Industritunge norske selskaper med skremmende svak e-postsikkerhet — uke 21-rapport
Equinor, Hydro og Yara dominerer norsk næringsliv — men på e-postsikkerhet scorer alle tre bunnkarakteren F.
158 norske domener ble analysert denne uken, og snittscoren landet på 64,6 av 100. Det er ikke et dårlig tall isolert sett, men bak snittet skjuler det seg en bekymringsfull skjevhet: Noen av Norges mest ressurssterke selskaper er fullstendig uten e-postbeskyttelse.
Offentlig sektor viser vei
Topp ti-listen er dominert av offentlige virksomheter, og det er ikke tilfeldig. nav.no, ssb.no, stortinget.no og udi.no scorer alle A+ og har full DMARC-beskyttelse med p=reject. Det samme gjelder nbim.no — Oljefondet — som forvalter verdier for hele den norske befolkningen og behandler tilsvarende sensitive kommunikasjonskanaler deretter.
Høyskolesektoren er også representert øverst: oslomet.no henter 97 poeng og A+-karakter, noe som viser at akademia tar e-postsikkerhet på alvor.
Norges største industrikonserner scorer F
Dette er ikke små aktører. equinor.no, hydro.no og yara.no er børsnoterte selskaper med tusenvis av ansatte, internasjonale operasjoner og høy eksponering mot phishing og svindelforsøk. Likevel mangler de tilsynelatende grunnleggende DMARC-oppsett på sine .no-domener.
Det samme gjelder aker-solutions.no, som opererer innen olje- og gassektoren, og er et attraktivt mål for e-postbasert svindel rettet mot industri og leverandørkjeder.
Det er verdt å presisere: En F-score på data1.no betyr ikke nødvendigvis at selskapene er totalt ubeskyttet på alle e-postdomener de bruker — men det betyr at disse spesifikke domenene ikke har tilstrekkelig konfigurasjon til å hindre at uvedkommende sender e-post som ser ut til å komme fra dem.
Finanssektoren henger etter
sparebanken-ost.no scorer 0 poeng og er eneste finansaktør i bunnsjiktet denne uken. Banker er et klassisk mål for phishing — kunder forventer e-post fra banken sin, og falske meldinger som tilsynelatende kommer fra et bankdomene kan gjøre stor skade. DMARC med p=reject er en av de mest effektive tiltakene for å hindre nettopp dette.
Medier og logistikk på bunnen
faedrelandsvennen.no og schenker.no er to vidt forskjellige aktører, men begge ender på F. For en avis er tillit til avsenderidentitet viktig — lesere og kilder må kunne stole på at e-post faktisk kommer fra redaksjonen. For et logistikkselskap som Schenker er e-postbasert svindel (f.eks. falske leveringsbekreftelser) en kjent angrepsvektor.
Ukens forbedrer: BI tar et steg i riktig retning
Kun én aktør registrerte målbar fremgang denne uken: bi.no — Handelshøyskolen BI — gikk fra 48 til 60 poeng, en økning på 12 poeng, og klatrer opp til karakter C. Det er et positivt skritt, men fortsatt et godt stykke unna A-nivå. Med tanke på at BI kommuniserer med tusenvis av studenter og næringslivskontakter, er det grunn til å oppfordre dem til å fortsette forbedringene.
Slik er karakterfordelingen i uke 21
| Karakter | Antall domener | Andel |
|---|---|---|
| A+ | 23 | 15 % |
| A | 40 | 25 % |
| B | 17 | 11 % |
| C | 30 | 19 % |
| D | 27 | 17 % |
| F | 21 | 13 % |
40 prosent av domenene scorer A eller A+ — det er lovende. Men 30 prosent havner på D eller F, og 12 domener mangler DMARC helt. Se trendoversikten for å følge utviklingen over tid, eller sammenlign domener på tvers av bransjer.
Hva bør du gjøre?
- Sjekk ditt eget domene på data1.no — det tar under ett minutt.
- Mangler du DMARC? Start med en
p=none-policy og rapportadresse, slik at du får oversikt over e-postflyten din. - Har du
p=noneellerp=quarantine? Sett en frist for å gå tilp=reject— det er først da du er reelt beskyttet mot domenemisbruk. - Vurder MTA-STS og BIMI for ytterligere sikkerhet og avsendergjenkjenning i mottakernes innboks.
Ingen av tiltakene over krever store investeringer — men gevinsten for deg selv og de du kommuniserer med er betydelig.