Bare fire kommuner med epostsikring

Bare fire av landets kommuner har innført den nyeste teknologien for å unngå eposter der svindlere forfalsker adresser.

Green Mountain

Rennesøy er en av kommunene som har skrudd på den nye teknologien DMARC for å hindre at de blir utnyttet til epostsvindel. Her fra datasenteret der de sammen med tre andre kommuner har lagret info inne i et fjell.

Foto: Ole Andreas Bø / NRK

NRK har kunnet fortelle hvordan britiske myndigheter har stoppet over 300 millioner svindeleposter fra å nå epostboksene til internettbrukere.

Britene har tatt i bruk en teknologi som gjør at bare eposter som faktisk kommer fra myndighetenes systemer skal komme fram til innboksen hos vanlige nettbrukere.

Teknologien bruker et sett med tekniske regler for å sikre at epostene er ekte, og ikke brukes til svindel. For bruk av forfalskede avsender-adresser er veldig vanlig på internett for å lettere kunne lure vanlige folk til å gi fra seg informasjon eller klikke på lenker.

NRK har undersøkt utbredelsen av teknologien, kalt DMARC, i Norge.

Blant alle norske kommuner og fylkeskommuner er det bare fire kommuner som har tatt i bruk denne aller nyeste teknikken for å beskytte adressene til det offentlige mot misbruk.

Flere av de store byene som Oslo, Bergen, Trondheim og Tromsø har ikke innført teknologien.

Først ute

Stein Ivar Rødland

Stein Ivar Rødland er IT-sjef for kommunene Stavanger, Rennesøy, Forsand og Finnøy, og kan si at han er fornøyd med å være først i å ha tatt i bruk sikkerhetsteknologien.

Foto: Stavanger kommune

De eneste som har gjort det er Stavanger, Rennesøy, Forsand og Finnøy.

Alle sammen har datasystemene sine i en felles it-avdeling, og sjefen der er fornøyd med å være først ute.

– Vi liker godt at vi er først ute. Vi har en strategi om å være moderne. og det følger vi opp. I det ligger det at vi skal bruke løsninger for å være tryggere og bedre, sier IT-sjef Stein Ivar Rødland i Stavanger kommune til NRK.

Han er sjef for ei IT-avdeling med hovedkontor i Stavanger, men som også har deler av driften sin inne i et gammelt militært fjellanlegg på Rennesøy.

Rødland forteller at kommunene har hatt teknologien påslått i noen måneder etter at de fanget opp et sikkerhetstips fra samarbeidsorganet HelseCERT.

– Har noen forsøkt å utgi seg for å være dere?

– Vi har ikke opplevd mye, men fra tid til annen har det skjedd at vi har oppdaget hendelser. Vi har 10 000 brukere. Så det skjer også ting hos oss, og da er det ofte epost som er inngangen de prøver seg på, sier Rødland.

Vet ikke hvorfor så få bruker det

DMARC-teknologien skal sikre at svindelepost ikke kommer fram, og at brukere i større grad kan stole på at epost fra troverdige kilder faktisk kommer derfra.

KS som organiserer alle norske kommuner har en egen avdeling som jobber med å satse på digitale løsninger og mener nye tekniske beskyttelsesløsninger er bra.

Anne Mette Dørum

Anne Mette Dørum i KS forteller at det satses på digitale kommuner, men hun vet ikke hvorfor så få kommuner har tatt i bruk det siste innen epostsikkerhet.

Foto: KS

– Det er stor oppmerksomhet i kommunesektoren rundt informasjonssikkerhet, og vi synes det er viktig å benytte seg av de mulighetene som finnes for å avverge angrep, sier spesialrådgiver Anne Mette Dørum hos KS innen digitalisering og informasjonssikkerhet.

– Hvorfor har nesten ingen kommuner innført det da?

– Det er et godt spørsmål. Det kan jeg ikke svare på, og jeg så først da jeg fikk informasjon fra NRK at det bare er fire kommuner som har tatt dette i bruk, sier Dørum i KS.

– Hvordan ser dere på faren for at innbyggerne ender med å ikke kunne stole på at en epost faktisk kommer fra det offentlige?

– Det vil jo være ganske dramatisk om innbyggerne ikke kan stole på at eposter kommer fra en kommune – spesielt nå når vi driver og bygger opp digitale kommuner som skal kommunisere elektronisk med innbyggerne, svarer spesialrådgiveren.

NRKs undersøkelse av epost-sikring hos norske kommuner viser:

  • Bare 4 kommuner har skrudd på DMARC
  • 167 av kommunene er kommet et stykke på vei ved å ha tatt i bruk den underliggende teknologien SPF
  • Hele 285 av domenene registrert på kommuner eller fylkeskommuner mangler helt denne typen beskyttelse

NRK arbeider med å innføre denne typen teknologier for beskyttelse av domenet nrk.no mot svindeleposter. SPF er slått på, og det arbeides med fullverdig oppsett av DKIM og DMARC.