Equinor, Hydro og Yara scorer null — store norske industrikjemper svikter på e-postsikkerhet
Tre av Norges mest kjente industrikonserner — Equinor, Hydro og Yara — ligger alle på bunnkarakteren F med 0 poeng i ukens analyse av 158 norske domener.
Ukens tall
I uke 29 er 158 norske domener analysert på data1.no. Snittscoren ligger på 64,8 av 100 poeng, og 86 domener har DMARC satt til p=reject — det vil si full beskyttelse mot e-postforfalskning. Samtidig mangler 12 domener DMARC-oppføring helt.
| Karakter | Antall domener |
|---|---|
| A+ | 24 |
| A | 39 |
| B | 17 |
| C | 31 |
| D | 26 |
| F | 21 |
At hele 21 domener scorer F, og at 12 mangler DMARC helt, er bekymringsfullt. Det betyr at avsenderadressen til disse domenene i prinsippet kan forfalskes av hvem som helst.
Industrikjempene som svikter
Ukens mest påfallende funn er at flere av Norges tyngste industrikonserner havner helt nederst på lista. equinor.no, hydro.no og yara.no scorer alle 0 poeng — det laveste mulige resultatet.
I samme bunnsjikt finner vi også aker-solutions.no og schenker.no — begge med 0 poeng. Felles for disse er at de opererer i bransjer der e-post brukes til kontrakter, fakturaer og sensitive driftsopplysninger. Det gjør dem til attraktive mål for e-postbaserte angrep som CEO-svindel og fakturasvindel.
For ordens skyld: En lav score betyr ikke nødvendigvis at disse selskapene er hacket eller at noe galt har skjedd. Men det betyr at sikkerhetsmekanismene som skal forhindre at angripere sender e-post i deres navn, ikke er på plass.
Offentlig sektor leverer — igjen
I toppen finner vi et kjent mønster: offentlige virksomheter dominerer A+-sjiktet. nav.no, ssb.no og stortinget.no scorer alle toppkarakter. Det samme gjør udi.no med 97 poeng.
Også telenor.no og nbim.no (Oljefondet) er godt inne på A+-nivå, noe som viser at store private aktører absolutt kan oppnå full e-postsikkerhet når de prioriterer det.
Andre funn verdt å merke seg
sparebanken-ost.no scorer 0 poeng og havner på F. En sparebank som kommuniserer med privatpersoner om økonomi og lån bør ha e-postbeskyttelse høyt oppe på agendaen — phishing-angrep mot bankkunder er en av de vanligste angrepsformene i Norge.
faedrelandsvennen.no er avisen som bunner ut med 0 poeng. Medieaktører er ikke immune mot e-postbaserte angrep, og en redaksjonell e-postadresse som kan forfalskes er en reell risiko — særlig for kontakt med kilder og lesere.
Hva bør du gjøre?
Enten du driver en stor industrivirksomhet eller en liten nettavis, er stegene for å komme i gang med e-postsikkerhet de samme:
- Sjekk domenet ditt på data1.no — analysen er gratis og tar sekunder.
- Start med SPF og DMARC på
p=nonefor å overvåke e-posttrafikken uten å blokkere noe. - Gå gradvis opp til
p=quarantineog til sluttp=rejectetter at du har verifisert at all legitim e-post er dekket. - Legg til DKIM-signering for alle avsendere som sender e-post på vegne av domenet.
- Vurder MTA-STS og BIMI for full poengscore — disse protokollene beskytter selve e-posttransporten og gir merkevaresynlighet i innboksen.
Se trender over tid for å følge med på hvordan norske domener utvikler seg, eller bruk sammenligningsverktøyet for å se hvor domenet ditt står mot konkurrenter i samme bransje.
Dataene oppdateres ukentlig. Neste rapport kommer i uke 30.