Sikkerhetstiltak ved bruk av e-post
Bakgrunn
Vi har fått noen henvendelser på service desk om problemer med å sende lenker til Signeringstjenesten for ansvarlige foretak på e-post. Ulike sikringstiltak mot phishing-mail hos mottakerne kan gjøre at e-postene i noen tilfeller ikke kommer frem, eller at lenken blir fjernet eller brutt.
Det er svært viktig at tilliten til FtPB-plattformen er høy og at vi gjør nødvendige sikringstiltak i alle ledd. Vi ber søknadssystemene om å følge tiltakene under. Rådene er basert på veiledning fra Nasjonal sikkerhetsmyndighet.
Anbefalte sikkerhetstiltak
Sikring av e-posttjeneren
Avsenders mailserver bør være satt opp med følgende:
SPF (Sender Policy Framework): angir hvilke e-posttjenere som kan sende på vegne av avsender.
DKIM (DomainKeys Identified Mail): elektronisk signatur fra avsender som legges på utgående e-post, som kan verifiseres mot DNS.
Andre anbefalte metoder, som ikke alltid er praktisk mulige, er:
DMARC (Domain based Message Authentication, Reporting and Conformance): beskriver hvordan e-post som feiler på SPF og DKIM-sjekk behandles og gjør det mulig å fange opp f.eks. phishing-forsøk hvor avsender misbrukes.
Bruk av autentiseringsmekanismer mellom mail-servere (STARTTLS med sertifikat): gir autentisert og kryptert kommunikasjon mellom mail-servere.
Et annet tiltak kan være å sette opp overvåking av e-post som ikke blir levert hos avsender og som kommer tilbake med en feilkode eller lignende. Det gjør det mulig å varsle mottakeren og følge opp omfanget av leveringsproblemet.
Formatering av e-posten
Her er noen tips til selve e-postinnholdet:
HTML-formatert e-post må ha et design som identifiserer avsender, være språklig korrekte og skrevet med klart språk. Det gjør dem mer troverdige for mottakerne.
Forkortelser av lenken (av typen bitly eller lignende), eller at man legger en informativ tekst over visningen av lenken, gjør at e-posten oppfattes som mer mistenkelig. Det anbefales derfor å vise hele URL-en.
E-posten kan inneholde en generell lenke med informasjon av tjenesten, slik at det dokumenteres at oppgaven som skal utføres er legitim.
Vedlegg bør ikke sendes på e-post, men lenkes opp slik at mottaker kan laste dem ned fra serveren ved behov.
På bakgrunn av tipsene over har vi endret malene våre:
https://dibk.atlassian.net/wiki/spaces/FB/pages/2515075106
https://dibk.atlassian.net/wiki/spaces/FB/pages/1849655297
Vurder om e-post med lenker kan unngås
På generelt grunnlag er ikke e-post med lenker en sikker løsning, fordi det kan bidra til å svekke den alminnelige årvåkenheten mot phishing-forsøk. Erfaringsmessig er det vellykkede phishing-forsøk som er den største kilden til suksessfulle cyber-angrep mot myndigheter og bedrifter. Man bør derfor alltid vurdere om varsling kan skje på en annen måte enn ved bruk av e-post eller SMS.
Søknadssystemene sitter tettest på brukerne og kan best lage alternative løsninger, for eksempel gjennom administrering av portaler og brukerkontoer. DiBK er gjerne med på å diskutere hvordan vi kan tilgjengeliggjøre grunnlagsdata som gjør at søknadssystemene kan lage en portal for blant annet Signeringstjenesten for ansvarlige foretak.
Se også: https://dibk.atlassian.net/wiki/spaces/FB/pages/2840789036