NRK har kunnet fortelle hvordan britiske myndigheter har stoppet over 300 millioner svindeleposter fra å nå epostboksene til internettbrukere.
Britene har tatt i bruk en teknologi som gjør at bare eposter som faktisk kommer fra myndighetenes systemer skal komme fram til innboksen hos vanlige nettbrukere.
Teknologien bruker et sett med tekniske regler for å sikre at epostene er ekte, og ikke brukes til svindel. For bruk av forfalskede avsender-adresser er veldig vanlig på internett for å lettere kunne lure vanlige folk til å gi fra seg informasjon eller klikke på lenker.
NRK har undersøkt utbredelsen av teknologien, kalt DMARC, i Norge.
Blant alle norske kommuner og fylkeskommuner er det bare fire kommuner som har tatt i bruk denne aller nyeste teknikken for å beskytte adressene til det offentlige mot misbruk.
Flere av de store byene som Oslo, Bergen, Trondheim og Tromsø har ikke innført teknologien.
Først ute
De eneste som har gjort det er Stavanger, Rennesøy, Forsand og Finnøy.
Alle sammen har datasystemene sine i en felles it-avdeling, og sjefen der er fornøyd med å være først ute.
– Vi liker godt at vi er først ute. Vi har en strategi om å være moderne. og det følger vi opp. I det ligger det at vi skal bruke løsninger for å være tryggere og bedre, sier IT-sjef Stein Ivar Rødland i Stavanger kommune til NRK.
Han er sjef for ei IT-avdeling med hovedkontor i Stavanger, men som også har deler av driften sin inne i et gammelt militært fjellanlegg på Rennesøy.
Rødland forteller at kommunene har hatt teknologien påslått i noen måneder etter at de fanget opp et sikkerhetstips fra samarbeidsorganet HelseCERT.
– Har noen forsøkt å utgi seg for å være dere?
– Vi har ikke opplevd mye, men fra tid til annen har det skjedd at vi har oppdaget hendelser. Vi har 10 000 brukere. Så det skjer også ting hos oss, og da er det ofte epost som er inngangen de prøver seg på, sier Rødland.
Vet ikke hvorfor så få bruker det
DMARC-teknologien skal sikre at svindelepost ikke kommer fram, og at brukere i større grad kan stole på at epost fra troverdige kilder faktisk kommer derfra.
KS som organiserer alle norske kommuner har en egen avdeling som jobber med å satse på digitale løsninger og mener nye tekniske beskyttelsesløsninger er bra.
– Det er stor oppmerksomhet i kommunesektoren rundt informasjonssikkerhet, og vi synes det er viktig å benytte seg av de mulighetene som finnes for å avverge angrep, sier spesialrådgiver Anne Mette Dørum hos KS innen digitalisering og informasjonssikkerhet.
– Hvorfor har nesten ingen kommuner innført det da?
– Det er et godt spørsmål. Det kan jeg ikke svare på, og jeg så først da jeg fikk informasjon fra NRK at det bare er fire kommuner som har tatt dette i bruk, sier Dørum i KS.
– Hvordan ser dere på faren for at innbyggerne ender med å ikke kunne stole på at en epost faktisk kommer fra det offentlige?
– Det vil jo være ganske dramatisk om innbyggerne ikke kan stole på at eposter kommer fra en kommune – spesielt nå når vi driver og bygger opp digitale kommuner som skal kommunisere elektronisk med innbyggerne, svarer spesialrådgiveren.
NRKs undersøkelse av epost-sikring hos norske kommuner viser:
- Bare 4 kommuner har skrudd på DMARC
- 167 av kommunene er kommet et stykke på vei ved å ha tatt i bruk den underliggende teknologien SPF
- Hele 285 av domenene registrert på kommuner eller fylkeskommuner mangler helt denne typen beskyttelse
NRK arbeider med å innføre denne typen teknologier for beskyttelse av domenet nrk.no mot svindeleposter. SPF er slått på, og det arbeides med fullverdig oppsett av DKIM og DMARC.