Bakgrunn

Vi har fått noen henvendelser på service desk om problemer med å sende lenker til Signeringstjenesten for ansvarlige foretak på e-post. Ulike sikringstiltak mot phishing-mail hos mottakerne kan gjøre at e-postene i noen tilfeller ikke kommer frem, eller at lenken blir fjernet eller brutt.

Det er svært viktig at tilliten til FtPB-plattformen er høy og at vi gjør nødvendige sikringstiltak i alle ledd. Vi ber søknadssystemene om å følge tiltakene under. Rådene er basert på veiledning fra Nasjonal sikkerhetsmyndighet.

Anbefalte sikkerhetstiltak

Sikring av e-posttjeneren

Avsenders mailserver bør være satt opp med følgende:

1. SPF (Sender Policy Framework): angir hvilke e-posttjenere som kan sende på vegne av avsender.

2. DKIM (DomainKeys Identified Mail): elektronisk signatur fra avsender som legges på utgående e-post, som kan verifiseres mot DNS.

Andre anbefalte metoder, som ikke alltid er praktisk mulige, er:

• DMARC (Domain based Message Authentication, Reporting and Conformance): beskriver hvordan e-post som feiler på SPF og DKIM-sjekk behandles og gjør det mulig å fange opp f.eks. phishing-forsøk hvor avsender misbrukes.

• Bruk av autentiseringsmekanismer mellom mail-servere (STARTTLS med sertifikat): gir autentisert og kryptert kommunikasjon mellom mail-servere.

Et annet tiltak kan være å sette opp overvåking av e-post som ikke blir levert hos avsender og som kommer tilbake med en feilkode eller lignende. Det gjør det mulig å varsle mottakeren og følge opp omfanget av leveringsproblemet.

Formatering av e-posten

Her er noen tips til selve e-postinnholdet:

• HTML-formatert e-post må ha et design som identifiserer avsender, være språklig korrekte og skrevet med klart språk. Det gjør dem mer troverdige for mottakerne.

• Forkortelser av lenken (av typen bitly eller lignende), eller at man legger en informativ tekst over visningen av lenken, gjør at e-posten oppfattes som mer mistenkelig. Det anbefales derfor å vise hele URL-en.

• E-posten kan inneholde en generell lenke med informasjon av tjenesten, slik at det dokumenteres at oppgaven som skal utføres er legitim.

• Vedlegg bør ikke sendes på e-post, men lenkes opp slik at mottaker kan laste dem ned fra serveren ved behov.

På bakgrunn av tipsene over har vi endret malene våre:

Varsling og mal for varslingstekster, Signeringstjenesten

Tiltakshavers samtykke til byggeplaner

Vurder om e-post med lenker kan unngås 

På generelt grunnlag er ikke e-post med lenker en sikker løsning, fordi det kan bidra til å svekke den alminnelige årvåkenheten mot phishing-forsøk. Erfaringsmessig er det vellykkede phishing-forsøk som er den største kilden til suksessfulle cyber-angrep mot myndigheter og bedrifter. Man bør derfor alltid vurdere om varsling kan skje på en annen måte enn ved bruk av e-post eller SMS.

Søknadssystemene sitter tettest på brukerne og kan best lage alternative løsninger, for eksempel gjennom administrering av portaler og brukerkontoer. DiBK er gjerne med på å diskutere hvordan vi kan tilgjengeliggjøre grunnlagsdata som gjør at søknadssystemene kan lage en portal for blant annet Signeringstjenesten for ansvarlige foretak.

Se også: Hvordan unngå direktelenke til erklæringen?

Kilder til mer informasjon

• Datatilsynet: Phishing - hvordan beskytte virksomheten | Datatilsynet

• NSM: Sikring av e-post - Nasjonal sikkerhetsmyndighet (nsm.no)

• Nettvett: https://nettvett.no/er-lenken-trygg/