Phising, eller nätfiske, är den mest utbredda typen av cyberattack och det vanligaste angreppssättet är skadliga länkar. Många företag, kommuner och myndigheter har utsatts för nätfiske under de senaste åren. I Sverige har det rapporterats om attacker mot ett antal kommuner och även i Norge har problemen ökat kraftigt. För några år sedan föll Kristiansands kommun i Norge offer för en nätfiskeattack. Information kom på avvägar via två stulna e-postkonton och på kort tid hade kommunen skickat ut 5 miljoner spammeddelanden till hela Norge.
Kapningen ledde till att Microsoft stängde kommunens tillgång till mejlsystemet och Kristiansands kommun kunde därefter inte kommunicera via mail på 14 dagar. Kommunledningen tog beslut om att genomföra en phising-övning tillsammans med Netsecurity för att få en bild av säkerhetsmedvetandet hos kommunens anställda. Syftet med övningen var att visa anställda - och ledningen i kommunen - hur lätt det är att bli lurad.
Otillräckligt säkerhetsmedvetande
-Vi insåg snabbt att vi saknade grundläggande säkerhetsrutiner och medvetenhet. Använder man exempelvis samma lösenord för privata konton som på jobbet, kan en hacker plötsligt få tillgång till hela arbetsplatsen, säger Ingunn Kvivik
Jarle Børven, som arbetar som etisk hackare och penetrationstestare på Netsecurity satte upp och genomförde nätfiskeövningen tillsammans med Kristiansands kommun.
-Tillsammans skapade vi ett scenario som var trovärdigt och insatt i ett naturligt sammanhang. Två nyckelelement för att få människor att klicka på länkar i en sådan här övning är att använda medel som brådska och rädsla. Det gör att folk blir stressade och klickar på länkar innan de ber om en second opinion från andra, säger Jarle Børven.
Kristiansands kommun och Netsecurity satte tillsammans upp ett falskt mejl som skulle gå ut till 9500 intet ont anande anställda. 7000 personer öppnade mejlet och av dessa klickade 1336 på länken och lämnade känslig information. Formuleringen och innehållet var utformat så att det verkade som att mejlet kom från kommunen, men mejladressen var falsk och avsändaren fanns inte i verkligheten.
-Vi blev förvånade över hur många som blev lurade med tanke på att vi under flera år vi har diskuterat och informerat mycket vi om säkerhetsrisker. Övningen visade att det inte räcker att prata om riskerna utan folk måste få uppleva det i verkligheten. Vi konstaterade att det inte räcker att ha en brandvägg och andra säkerhetssystem på plats eftersom hackare lätt kan ta sig förbi detta med hjälp av ouppmärksamma medarbetare, säger Ingunn Kvivik, kommunikationschef på Kristiansands kommun
.png?width=300&height=300&name=Bilde%20(6).png "Ingunn Kvivik")
Nätfiskeövningen har lett till ökad säkerhet
Kristiansands kommun har efter övningen märkt en ökning av antalet anställda som hör av sig när de får ett mejl de är skeptiska till. Dessutom ser de att medvetenheten generellt har ökat bland de anställda, vilket också var syftet med övningen. Resultatet är en förbättrad IT-säkerhet.
-Efter övningen hade vi en utvärdering med Netsecurity där vi också fick råd om hur vi skulle gå vidare. Hela processen var professionell och oproblematisk, och genomförd av väldigt skickliga människor. Allt från planering till implementering och utvärdering efteråt fungerade utmärkt och det kändes väldigt tryggt med att ha Netsecurity som säkerhetspartner”, fortsätter Ingunn Kvivik.
Konkreta åtgärder kommunen har infört:
