Därför genomförde Kristiansand kommun en phishingövning
För några år sedan blev Kristiansand kommun offer för en phishing-attack. Information kom på avvägar via två e-postkonton, och på kort tid hade kommunen skickat ut 5 miljoner spammeddelanden till hela Norge. Kapningen ledde till att Microsoft stängde kommunens åtkomst till e-postsystemet, och Kristiansand kommun kunde inte kommunicera via e-post på 14 dagar. Vid den tidpunkten hade kommunen inte tvåfaktorsautentisering.
Ingunn Kvivik, kommunikationschef i Kristiansand kommun
”Målet med övningen var att visa de anställda – och ledningen i kommunen – hur lätt det är att bli lurad”, förklarar Kvivik: "Vi insåg snabbt att vi saknade grundläggande säkerhetsrutiner och medvetenhet. Om du till exempel använder samma lösenord på privata konton som på jobbet, kan en hacker plötsligt få tillgång till hela din arbetsplats om ett av dina privata konton drabbas."
Jarle Børven, som arbetar som etisk hacker och penetrationstestare på Netsecurity, satte upp och genomförde testet tillsammans med Kristiansand kommun. ”Jag pratade mycket med Ingunn för att kartlägga, därefter skapade vi ett scenario som var trovärdigt och i en naturlig kontext. Två nyckelelement för att få folk att ”gå på det” i sådana tester är att använda medel som brådska och rädsla. Det gör att folk blir stressade och klickar på länkar innan de ber om en second opinion från andra”, säger han.
Kristiansand kommun kontaktade Netsecurity, och tillsammans satte vi upp ett falskt e-postmeddelande som skulle skickas ut till 9500 intet ont anande anställda. 7000 personer öppnade mejlet, och av dessa var det 1336 som klickade på länken och uppgav känslig information. Formuleringen och innehållet var utformat så att det verkade som om mejlet kom från kommunen, men e-postadressen var falsk och avsändaren existerade inte i verkligheten.
"Vi blev lite överraskade över hur många som blev lurade, med tanke på hur många år vi har deltagit i säkerhetsmånaden och hur mycket vi har pratat om det. Det visar att det inte räcker att prata om detta, folk måste känna det i kroppen”, säger Ingunn Kvivik. Att ha brandvägg och säkerhet på plats är alltså inte tillräckligt, eftersom hackare lätt kan ta sig förbi detta med hjälp av ouppmärksamma anställda.
Kristiansand kommun har märkt en ökning i antalet anställda som tar kontakt när de får ett mejl de är skeptiska till. Dessutom ser de att medvetenheten har ökat generellt hos de anställda, vilket också var målet med övningen. Resultatet är att IT-säkerheten tas om hand bättre nu än innan de genomförde övningen.
”Efter övningen hade vi en utvärdering med Netsecurity, där de också kom med råd om hur vi skulle agera vidare. Hela processen var professionell och problemfri, med yrkesskickliga människor. Allt från planering till genomförande och utvärdering i efterhand fungerade utmärkt och det kändes väldigt tryggt att ha Netsecurity där”, säger kommunikationschef Kvivik.
- Genom att genomföra en phishingövning blir användaren mer medveten om sådana angrepp och vad man ska vara uppmärksam på. IT-säkerhet är säkerhet i flera lager, men phishing går förbi många av dessa lager och direkt på människan. Därför är det extremt nyttigt att alla anställda får träna på hur ett angrepp kan se ut.
Jarle Børven, etisk hacker och penetrationstestare på Netsecurity
Vad skulle det innebära för ert företag om anställdas konton tas över och obehöriga får tillgång till era system? Det är en riskbedömning som alla företag bör göra, enligt Kvivik.
"Ett tips är att engagera sig i säkerhetsmånaden, som är i oktober varje år. Här får du mycket ”gratis” genom att bra information är samlad på ett ställe, du kan delta i olika seminarier och liknande. Genom att sätta säkerhet högt på agendan denna månad är det lättare att behålla medvetenheten kring det resten av året," avslutar Kvivik.
"Absolut alla bör ha tvåfaktorsautentisering," råder Jarle Børven. "Dessutom är det smart att ha god lösenordshygien – använd inte samma lösenord på flera ställen. Då är ingången till dina andra konton väldigt lätt," säger han.