Estland har sedan den 31 augusti 2023 satt alla inkommande mejl från ryska .ru-domäner innan de når statliga tjänstemän. Beslutet tillkännagavs av justitie- och digitaliseringsminister Liisa Pakosta. Syftet är att minska exponeringen för nätfiske och malware från ett domänutrymme som estniska myndigheter betraktar som en permanent angreppsvektor.
Beslutet är administrativt till sin natur, inte tekniskt. Det är inte ett svar på någon specifikt incident eller en nyligen avslöjad sårbarhet. I stället speglar det ett medvetet politiskt val att betrakta .ru som en riskkategori, snarare än som ska hanteras från fall till fall.
Hotbilden bakom beslutet
Estlands interna säkerhetstjänst Kapo har varit konsekvent i sin beskrivning av hotet från Ryssland. I den senaste årsrapporten uttryckte myndigheten det tydligt: ”Den övergripande hotbilden har inte förändrats. Estlands främsta motståndare är densamma – den var, är och kommer under överskådlig framtid att vara Ryssland.” Den formuleringen lämnar inte mycket utrymme för nyanser, och policyn att sätta e-post i karantän är ett direkt operativt uttryck för den bedömningen.
Kapos rapport för 2023 noterade också ett rekordantal ryska underrättelseoperatörer som avslöjats i Estland, enligt Politicos bevakning av rapporten. Siffran bröts inte ned offentligt, men påståendet pekar på en aktiv kontraspionagemiljö där digitala och mänskliga hotvektorer behandlas som sammankopplade.
Estland var också en av de första Nato-medlemmarna att formellt tillskriva cyberattacker på statsnivå till rysk militär underrättelsetjänst, genom att namnge GRU Sandworm-enhet i ett uttalande från Estlands utrikesministerium. Den historiken av attribuering ger Tallinns hotbedömningar större institutionell trovärdighet än de flesta andra. När Estland går från attribuering till operativ policy tenderar andra regeringar att lägga märke till det.
Vad policyn faktiskt innebär
E-post som kommer från .ru-domäner raderas inte. Den sätts i karantän, vilket innebär att den hålls kvar för granskning i stället för att levereras automatiskt till inkorgen. Policyn gäller estniska myndigheter. Privata organisationer omfattas inte av direktivet, men inget hindrar dem från att tillämpa samma logik i sina egna regler för e-postfiltrering.
Den praktiska effekten är att .ru-mejl tas bort från det normala leveransflödet och kräver ett aktivt beslut för att släppas igenom. För de flesta estniska tjänstemän kommer detta att förändra mycket lite. Legitima myndighetskontakter med ryska aktörer har varit begränsade sedan februari 2022. Den trafik som mest sannolikt påverkas är oönskad e-post, vilket också är den kategori som innebär högst phishingrisk.
Det här är ett trubbigt verktyg, och det är avsiktligt. Alternativet, att i stor skala försöka skilja legitima .ru-avsändare från skadliga, är ett tekniskt problem som lätt skapar falsk trygghet. Genom att sätta hela kategorin i karantän undviker man det problemet helt.
Frågan för de nordiska grannländerna
Sverige, Finland och de andra nordiska staterna står inför samma hotmiljö som Estland har hanterat under längre tid. Sveriges SÄPO och Finlands Supo har båda publicerat bedömningar där ryska statsstyrda cyberoperationer pekas ut som ett primärt hot mot myndighetsnätverk och kritisk infrastruktur. Frågan är inte om hotet finns. Frågan är om domänbaserad karantän är en proportionerlig och operativt användbar åtgärd för större och mer komplexa statliga e-postmiljöer.
Estlands statliga e-postmiljö är relativt liten i ett regionalt perspektiv. Tallinn kan införa och hantera en generell karantänpolicy för .ru-domäner utan betydande operativa störningar. Ett svenskt departement eller en finsk myndighet med bredare internationell korrespondens kan däremot få svårare att införa samma policy på ett rent och konsekvent sätt, även om den bakomliggande logiken fortfarande är sund. The Records rapportering om denna policy, publicerad samma dag som den trädde i kraft, noterade att estniska tjänstemän inte antydde att åtgärden var avsedd som en modell för EU-partner. Om andra regeringar väljer att behandla den som en sådan är deras eget beslut.
Vad organisationer bör granska nu
Alla organisationer som i dag inte har DMARC-tillämpning aktiverad i sin inkommande e-postfiltrering tar en onödig risk. DMARC, tillsammans med SPF och DKIM, verifierar att inkommande e-post skickas från servrar som är auktoriserade av den avsändande domänen. Det löser inte .ru-problemet specifikt, men det stänger ute en rad spoofingattacker som karantänpolicyer ensamma inte hanterar.
Granska era regler för e-postfiltrering och hur .ru-trafik hanteras i dag. Om er organisation inte har något aktivt affärsbehov av att ta emot e-post från ryska domäner är karantän eller avvisning som standard en försvarbar policy, inte en extrem åtgärd. Dokumentera beslutet så att det kan omprövas när omständigheterna förändras.
Utbilda personalen i att behandla all .ru-e-post som faktiskt når inkorgen med samma skepsis som de skulle visa mot e-post från en okänd avsändare. Karantänpolicyn minskar volymen. Den eliminerar inte angreppsvektorn för organisationer som av legitima skäl måste upprätthålla viss korrespondens med .ru-domäner.
Referenser
- Estonia to quarantine emails sent from Russian .ru domain before they reach government officials
- Estonia will place emails sent from Russian servers in quarantine
- Estonia to restrict emails from Russian servers
- Estonia unmasks record number of Russian spies
- Estonia names Russia’s military intelligence in first-ever attribution of cyberattacks
This post is also available in:
English
