DMARC nyt #7 – SKAT aktindsigt

skat.dk alternativt logo SKAT har som bekendt en ret kritisk holdning til DMARC men modsat alle de andre kendte danske firmaer som plages af phishing har de rent faktisk oprettet en DMARC record som leverer overvågningsdata på hvor meget falsk skat.dk email de kunne have stoppet med DMARC.
For nylig slog det mig så at SKAT jo er en offentlig institution og derfor er omfattet af offentlighedsloven, det burde med andre ord være muligt at få et indblik i de DMARC data SKAT har. Jeg var klar over det ikke ville blive helt nemt, SKAT er jo udmærket godt klar over de har et problem med phishing, og de er bestemt også vidende om at deres indsats for at gøre noget ved problemet er ikke eksisterende.
Jeg forsøgte mig først via Twitter, @skattefar plejer at være ret hurtig til at svare, det var man også i dette tilfælde, de trak øjeblikkeligt sikkerhedskortet frem og afviste mig blankt.

skat-twitter

Jeg insisterede dog på at jeg ville forsøge at få aktindsigt og til sidst fik jeg en emailadresse jeg kunne henvende mig på, her stødte jeg så på den næste hindring, den pågældende emailadresse kan man kun sende email til hvis man arbejder hos SKAT.
Til sidst lykkedes det dog ved @skattefars hjælp at få en emailadresse jeg kunne aflevere min aktindsigtsanmodning på.
Så startede ventetiden, aktindsigtsanmodninger skal efterkommes på 7 dage siger reglerne, på trods af jeg kun bad om et screenshot af en enkelt side kunne SKAT ikke overholde leveringsfristen, men måtte 2 gange informere mig om at de skulle bruge en uge mere for at fuldføre opgaven.
Forklaringen på den ekstreme leveringstid skal man finde i at det egentlig ikke er SKAT som skal udføre opgaven, den slags opgaver er outsourcet til CSC … og så behøver man vel ikke sige mere.
I dag, 43 dage efter “first contact” fik jeg så endelig aktindsigt i SKATs DMARC data.
SKAT er ikke sådan rigtig glade for jeg skal se deres DMARC data, så inden data blev afleveret til mig blev de udsat for en smule censur.
skat.dk-dmarc-rapport

Heldigvis fik jeg også det screenshot jeg oprindeligt bad om, hvordan det slap gennem censuren forstår jeg stadig ikke helt.

skat-dk-dmarc-overview

På dette screenshot kan man se at SKAT i denne måned har haft helt op til over 4500 falske emails i omløb pr dag.
SKAT mener forsat ikke det er umagen værd at lave en rigtig DMARC implementering, jeg synes de skulle skamme sig, og se at komme igang i en fart.