Hvorfor lave en informationskampagne om it-sikkerhed?

14. december 2016 - Erik Ahrenkiel Frederiksen fra DR fortæller hvorfor DR har valgt at sætte fokus på informationssikkerhed og medarbejdernes rolle.

”Som det er fremgået af mange af de andre indlæg på konferencen, står vi overfor et hastigt udviklende trusselsbillede med stadig mere sofistikerede trusler. I DR bliver vi, ligesom alle andre, stadig mere digitale og det gør os mere sårbare for truslerne”, begyndte Erik Ahrenkiel og fortsatte:

”Vi har mange tekniske foranstaltninger, der hjælper os med at sikre en stabil drift og begrænse risikoen for systemnedbrud eller lignende. Men vi er også nødt til at se på brugernes adfærd og flytte bevidstheden fra ’det klarer IT’ til ’jeg har også et ansvar for sikkerheden’. Derfor iværksatte vi tidligere på året en kampagne, der har til formål at øge medarbejdernes viden og bevidsthed om it-sikkerhed.”

Hvordan skaber man opmærksomhed omkring sikkerhed?

DR har lanceret awareness-kampagnen i samarbejde med Dubex, der bl.a. har leveret en portal med en masse information og vejledning om truslerne og hvordan man kan beskytte det man har. Derudover har DR valgt at kampagnen også skal inkludere events, der fanger medarbejderens opmærksomhed.

”Der er to tilgange til at implementere en kampagne som det her i virksomheden. Vi kan som virksomhed kræve, at alle gennemfører forløbet eller vi kan lade det være op til den enkelte. I DR har vi på grund af vores medarbejdersammensætning valgt, at det ikke skal være obligatorisk. I stedet har vi fokus på at understøtte kampagnen med events, der giver medarbejderne nogle aha-oplevelser og på den måde motiverer dem til at bruge portalen og hente mere viden”, forklarede Erik Ahrenkiel.

Phishing-test satte fokus på medarbejdernes rolle

Som en del af awareness-kampagnen bad DR Dubex om at iscenesætte en phishing-kampagne. Formålet var at illustrere hvor nemt det ville være at lave en phishing-kampagne målrettet DR og samtidig afdække, hvor mange der ville åbne mailen, klikke på linket og indtaste brugernavn og password.

Phishing-mailen var baseret på en klassisk phishing-skabelon, emnet var ”organisationsændring” og afsenderen var DRInde, der er DRs intranet. Afsenderen så altså troværdig ud, men der var indsat flere typiske, sproglige fejl, der burde vække mistanke hos modtageren. Derudover var der et link til en falsk DR-side, hvor medarbejderen skulle indtaste brugernavn og password. Herefter blev brugeren ført over til en rigtig DR-side.

”Vi lavede to tests; en til få og en til alle. Den første havde fokus på hvor mange, der ville falde i og hvad der ville ske internt i organisationen. Altså hvilke processer, der ville gå i gang. Den anden test havde til formål at lave noget awareness og få medarbejderne til at reflektere over situationen og hvordan de selv reagerede”, fortalte Erik Ahrenkiel og gav deltagerne på konferencen et indblik i resultatet:

”Den første mail blev sendt til en lille gruppe, hvoraf 2 henvendte sig til teknologiafdelingen for at gøre opmærksom på e-mailen. Det lyder måske ikke af så meget, men bare det at en enkelt medarbejder reagerer, gør det muligt for os at tage hånd om situationen og begrænse skaden.”

Dagen efter den første mail blev sendt ud, modtog resten af organisationen den samme mail. Mange medarbejder åbnede og klikkede på linket, og flere afgav også deres brugernavn og password. Men flere henvendte sig også til teknologiafdelingen – en enkelt medarbejder sporede sig faktisk frem til Dubex som afsender og rettede henvendelse direkte til dem.

”Resultatet af vores phishing-test matcher andre virksomheder: Der vil altid være nogen, der falder i. Derfor er vi også rigtig glade for, at flere medarbejdere opdagede, at noget var galt og tog kontakt til nogen, der kunne undersøge sagen nærmere. Udfordringen er imidlertid, at det går så lynende hurtigt. Så selvom enkelte medarbejdere reagerer, kan virus/malware nå at forvolde stor skade på kort tid. Det kræver at man har styr på det interne beredskab og processer, der understøtter dette! Og at man løbende informerer medarbejderne om truslerne”, forklarede Erik Ahrenkiel.

Opfølgende kommunikation og ledelsens rolle

Efter testen blev der lavet en intern artikel om testresultatet og der blev ligeledes hængt plakater op for at understøtte budskabet. Alt materiale henviste til sikkerhedsportalen, hvor medarbejderne kan blive klogere på de digitale trusler og hvordan de håndterer dem.

”Den efterfølgende kommunikation skabte en intern debat. Reaktionen var overvejende positiv og medarbejderne tilkendegav, at det var et vigtigt budskab med interessant, og for nogle ny, viden”, forklarede Erik Ahrenkiel. Der var dog også nogle, der blev stødt og enkelte blev sure over det vi gjorde.”

DR oplevede desuden reaktioner udenfor organisationen. En ekstern journalist havde set en af plakaterne og tweetet om det, hvilket skabte en debat på Twitter. Version2 opsnappede historien og lavede efterfølgende en artikel om vigtigheden af at sætte fokus på sikkerhed.

”Vores organisation er jo ligeså sårbare overfor et rigtig phishing-angreb som jeres virksomheder er. Vores målsætning er, at det ikke skal være en hverdags begivenhed, der forstyrrer den daglige drift. I det her tilfælde havde vi tilpas mange og hurtige reaktioner, men der er stadig behov for mere rigtig adfærd. Vi har med den her kampagne fået skabt noget opmærksomhed, men der er stadig ikke så mange, der har brugt portalen aktivt. Det er primært et spørgsmål om, at jeg ikke kommer til at tvinge medarbejderne til det. Hos os skaber vi opmærksomhed gennem events, men ”tvang” kan virke i andre organisationer”, sluttede Erik Ahrenkiel inden han svarede på tilhørernes spørgsmål, hvor en af deltagerne ville vide, hvad ledelsens rolle og reaktion på testen var.

”Vores direktør i direktionen var taget i ed i forbindelse med phishing-testen, men resten af ledelsen var ikke orienteret. De blev klædt på i forbindelse med den opfølgende kommunikation. Til gengæld var de glade for, at der var sat fokus på udfordringen og at der var en plan for det videre arbejde. Men ligesom mange andre organisationer har vi stadig en modningsproces for an os ift. at finde det rette sikkerhedsniveau og hvilke investeringer, der understøtter det. Jeg tror, at EU-persondataforordningen kommer til at sætte fokus på nogle sikkerhedsaspekter, som ellers kan være svære få italesat”, svarede Erik Ahrenkiel.

 

Kontakt Dubex her eller på tlf. 3283 0430 hvis du vil vide mere om phishing-tests og hvordan du kan sætte fokus på dine medarbejderes rolle i forhold til sikkerhed.