Hopp til slutten av metadata
Gå til begynnelsen av metadataene

Du ser på en gammel versjon av denne siden. Se den nye versjonen.

Sammenlign med nåværende Vis sidehistorikk

Versjon 1 Neste »

Bakgrunn

Vi har fått noen henvendelser på service desk om problemer med å sende lenker til Signeringstjenesten for ansvarlige foretak på e-post. Ulike sikringstiltak mot phishing-mail hos mottakerne kan gjøre at e-postene i noen tilfeller ikke kommer frem, eller at lenken blir fjernet eller brutt.

Det er svært viktig at tilliten til FtPB-plattformen er høy og at vi gjør nødvendige sikringstiltak i alle ledd. Vi ber søknadssystemene om å følge tiltakene under. Rådene er basert på veiledning fra Nasjonal sikkerhetsmyndighet.

Anbefalte sikkerhetstiltak

Sikring av e-posttjeneren

Avsenders mailserver bør være satt opp med følgende:

  1. SPF (Sender Policy Framework): angir hvilke e-posttjenere som kan sende på vegne av avsender.

  2. DKIM (DomainKeys Identified Mail): elektronisk signatur fra avsender som legges på utgående e-post, som kan verifiseres mot DNS.

Andre anbefalte metoder, som ikke alltid er praktisk mulige, er:

  • DMARC (Domain based Message Authentication, Reporting and Conformance): beskriver hvordan e-post som feiler på SPF og DKIM-sjekk behandles og gjør det mulig å fange opp f.eks. phishing-forsøk hvor avsender misbrukes.

  • Bruk av autentiseringsmekanismer mellom mail-servere (STARTTLS med sertifikat): gir autentisert og kryptert kommunikasjon mellom mail-servere, er også en mulighet.

Et annet tiltak kan være å sette opp overvåking av e-post som ikke blir levert hos avsender og som kommer tilbake med en feilkode eller lignende. Det gjør det mulig å varsle mottakeren og følge opp omfanget av leveringsproblemet.

Formatering av e-posten

Her er noen tips til selve e-postinnholdet:

  • HTML-formatert e-post må ha et design som identifiserer avsender, være språklig korrekte og skrevet med klart språk. Det gjør dem mer troverdige for mottakerne.

  • Forkortelser av lenken (av typen bitly eller lignende), eller at man legger en informativ tekst over visningen av lenken, at e-posten oppfattes som mer mistenkelig. Det anbefales derfor å vise hele URL-en til signeringsoppdraget.

  • E-posten kan inneholde en generell lenke med informasjon av tjenesten, slik at det dokumenteres at oppgaven som skal utføres er legitimt

  • Vedlegg bør ikke sendes på e-post, men lenkes opp slik at mottaker kan laste dem ned fra serveren ved behov.

På bakgrunn av tipsene over har vi endret malene våre:

Varsling og mal for varslingstekster, Signeringstjenesten

Tiltakshavers samtykke til byggeplaner

Vurder om e-post med lenker kan unngås 

På generelt grunnlag er ikke e-post med lenker en sikker løsning, fordi det kan bidra til å svekke den alminnelige årvåkenheten mot phishing-forsøk. Erfaringsmessig er det vellykkede phishing-forsøk som er den største kilden til vellykkede cyber-angrep mot myndigheter og bedrifter. Man bør derfor alltid vurdere om varsling kan skje på en annen måte enn ved bruk av e-post eller SMS.

Søknadssystemene sitter tettest på brukerne og kan best lage alternative løsninger, for eksempel gjennom administrering av portaler og brukerkontoer. DiBK er gjerne med på å diskutere hvordan vi kan tilgjengeliggjøre grunnlagsdata som gjør at søknadssystemene kan lage en portal for blant annet Signeringstjenesten for ansvarlige foretak.

Kilder til mer informasjon

  • Ingen etiketter

0 kommentarer

Du er ikke logget inn. Eventuelle endringer du gjør, vil bli merket med anonym. Hvis du allerede har en konto, ønsker du kanskje å logge på.