FORSIDEN POLITIK KRIMI KULTUR INDLAND UDLAND DØDSANNONCER BOLIGHANDEL
ALT SPORT FODBOLD HÅNDBOLD ISHOCKEY AAB
AALBORG BRØNDERSLEV FREDERIKSHAVN HJØRRING JAMMERBUGT LÆSØ MARIAGERFJORD MORSØ REBILD THISTED VESTHIMMERLAND
ALT DEBAT DEBATINDLÆG LEDER
It‑branchen

Nordjyske kommuner dumper med et brag

Tech-medie afslører, at en lang række kommuner ikke har styr på deres it-sikkerhed

Hackere og svindlere bombarderer hver dag folks indbakker med forsøg på phishing - og deres metoder bliver mere og mere sofistikerede.  <i>Foto: Colourbox</i>

Hackere og svindlere bombarderer hver dag folks indbakker med forsøg på phishing - og deres metoder bliver mere og mere sofistikerede.  Foto: Colourbox

NORDJYLLAND: Tre gange i træk har FN kåret Danmark som verdens mest digitaliserede land.

Mens vi soler os i den førsteplads, er der 39 danske kommuner - deriblandt syv nordjyske - som ikke fået styr på deres allermest basale it-sikkerhed. I stedet dumper de med et brag, når det kommer til at beskytte sig selv og borgerne mod misbrug og svindel.

De syv nordjyske kommuner er Hjørring, Frederikshavn, Morsø, Mariagerfjord, Rebild, Thisted og Vesthimmerland.

Det er tech-mediet Radar, der er en del af Teknologiens Mediehus, som afslører bristen i den kommunale it-sikkerhed.

Som det er tilfældet med de øvrige 31 kommuner har de otte nordjyske endnu ikke har implementeret DMARC, som er et af 20 ufravigelige tekniske minimumskrav, som staten stiller til alle statslige myndigheder. Det er en godkendelsesprocedure for e-mails og designet til at beskytte modtagere mod it-gangstere, der udgiver sig for at være en anden, end den de er.

Sådan fungerer DMARC

  • DMARC står for "Domain-based Message Authentication, Reporting and Conformance". Det er en teknik, der bruges til at bekæmpe e-mail-spoofing, som er, når nogen forsøger at sende e-mail med en falsk afsenderadresse for at vildlede modtageren.
  • DMARC fungerer ved at give e-mail-modtagere information om, hvordan de håndterer e-mails, der hævder at komme fra et bestemt domæne. DMARC gør dette ved at kombinere to eksisterende e-mail-godkendelsesteknologier: SPF (Sender Policy Framework) og DKIM (DomainKeys Identified Mail).
  • Med SPF kan domæneejere angive, hvilke e-mail-afsendere der er legitime. DKIM bruger digitale signaturer til at bevise, at e-mailen ikke er blevet ændret under forsendelsen.
  • DMARC bruger både SPF og DKIM til at give modtagerne mere information om, hvilke e-mails der er autentiske, og hvilke der kan være spoofede. Ved at indstille en DMARC-politik kan domæneejere instruere e-mail-modtagere om at foretage handlinger, såsom at afvise, markere eller sende meddelelser til spam-mappen, afhængigt af hvor godt de består SPF- og DKIM-godkendelsestjek.
  • DMARC giver også domæneejere information om, hvilke e-mails der sendes fra deres domæne, hvilket gør dem i stand til at overvåge og beskytte deres domæne mod e-mailsvindel.

dmarc.org

Det er fx it-kriminalitet kendt som phishing, hvor blandt andet mail-modtagere bliver lokket til at klikke på links, fordi de har tillid til afsenderen. Hvis man falder for fristelsen til at klikke på et link i fupmailen, kan det åbne for økonomisk afpresning eller sågar spionage.

Phishing-mails har et enormt omfang. Prøv blot at tjekke din egen mappe for uønsket post. <i>Screendump</i>

Phishing-mails har et enormt omfang. Prøv blot at tjekke din egen mappe for uønsket post. Screendump

Det sidste er ikke særligt smart i en tid, hvor der er krig i Europa, og hvor Center for Cybersikkerhed vurderer, at danske myndigheder og virksomheder er i højrisiko for at blive udsat for hackerangreb.

Helt ekstraordinært pinligt er det, at Kommunernes Landsforening ikke selv har implementeret DMARC på trods af, at de har tudet kommunerne ørerne fulde om at få det gjort, siden systemet blev introduceret for 10 år siden.

- Det er ikke fordi, de ikke er blevet gjort opmærksomt på det, men jeg tror næsten, at de undlader at implementere det i trods, siger it-konsulenten Henrik Schack til Radar. 

Han står bag DMARC dot DK, hvor det også fremgår, at det ikke bør være økonomi, der får kommunerne til at tøve. DMARC er nemlig en gratis internetstandard, og ifølge Henrik Schack bør det ikke tage mere end en halv arbejdsdag at implementere det.

Hjørring: Vi er i gang

Så hurtigt går det ikke i Hjørring Kommune, selv om it-chef Peter Ludvigsen oplyser til Nordjyske, at kommunen er i gang med at tage DMARC i brug.

Hvornår regner du med, at I er færdige med implementere det?

- Det bliver sandsynligvis i løbet af foråret.

Er det meget omfattende at gøre det?

- Nej, det er det egentlig ikke. Vi skal sådan set bare have det implementeret.

Kan du fortælle, hvorfor det har taget så lang tid, når det har været et kendt krav længe?

- Det har jeg ingen kommentarer til på nuværende tidspunkt.

Brønderslev følger anvisninger

Også Brønderslev Kommune bliver nævnt i Radars artikel, men her melder Marc Hurley, chef for digitalisering og it, hus forbi. Ifølge ham er kommunens maildomæne @99454545.dk forlængst blevet beskyttet af DMARC. 

99454545 er kommunens telefonnummer og har siden kommunesammenlægningen i 2007 også været brugt som kommunens maildomæne.

Ifølge Marc Hurley opstår forvirringen omkring Brønderslev ved, at kommunens hjemmeside hedder www.bronderslev.dk. Han anerkender, at mange vil tro, at de har fået en mail fra kommunen, hvis afsenderen er "xxxx@bronderslev.dk

- Jeg kan udmærket forstå, hvis vi kan blive associeret med det domæne. Vi skal selvfølgelig sikre, at det ikke er en mulighed, så det er vores it-teknikere ved at se på nu. I første omgang har vi haft fokus på at følge de anvisninger, som Center for Cybersikkerhed har, og derfor har vi haft fokus på at sikre vores maildomæne, siger Marc Hurley.

Politiske panderynker

I en tid med krig på det europæiske kontinent med talrige hackerangreb på danske hospitaler, banker, nyhedsmedier; ja sågar flere af Forsvarets hjemmesider, imponerer det kommunale sløseri med it-sikkerheden ikke på Christiansborg.

Tværtimod skaber det panderynker i digitaliseringsudvalget, hvor SF's Lisbeth Bech-Poulsen er formand. Hun blev fra 2011-2022 valgt for sit parti i Nordjylland, men blev ved valget i november i fjor opstillet og valgt i Københavns Storkreds.

- Den digitale udvikling er både godt og skidt, fordi det giver os sårbarheder i en tid, hvor stater og personer, som ikke vil os det godt, angriber os dagligt. Vi skal se sikkerhed meget bredere, for det handler også om at få styr på vores digitale sikkerhed, og derfor går det ikke, at dele af det officielle Danmark halter så meget bagefter, siger hun til Radar.

Det er dog ikke kun i kommunerne, der er problemer med it-sikkerheden i det offentlige. Et hurtigt blik på hjemmesiden status-dmarc.dk afslører, at statslige hjemmesider som domstol.dk, familieretshuset.dk, folkemoedet.dk, minretssag.dk, minskiftesdag.dk, ombudsmanden.dk (Folketingets Ombudsmand, red.), skatteankestyrelsen.dk og statforvaltningen.dk heller ikke har implementeret DMARC.

Endnu værre ser det ud for danske nyhedsmedier. Her optræder Nordjyske i et eksklusivt selskab med nyhedsbureauet Ritzau, Berlingske og TV2, der som nogen af de få har garderet sig mod, at deres maildomæne bliver misbrugt.

Nordjyske har forsøgt at få en kommentar fra digitaliseringsminister Maria Bjerre (V), som er valgt i Nordjylland. Det har ikke været muligt at få.

It‑branchen borgeres sikkerhed Nordjylland
Anmeld kommentaren

Giv redaktøren besked, hvis du synes indholdet virker forkert.

Anmeld kommentaren

Redaktøren er underrettet og vil kigge nærmere på indlægget.

Ole Fink Mejlgaard

Journalist
14. marts 2023 kl. 17:04
Opdateret kl. 17:40

Forsiden