Derfor gjennomførte Kristiansand kommune en phishingøvelse.
For noen år siden ble Kristiansand kommune offer for et phishing-angrep. Informasjon kom på avveie via to mailkontoer, og på kort tid hadde kommunen sendt ut 5 millioner spam-meldinger til hele Norge. Kapringen førte til at Microsoft stengte kommunens tilgang til mailsystemet, og Kristiansand kommune fikk ikke kommunisert ut via mail på 14 dager. På dette tidspunktet hadde ikke kommunen tofaktorautorisering.
Ingunn Kvivik, kommunikasjonssjef i Kristiansand kommune
“Målet med øvelsen var å vise ansatte – og ledelsen i kommunen – hvor lett det er å bli lurt”, forklarer Kvivik: "Vi innså raskt at vi manglet grunnleggende sikkerhetsrutiner og bevissthet. Bruker du for eksempel samme passord på private kontoer som på jobb, kan en hacker plutselig få tilgang til hele arbeidsplassen din dersom en av dine private kontoer rammes."
Jarle Børven, som jobber som etisk hacker og penetrasjonstester i Netsecurity, satte opp og gjennomførte testen sammen med Kristiansand kommune. «Jeg snakket mye med Ingunn for å kartlegge, deretter laget vi et scenario som var troverdig og i en naturlig kontekst. To nøkkelelementer for å få folk til å «gå fem på» i slike tester, er å bruke midler som hastverk og frykt. Det gjør at folk blir stresset og trykker på lenker før de ber om en second opinion fra andre», sier han.
Kristiansand kommune tok kontakt med Netsecurity, og sammen satte vi opp en falsk epost som skulle gå ut til 9500 intetanende ansatte. 7000 personer åpnet mailen, og av disse var det 1336 som trykket på linken og oppga sensitiv informasjon. Ordlyden og innholdet var laget slik at det virket som om mailen kom fra kommunen, men epostadressen var falsk og avsenderen eksisterte ikke i virkeligheten.
"Vi ble litt overrasket over hvor mange som ble lurt, med tanke på hvor mange år vi har deltatt i sikkerhetsmåneden og hvor mye vi har snakket om det. Det viser at det ikke holder å snakke om dette, folk må kjenne det på kroppen”, sier Ingunn Kvivik. Det å ha brannmur og sikkerhet på plass er altså ikke tilstrekkelig, siden hackere lett kan komme seg forbi dette ved hjelp av uoppmerksomme ansatte.
.png?width=300&height=300&name=Bilde%20(6).png "Ingunn Kvivik")
Kristiansand kommune har merket en økning i antall ansatte som tar kontakt når de får en mail de er skeptiske til. I tillegg ser de at bevisstheten har økt generelt hos de ansatte, noe som også var målet med øvelsen. Resultatet er at IT-sikkerheten ivaretas bedre nå enn før de gjennomførte øvelsen.
“I etterkant av øvelsen hadde vi en evaluering med Netsecurity, hvor de også kom med råd til hvordan vi skulle agere videre. Hele prosessen var profesjonell og uproblematisk, med faglig dyktige folk. Alt fra planlegging til gjennomføring og evaluering i etterkant fungerte supert og det opplevdes veldig trygt å ha Netsecurity der”, sier kommunikasjonssjef Kvivik.
- Ved å gjennomføre en phishing-øvelse, gjøres brukeren mer bevisst på slike angrep og hva man skal være på vakt for. IT-sikkerhet er lag-på-lag-sikkerhet, men phishing går forbi mange av disse lagene og rett på mennesket. Derfor er det ekstremt nyttig at alle ansatte får trene på hvordan et angrep kan se ut.
Jarle Børven, etisk hacker og penetrasjonstester i Netsecurity
Hva vil det bety for bedriften deres hvis ansattes kontoer bli tatt og uvedkommende får tilgang til systemene deres? Det er en risikovurdering alle bedrifter bør ta, ifølge Kvivik.
"Ett tips er å engasjere seg i sikkerhetsmåneden, som er i oktober hvert år. Her får du mye “gratis” ved at god informasjon er samlet på ett sted, du kan delta på ulike seminarer og lignende. Ved å sette sikkerhet høyt på agendaen denne måneden, er det lettere å beholde bevisstheten rundt det resten av året," avslutter Kvivik.
"Absolutt alle bør ha tofaktorautorisering," råder Jarle Børven. "I tillegg er det smart å ha god passordhygiene – ikke bruk samme passord flere steder. Da er inngangen til dine andre kontoer veldig lett," sier han.
Vil du vite mer om hva en phishingøvelse innebærer?
