
Spoofing eller fupmail giver sig ud for at komme fra en troværdig myndighed eller person med henblik på at få adgang til privat oplysninger – som dit brugernavn og password eller netbanksoplysninger.
I det her tilfælde ville ondsindede hackere kunne bruge fx KL’s direktørs mail til at skaffe oplysninger fra eksterne leverandører eller sprede misinformation.
Radar har testet de forskellige kommuners domæner på sikkerpånettet.dk for at finde frem til bristen.
Radar har gjort KL opmærksom på, at vi ville sende en fupmail.
Kommuner uden DMARC
‘Formålet med DMARC er give mailmodtagere mulighed for at
opdage forsøg på email–spoofing, hvor en afsender udgiver
sig for at være en anden. Ved at implementere DMARC på
alle domæner reduceres risikoen for myndighedens domæ-
nenavne kan misbruges til udsendelse af phishing– eller
spam–mails.’
Allerød, Ballerup, Billund, Brønderslev, Egedal, Faaborg-Midtfyn, Fredericia, Frederikshavn, Frederiksberg, Frederikssund, Gribskov, Guldborgssund, Gribskov, Helsingør, Hjørring, Holbæk, Høje Taastrup, Langeland, Lejre, Mariager Fjord, Middelfart, Morsø, Nordfyns, Odder, Odsherred, Randers, Rebild, Rødovre, Roskilde, Rudersdal, Skive, Slagelse, Solrød, Sønderborg, Struer, Thisted, Vejle, Vesthimmerland
Kilde: Sikkerdigital.dk
