Den siste tiden har det vært store dataangrep i Norge: Både mot regjering, bedrifter, media og politi. Omfanget og metodene de ondsinnede hackerne har brukt, varierer mye. Men målet er det samme: De ønsker å få tilgang til informasjon som de enten kan selge videre eller bruke selv i videre angrep. Om en angriper klarer å sende epost som domenet til organisasjoner som andre stoler på og har tillit til, for eksempel en offentlig myndighet, er det stor sjanse for at folk lar seg lure. Våre etiske hackere har testet hvor lett det er å sende epost som domenet til ulike statlige, offentlige og private bedrifter i Norge. Resultatet viser at sikkerhetsnivået er for lavt i samtlige sektorer.
En angriper vil alltid lete etter den enkleste veien inn i systemet ditt, og denne veien er ofte gjennom dine ansatte og deres epost – også kjent som Phishing. Å sørge for god epost-sikkerhet er derfor svært viktig for å sikre seg mot angrep utenfra. Utfordringen er at veldig mange virksomheter har satt opp epost-sikkerheten feil, som gjør at det blir enkelt å sende epost som domenet.
I vår test av epost-sikkerhet har vi tatt for oss ulike bransjer og sektorer, og sammenliknet hvor mange som har implementert alt riktig, hvor mange som ikke har ting på plass, og ikke minst hvor mange som har feilkonfigurert sitt epost-oppsett. Vi ser at det er veldig mange virksomheter har etablert mekanismer for å hindre misbruk, slik som SPF, DKIM og DMARC, men problemet er at det ikke er konfigurert riktig.
Begrepsbruk - kort forklart
SPK – Sender Policy Framework er en måte å definere hvem som har lov å sende eposter på dine vegne.
DKIM – DomainKeys Identified Mail benyttes for å påse at innholdet i en epost ikke har blitt endret underveis
DMARC – Domain-bases Message Authentication, Reporting & Conformance gir beskjed til organisasjonen når noen prøver å sende ut eposter under ditt domene, samt om eposten har blitt endret underveis. DMARC passer med andre ord både på at DKIM og SPF blir ivaretatt.
Det går relativt fort å konfigurere DMARC, og når det først er konfigurert og har blitt kjørt inn, trenger du sjelden gjøre noe mer. DMARC er med andre ord en svært god og effektiv løsning for epost-sikkerhet.
Les også: SPK, DKIM og DMARC, kva er det?
Sektor / Bransje |
SPF-konfigurert |
DMARC-konfigurert |
Domene som kan misbrukes
|
Banker |
135 av 144 (93.75%) |
106 av 144 (73.61%) |
104 / 144 (72.22%) |
Sykehus |
29 av 30 (96.67%) |
26 av 30 (86.67%) |
9 / 30 (30%) |
Offentlige myndigheter |
79 av 126 (62.70%) |
55 av 126 (43.65%) |
76 / 126 (60.32%) |
Politi |
61 av 183 (33.33%) |
38 av 183 (20.77%) |
163 / 183 (89.07%) |
IT |
43 av 46 (93.48%) |
35 av 46 (76.09%) |
23 / 46 (50.00%) |
Epost er en veldig stor del av den daglige kommunikasjonen mellom mennesker, bedrifter og myndigheter. Samfunnet vil i dag ikke fungere uten den formen for digital kommunikasjon. E-post som ikke har korrekt konfigurerte tekniske sikringstiltak og som ikke har tilstrekkelig opplæring av ansatte i trygg bruk, vil ha en høy sikkerhetsrisiko.
Vår analyse viser at 70% av alle domener kan misbrukes, og at over 50% ikke har DMARC konfigurert i det hele tatt. DMARC brukes som sagt for å forbedre sikkerheten rundt epost i virksomheter.
Utfordringen med epost, er at dersom sikkerheten ikke er tilstrekkelig konfigurert, er det enkelt å sende ut falske eposter (phishing). Angriperen kan du bruke dette til å skaffe seg ytterligere informasjon som kan resultere i tilganger til andre systemer og sensitiv informasjon. Konsekvensene kan med andre ord bli store.
Vi har funnet domene for de ulike bransjene/sektorene fra Norid og Wikipedia Det er viktig å påpeke at vi har brukt hoveddomene, og ikke underdomene. Etter at vi har laget en lang liste med domener, har vi brukt et program for å analysere hvert domene. Dette programmet vil analysere om SPF og DMARC er satt opp, om de er feilkonfigurerte og om det er mulig å sende ut falske eposter fra domenet.
Ifølge Wikipedia er det 144 forskjellige domener knyttet opp mot banker i Norge. Dette er forretningsbanker, sparebanker og utenlandske banker som bruker foretaksformen «Norskregistrert utenlandsk foretak» og trenger konsesjon fra Finanstilsynet.
Banker har en viktig rolle ved at de forvalter verdier på vegne av både privatpersoner og bedrifter i Norge. Dersom en angriper kan sende ut falske eposter forkledd som en bank, får dette store konsekvenser. Selv om bankkunder advares mot svindelforsøk, vil likevel folk flest stole på innholdet som kommer fra en bank. Siden beskjeden kommer fra en bank, vil det være økt sannsynlighet for at folk lar seg lure av innholdet, trykker på lenker og kommuniserer videre med angriperen. Angriperen på sin side vil stå i en posisjon til å stjele store verdier. Netsecurity har sett mange eksempler på virksomheter som har blitt lurt til å sende penger til en falsk bankkonto.
SPF-konfigurert |
DMARC-konfigurert |
Domener som kan misbrukes |
135 av 144 (93.75%) |
106 av 144 (73.61%) |
104 / 144 (72.22%) |
Netsecurity sin analyse viser at hele 106 av 144 banker ikke er godt nok sikret. I praksis betyr det at det er enkelt for en angriper å sende ut falske eposter som disse bankene. Når vi driller ned i tallene, kan vi se at av 106 domener, er det 57 av dem der angripere kan sende falske eposter fra hoveddomenet og 47 fra underdomenet.
Ifølge Wikipedia er det 64 unike sykehus i Norge. Flere av sykehusene bruker samme domene.
Sykehus representerer en svært kritisk infrastruktur og behandler veldig sensitiv informasjon knyttet til enkeltpersoner. Videre har sykehus dialog med personer i sårbare faser av livet, og det er grunn til å anta at disse personene – pasientene – derfor vil stole ekstra på all kommunikasjon fra sykehuset. Kanskje venter du på prøvesvar, eller er spent på når operasjonen din blir. Hvis en angriper klarer å manipulere deg som mottakere til å reagere, øker sannsynligheten for å gå på e-postsvindel. En angriper som sender ut eposter der de utgjør seg for å være et sykehus kan på sin side tilegne seg sensitive personopplysninger som kan misbrukes videre. Helseopplysninger på avveie er ikke bare et problem for enkeltindividet, det er en svært uønsket situasjon for samfunnet som helhet. Sykehus og helsevesenet generelt skal følge Personopplysningsloven og kravene som gjelder for sikring av sensitive personopplysninger. Kravene gjelder også teknisk sikring av e-post-kommunikasjon og opplæring av ansatte i korrekt bruk.
I listen vår var det 64 unike sykehus i Norge. Siden flere av disse benytter samme domene, er antallet domener vi har undersøkt, 30 stykker.
SPF-konfigurert |
DMARC-konfigurert |
Domener som kan misbrukes |
29 av 30 (96.67%) |
26 av 30 (86.67%) |
9 / 30 (30%) |
Som vi kan se, er det 9 domener som ikke er fullstendig sikret, og som en angriper derfor kan bruke i angrep. Siden mange sykehus bruker det samme domenet, er det i realiteten hele 16 sykehus som ikke er godt nok sikret mot forfalsking av eposter.
Vi har valgt å se på alle hoveddomenene til alle de politiske partiene på Stortinget, samt de som er registrert på følgende organisasjoner i Norid.no:
Storting, regjering og departementene representerer myndighetene i Norge. Om en angriper klarer å sende eposter forkledd som en ansatt eller medlem i regjeringen eller Stortinget, vil det ha stor påvirkning. Både symbolsk – men også reelt. Det kan påvirke valgresultat, tillit til myndigheter, tillit til andre land og samfunnet generelt og ikke minst også at gradert eller skjermingsverdig informasjon kommer på avveie.
Basert på Norid og domenene til partiene, kom vi fram til en liste på 126 domener:
SPF-konfigurert |
DMARC-konfigurert |
Domene som kan misbrukes |
79 av 126 (62.70%) |
55 av 126 (43.65%) |
76 / 126 (60.32%) |
Tallene viser at hele 60% av alle domenene kan bli utnyttet av en angriper. Flere av partiene, samt kritiske domener som Stortinget og regjeringen benytter, er sårbare for angrep. De fleste er sårbare på hoveddomene-nivå.
Som utgangspunkt for denne sektoren, valgte vi å bruke domenene som er registrert på disse organisasjonsnumrene i Norid.no:
Dette tilsvarer hele 183 domener fordelt på de fire organisasjonsnummer. Alle fire myndighetsorganene i denne kategorien har til felles at de skal beskytte landet for trusler – både nasjonale og internasjonale digitale trusler. Det er derfor svært sårbart om angripere, for eksempel fra utenlandsk etterretning, klarer å utnytte feilkonfigurasjoner i it-systemene disse bruker.
SPF-konfigurert |
DMARC-konfigurert |
Domener som kan misbrukes |
61 av 183 (33.33%) |
38 av 183 (20.77%) |
163 / 183 (89.07%) |
It-sikkerhetsselskaper hjelper å beskytte våre digitale verdier, både dataene vi har og kommunikasjonen vi gjør internt eller eksternt. Det er også disse selskapene som skal hjelpe med å sette opp reglene og systemene som skal til for å gjøre det vanskeligere for angriperne å misbruke domenene til virksomheter. Det er derfor veldig interessant å sjekke om de har kontroll på egne systemer.
Listen over leverandører er laget basert på treff etter leverandører av «penetrasjonstesting», «sikkerhetstesting» og «datasikkerhet». Resultatet var en liste på 46 forskjellige domener. Det er langt flere bedrifter som leverer sikkerhetstjenester enn 46, så dette er et utvalg.
SPF-konfigurert |
DMARC-konfigurert |
Domener som kan misbrukes |
43 av 46 (93.48%) |
35 av 46 (76.09%) |
23 / 46 (50.00%) |
Det er alvorlig at 50% av selskapene ikke har kontroll på sin e-postsikkerhet. Gjennom blant annet Personopplysningsloven og Sikkerhetsloven, er disse virksomhetene lovpålagt både tekniske og organisatoriske sikringstiltak av digitale verdier.
Når vi sammenlikner alle domenene som kan misbrukes, ser vi at det er mange feilkonfigurasjoner. I denne testen har vi analysert 529 domener. Av disse er det 375 som kan misbrukes.
269 av de 375 domenene som kan misbrukes, har ikke konfigurert DMARC i det hele tatt. I praksis betyr det at en angriper kan sende ut falske eposter “forkledd som” domenet.
93 av de 375 domener har satt en regel i DMARC som sier «p=none» der «P» står for «policy». Når den står til None, betyr det at man ønsker å få rapporter på epost-flyten til domenet, men om noen misbruker domenet, skal ikke epostsystemet til mottakeren av eposten avvise den. Dette betyr at du ikke er sikret, selv om SPF og DKIM er riktig satt opp.
De resterende domenene har sikret hoveddomenet sitt, men ikke underdomenene. Dette betyr for eksempel at angriper ikke kan sende eposter som @selskap.no, men kan sende som @lonn.selskap.no. I DMARC vil dette typisk se slik ut: «v=DMARC1; p=reject; rua=mailto:postmaster@selskap.no; sp=none;»
Det er også flere virksomheter som bruker et konfigurasjonsvalg i DMARC kalt «pct». Det står for prosent (percent), og sier noe om hvor mange prosent av eposter DMARC-regelen skal gjelde for. Om noen har «pct=50», betyr det at 50% av alle eposter som blir misbrukt, ikke vil bli blokkert i mottaker sitt epostsystem, og derfor likevel blir levert til mottaker.
Cyberkriminelle samarbeider, og av den grunn bør også offentlige og private virksomheter gjøre det samme. Samarbeid i denne sammenheng handler både om å dele relevant informasjon om informasjonssikkerhet og tiltak med hverandre og være åpne når vi har blitt utsatt for angrep. Bare på den måten kan vi lære og sikre kontinuerlig forbedring. Ikke minst har vi alle et ansvar for å påse at e-postsikkerheten er på plass. Alle ansatte har et ansvar for å påse at epost-sikkerheten er på plass. Spør din leder, meld inn avvik eller forbedringsforslag. Ikke bare sikrer dette at navn og selskap ikke blir misbrukt og mister omdømme, men det gjør også det mye vanskeligere for en angriper å sende falske eposter som en del av sitt angrep.
Denne analysen er ikke gjort for å henge ut noen. Vi ønsker derimot å belyse hvor sårbare vi er både teknisk og organisatorisk, og ikke minst hvor viktig det er å tenke sikkerhet i alle ledd av en organisasjon. Det er ingen tvil om at det krever innsats hver dag og av alle, fra datarom til styrerom. IT-sikkerhet har for lengst blitt et ledelsesansvar, men fagekspert, ansatte, du og jeg må vise årvåkenhet og bidra. Sammen kan vi bygge et solid, digitalt forsvar.