Artikel top billede

Foto: Povl D. Rasmussen. (Foto: Povl D. Rasmussen)

EU: Derfor bør dit firma droppe e-mailen

E-mailen er langt fra en sikker løsning set i lyset af de seneste måneders store phishing-bølger. Cyber-truslerne får nu EU til at skride til drastiske forslag.

EU's sikkerhedsagentur ENISA har i dag udsendt en række advarsler om cybertrusler på de europæiske netværk.

Iblandt advarslerne fremhæves e-mailen som en usikker kommunikationsmetode.

"De fleste mail-systemer giver ikke nogen form for autentificering, og derfor er det meget svært for brugere at vide, hvor beskederne kommer fra, og om afsenderen er en troværdig kilde," skriver ENISA i sin pressemeddelelse om cybersikkerhed.

EU-agenturet understreger, at der med den manglende gennemskuelighed omkring afsenderen åbnes for, at der kan sendes spam, falske beskeder, eller at afsenderen slører sig eller udgiver sig for en anden, hvilket går under betegnelsen "spoofing".

Kig på alternative løsninger

Faktisk har EU lettere drastiske løsningsforslag på bedding for at sætte en stopper for den stigende cyberkriminalitet.

"På kort sigt bør virksomheder inden for kritiske sektorer mindske risikoen ved at bruge krypteringsløsninger som PGP eller PKI, og/eller autentificering-framework som DMARC, SPF og DKIM for at undgå at blive et lette ofre for spear-phishing," lyder det fra ENISA, som fortsætter:

"På længere sigt bør industrien, offentlige myndigheder og forretninger undersøge alternative kommunikationskanaler (end e-mailen, red.), der beskytter brugerne bedre mod spoofing og phishing," skriver EU-sikkerhedsagenturet i sin pressemeddelelse.

Store phishingbølger i EU

Baggrunden for ENISA udmelding er længere tids stigning i cyber-kriminalitet, hvor især et par højtprofilerede phshing-angreb har fået sikkerhedstrommerne til at buldre.

Siden januar har flere europæiske myndigheder været ramt af angreb.

Disse angreb tæller blandt andet det gigantiske spionagenetværk, 'Red October', der blev opdaget i starten af året.

Sådan vil EU sætte en prop i mailen

Derudover er der også det såkaldte MiniDuke-mysterium, hvor en uskøn blanding af 0-dagssårbarhed i Adobe-software, social engineering, spredning af malware og phishing var involveret til at bygge bagdøre på ofrenes computere.

Følger samme mønster

"Disse angreb følger det samme, velkendte mønster: Angriberne sender en tilsyneladende uforfalsket mail, som rent faktisk er et spear phishing-forsøg. Mailen indeholder et link til et website, der indeholder malware," forklarer ENISA om fremgangsmåden.

Historien er derefter, at malwaren sniffer efter software-usikkerhed, som i MiniDukes tilfælde var Adobes Acrobat Reader, hvorefter angriberen sikrer sig nok kontrol over ofret til, at der kan indsamles informationer om vedkommendes computer, password og adgang til andre ofre i netværket.

Den slags forsøg vil EU's sikkerhedsagentur altså nu forsøge at sætte en prop i ved indgangen til mail-klienterne.

Det sker ved at opfordre virksomheder med kritiske oplysninger til at benytte krypteringsløsninger som PGP (pretty good privacy) PKI (public key infrastructure) samt autentificerings-framework som DMARC (domain-based message autentication, reporting & conformance), SPF (sender policy framwork) og DKIM (domainkeys identified mail).

Hvis du skulle være interesseret i helt at droppe e-mailen, så kan du måske blive inspireret i denne artikel - Emailens afløser: Sådan kommer du til at kommunikere.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ciklum ApS
Offshore software- og systemudvikling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere