Af Henrik Malmgreen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Også større mediehuse er højt placeret i hackernes bevidsthed, og derfor har DR ved flere lejligheder gennemført awarenesskampagner med fokus på en phishingtest, der skulle afsløre, om medarbejderne lod sig friste til at klikke på mistænkeligt udseende links.
Og lad det være sagt med det samme – det gjorde de. Høj som lav, hvilket vil sige, at også adskillige fra ledelsen plumpede i fælden.
På InfoSecurity fortalte Erik Ahrenkiel Frederiksen, der har ansvaret for it-sikkerheden i DR, at de i alt to test, man indtil nu har gennemført, har fået den konsekvens, at medarbejdere, der gentagne gange lader sig friste til at klikke på links, de ikke skulle have klikket på, fremover vil blive indkaldt til en samtale i personaleafdelingen samt skal gennemgå en obligatorisk it-sikkerhedsuddannelse.
For selvom de it-kriminelle har alskens teknologiske værktøjer til deres rådighed, er de udmærket klar over, at den menneskelige ubetænksomhed er en af de nemmeste veje ind i et it-system.
Jo mere IP – jo mere følsom
”Jo mere IP-baseret, vi bliver i vores tjenester, jo mere følsomme bliver vi også. Derfor er det vigtigt at gøre medarbejderne bevidste om truslen og øge deres ansvarsfølelse.
I vores første kampagne udsendte vi en mail, der informerede om ændringer i organisationen med et link til en side på vores intranet, som reelt var en fupside.
Mailen var bevidst udformet med nogen af de åbenlyse advarselslamper såsom stavefejl, men ud af en udsendelse til 4000 modtagere var der alligevel 1300, der klikkede på linket, mens 700 tastede deres password for at komme ind på den falske intranetside”, siger Erik Ahrenkiel Frederiksen.
Han fortæller videre, at dette skete på mindre end en time, hvilket understreger vigtigheden af at handle hurtigt, når et angreb registreres. Efterfølgende blev der iværksat en kampagne, blandt andet via en informationsportal, men man oplevede desværre, at interessen blandt medarbejderne var særdeles begrænset.
Desuden oplevede man det lidt groteske, at en del medarbejdere faktisk reagerede negativt. Desuden nægtede nogle pure at have klikket på det famøse link. En ny phishingtest gav sidenhen samme nedslående resultat. Derfor har man besluttet, at medarbejderne ved gentagelsestilfælde skal stå skoleret.