Meet & Inspire: Når phishing går 'godt'

Meet & Inspire d. 25. marts 2020 *UDSKUDT GRUNDET CORONA-PANDEMI* i Aarhus

9 ud af 10 cyberangreb starter med en e-mail. Kriminelle er dovne, så hvorfor ikke bruge en medarbejder ufrivilligt til at trænge ind i virksomheden, i stedet for at forsøge at bryde igennem de teknologiske IT-Sikkerhedsværn der er etableret mange steder.

#1: Medarbejderen som angrebsvektor

I det første indlæg ser vi nærmere på begrebet Social Engineering, hvor phishing er en stor del af dette. Tom Engly deler også ud af sine erfaringer og tiltag baseret på et større ransomware angreb Tryg var udsat for i 2015.

#2: Hvordan undersøger man organisationens grad af kendskab til phishing-mails? Man sender dem en falsk phishing-mail!

I Region Midtjylland var der et ønske om at finde ud af, hvordan medarbejderne reagerer på truslen fra phishing-mails. Derfor udarbejdede den interne arbejdsgruppe i samarbejde med en ekstern aktør, en falsk phishing-mail der blev sendt til ca. 1200 medarbejdere. For mange medarbejdere faldt i.

På forhånd havde regionens udvalg for samarbejde mellem medarbejderne og ledelsen (RMU) været inddraget samt informationssikkerhedsudvalget og en intern styregruppe for informationssikkerhed.

De etiske diskussioner om at franarre medarbejderne deres Regions-ID, var en stor del af forarbejdet. Det vigtigste var, at vi havde fokus på, at medarbejderne skal lære af dette tiltag. De skal blive mere opmærksomme i deres hverdag og dermed hæve niveauet for hele organisationen.