Beste e-postsikkerhet for bedrifter: Slik beskytter du deg mot phishing

E-post er det mest brukte kommunikasjonsverktøyet i næringslivet — og det mest sårbare. Hver dag mottar norske bedrifter tusenvis av forsøk på phishing, CEO-svindel og falske fakturaer.

Angriperne har blitt dyktige. Falske e-poster fra «banken» eller «regnskapsføreren» ser ekte ut. De bruker riktig logo, riktig toneleie og refererer til reelle transaksjoner. Kunstig intelligens gjør det enda enklere å lage overbevisende falske meldinger på norsk.

De vanligste angrepstypene mot norske bedrifter er:

• Phishing: Falske e-poster som lurer deg til å oppgi passord eller klikke på skadelige lenker.
• CEO-svindel: Noen utgir seg for å være daglig leder og ber om hastebetaling.
• Falske fakturaer: Fakturaer som ser ekte ut, men har feil kontonummer.
• Kontokapring: Angripere som tar over en ansatts e-postkonto og bruker den til å lure kollegaer og kunder.

E-postsikkerhet handler ikke om ett enkelt produkt — det er en kombinasjon av tekniske tiltak og gode rutiner. Her er de fem viktigste, i prioritert rekkefølge.

1. Tofaktorverifisering på alle e-postkontoer. Det viktigste enkelttiltaket. Selv om noen stjeler passordet, kommer de ikke inn uten den andre faktoren. Bruk en autentiseringsapp — ikke SMS.

2. Opplæring av ansatte. Vis teamet ditt hva phishing ser ut som. Gjør det i et månedlig møte — fem minutter er nok. Vis ekte eksempler og forklar hva som avslører dem.

3. E-postfiltrering. De fleste e-posttjenester har innebygd spamfiltrering, men dedikerte løsninger fanger mer. Google Workspace og Microsoft 365 har gode filtre, men vurder tillegg som Proton Mail for sensitive mottakere.

4. Domenebeskyttelse (SPF, DKIM, DMARC). Tekniske innstillinger som hindrer andre i å sende e-post som ser ut som den kommer fra ditt domene. Be IT-ansvarlig eller e-postleverandøren om å sette opp dette.

5. Passordbehandler for alle ansatte. Unike, sterke passord for hver tjeneste. Hvis én konto kompromitteres, er resten trygge.

For bedrifter som håndterer spesielt sensitive data — advokater, rådgivere, helsepersonell — kan en kryptert e-posttjeneste som Proton Mail gi et ekstra beskyttelseslag.

Proton Mail bruker ende-til-ende-kryptering. Det betyr at selv ikke Proton kan lese e-postene dine. Serverne står i Sveits, med streng personvernlovgivning. For bedrifter som trenger å dokumentere sikkerhetstiltak overfor kunder eller tilsyn, er det et sterkt argument.

Proton for bedrifter inkluderer e-post, kalender, skylagring og VPN i én pakke. Prisene starter rundt 130 kroner per bruker per måned. Det er dyrere enn Google Workspace eller Microsoft 365.

For de fleste bedrifter holder Google Workspace eller Microsoft 365 med tofaktorverifisering og god opplæring. Proton Mail er et tillegg for bedrifter med ekstra strenge krav.

Selv med gode tiltak kan et angrep lykkes. Ha en enkel plan klar:

Steg 1: Begrens skaden. Bytt passord umiddelbart på den berørte kontoen. Aktiver tofaktorverifisering hvis den ikke er på. Koble maskinen fra nettverket hvis du mistenker skadelig programvare.

Steg 2: Varsle internt. Fortell kollegaer at kontoen kan ha vært kompromittert. Ingen skal stole på e-poster fra den kontoen inntil situasjonen er avklart.

Steg 3: Sjekk hva som er sendt. Gå gjennom «Sendt»-mappen for å se om angriperen har sendt e-poster på vegne av den ansatte — for eksempel falske fakturaer til kunder.

Steg 4: Rapporter. Varsle kunder som kan ha mottatt falske e-poster. Vurder å melde hendelsen til Nasjonal sikkerhetsmyndighet (NSM) via norcert.no.

Konkret eksempel: En regnskapsfører oppdaget at en ansatts e-postkonto sendte falske betalingsoppfordringer til kunder. Ved å reagere innen en time — bytte passord, varsle kunder og sjekke sendte e-poster — unngikk de at noen kunder overførte penger til svindlerne.

Stoler på spamfilteret alene. Spamfiltre stopper det meste, men de mest sofistikerte phishing-angrepene slipper gjennom. Opplæring er det viktigste supplementet.

Bruker ikke tofaktorverifisering. Fortsatt den vanligste feilen. Passord alene er ikke nok — spesielt for e-post, som er inngangsporten til nesten alle andre tjenester.

Har ikke satt opp SPF, DKIM og DMARC. Uten disse tekniske innstillingene kan hvem som helst sende e-poster som ser ut som de kommer fra ditt domene. Kundene dine kan motta phishing som tilsynelatende kommer fra deg.

Reagerer for sent på mistenkelig aktivitet. Jo raskere du handler ved et angrep, desto mindre skade gjør det. Ha en enkel plan klar — og øv på den.