I et forsøk på å styrke datasikkerheten blant sine ansatte, gjennomførte Favrskov kommune i Danmark et simulert hackerangrep som lokket over 100 medarbeidere i fellen. Angrepet var nøye planlagt og utført av kommunen selv, med formål om å øke bevisstheten rundt trusselen fra såkalte phishing-angrep.
Det skriver TV2.
Rundt juletider mottok 3145 ansatte i kommunen en e-post med budskapet: "Tid for å velge julegave – vingaver til de raskeste". Flere ble fristet, klikket på lenken og oppga både brukernavn og passord på en falsk nettside som etterlignet en gaveportal. Men i stedet for å bli ofre for kriminelle, var dette en del av kommunens egen kampanje for å bevisstgjøre ansatte om farene på nettet.
En utfordring å beskytte systemene
Bakgrunnen for det uvanlige tiltaket er at menneskelige feil ofte er den største sikkerhetsrisikoen, selv i systemer med avansert teknisk beskyttelse. IT-sjefen i Favrskov kommune, Henrik Brix, forklarer at de kan ha verdens beste sikkerhetssystemer, men hvis en ansatt deler sensitive opplysninger med uvedkommende, kan konsekvensene bli alvorlige.
Derfor ønsket kommunen å gjennomføre et realistisk phishing-angrep som etterlignet ekte svindel. For å gjøre forsøket troverdig, ble det lagt inn små feil i e-posten, slik som en stavefeil i avsenderadressen. Dette var den eneste åpenbare ledetråden for å avsløre svindelen.
Blandet mottakelse
Resultatet ble at over 100 ansatte lot seg lure, noe som ble en vekker for mange. Selv om flere ansatte tok kampanjen positivt og forsto hensikten, var det også noen som mente at tiltaket gikk for langt og var for virkelighetsnært. Kommunen står likevel fast ved at det er nødvendig å gjennomføre slike tester for å være bedre rustet mot ekte angrep. De som ble lurt, ble ikke straffet, men fikk i stedet tilbud om opplæring, inkludert e-læringskurs om datasikkerhet.
Phishing – en alvorlig trussel
Phishing er en form for svindel der kriminelle forsøker å lure til seg sensitive opplysninger som brukernavn, passord eller kredittkortdetaljer. Dette skjer som oftest via e-post, SMS eller meldinger i sosiale medier. Svindlerne lager gjerne falske nettsider som ser ekte ut, for å få folk til å oppgi informasjon.
Ifølge myndighetenes Nasjonale risikobilde er nettopp cyberangrep en av de største truslene mot blant annet kommuner. Favrskov kommune planlegger derfor å gjennomføre flere slike simulerte angrep i fremtiden for å forbedre sikkerhetskulturen ytterligere.
Hackerne blir stadig mer avanserte
Tidligere var hacking ofte forbundet med enkeltpersoner som opererte alene, men nå ser man at stadig flere angrep er orkestrert av både stater og kriminelle organisasjoner. Dette gjør trusselen enda mer alvorlig og krevende å forsvare seg mot. Derfor blir bevissthetstrening, som simulert phishing, en viktig del av sikkerhetsarbeidet i både offentlige og private virksomheter.
Favrskov kommune bruker i tillegg multifaktorautentisering, noe som betyr at selv om svindlere får tak i brukernavn og passord, vil de fortsatt ikke kunne få tilgang uten en ekstra bekreftelse. Likevel understrekes det at det er viktig å være på vakt og ikke bli lurt i utgangspunktet.
