Kommune lokkede over 100 medarbejdere i vingave-fælde

»Tid til at vælge julegave. Vingaver til de hurtigste.«

Med det budskab blev lidt over hundrede medarbejdere i Favrskov Kommune lokket til at afgive deres brugernavn og password via en falsk gaveportal.

Medarbejderne slap dog med skrækken. For fælden var iscenesat af kommunen selv for at synliggøre udfordringen med hackerangreb af typen ’phishing’. Det fremgår af en rapport over kommunens databeskyttelsesarbejde, TV2 Østjylland har set.

IT-chef i Favrskov Kommune, Henrik Brix, forklarer, at det simulerede angreb blev lavet for at træne medarbejdernes skepsis på nettet.

»Vi kan konstatere, at en af de største risikofaktorer er medarbejdernes adfærd. Vi kan lave nok så meget teknisk sikkerhed, men hvis en medarbejder opfører sig dumt eller uhensigtsmæssigt, så kan det have store konsekvenser, og så kan vi lave nok så meget teknisk sikkerhed og alligevel have et databrud,« siger han.

»Det var ufint«

Favrskov Kommunes simulerede phishing-angreb involverede 3145 medarbejdere. Det var lige op til jul, og medarbejderne fik her en mail om, at de kunne vælge julegaver, og at der var vingaver til de hurtige.

Henrik Brix ønsker ikke at oplyse, hvor mange medarbejdere, der gik i kommunens egen fælde. Men han oplyser altså, at antallet var trecifret.

Generelt blev kampagnen taget godt taget imod, men der var også kritik.

»Der er nogen, der har ment, det var ufint. Og der er også nogen, der mener, den kampagne, vi kørte, var for virkelighedsnær,« fortæller Henrik Brix, der dog understreger, at der var en selvstændig pointe i at få ’angrebet’ til at se ufarligt og realistisk ud.

»De ondsindede bliver jo også bedre og bedre,« pointerer Henrik Brix.

Ifølge Henrik Brix blev Favrskov Kommunes medarbejdere også forinden varslet om kommunens planer om at lave et simuleret phishing-angreb. Og angrebet blev fulgt op af blandt andet et E-kursus.

Orkestreret af stater

Det er tilsyneladende almindelig praksis i virksomheder og organisationer, at medarbejdere udsættes for simulerede phishing-angreb som et led i sikkerhedstræningen.

En af de virksomheder, der netop tilbyder den form for træning, er Kelsa Media, som har hovedsæde i Ry og blandt andet står bag kampagnen ’Humor mod hacking’.

Her understreger direktør Lis Kelså, at det er helt naturligt at lade sig friste af gode tilbud, man for eksempel modtager i en email. Og netop derfor er det ifølge hende en god måde at træne medarbejdere på.

»Det, det kan give anledning til, er, at man får en snak om, hvad det er, man skal være opmærksom på som enkeltperson og som organisation, så det bliver et fællesanliggende, at IT-kriminelle ikke kommer ind i ens systemer,« siger hun.

Lis Kelså vurderer, at der gennem årene er sket en bevægelse, hvor hackere førhen var enkeltpersoner, som lavede angreb hist og her, til i dag, hvor det ifølge hende kan være orkestreret af stater og kriminelle organisationer.

Truslen er stor

For nylig offentliggjorde myndighederne et opdateret ’Nationalt Risikobillede’. Og her fremhæves netop cyberangreb som værende blandt de største trusler mod eksempelvis kommuner.

I Favrskov Kommune mener IT-chef Henrik Brix, at der er plads til forbedring blandt medarbejderne. Og kommunen planlægger ifølge ham at lave endnu flere simulerede phishing-angreb.

For det kan være alvorligt, hvis hackere bryder igennem.

»Det kan potentielt betyde, at nogen udefra får adgang til kommunale systemer,« siger han.

Henrik Brix understreger dog, at selvom eksempelvis brugernavn og password kommer i de forkerte hænder, kan det i udgangspunktet ikke bruges til noget, da kommunen har såkaldt multifaktor-login til systemerne.

Med andre ord kan kommunens platforme ifølge IT-chefen ikke bare tilgås uden videre.