CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

"Det værste, der kan ske, er, at en medarbejder udleverer en kopi af nøglen til arkivet," siger Lundbecks it-direktør, Michael Skånstrøm. Foto: Hans Juhl. (Foto: Hans Juhl)

Lundbeck stress-tester medarbejderne med it-fusk

Kun ved at stress-teste dine egne medarbejdere får du det sande billede af, hvor godt din virksomhed er klædt på til at holde it-fidusmagere fra forretningshemmelighederne, mener Lundbeck.

13. oktober 2011 kl. 15.59
Mads Elkær Mads Elkær Journalist

Læs også:
Er du klar til at modstå truslen fra social engineering?

Telefonen ringer i medicinalfirmaet Lundbecks globale Service Desk. Det gør den ganske mange gange hver dag, så det er vel ikke så underligt.

En Lundbeck-medarbejder besvarer opkaldet. Denne gang er det en lettere stresset marketingmedarbejder, der venligt, men febrilsk, fortæller, at en af virksomhedens direktører står på en konferencescene i udlandet og skal fremvise de nyeste data fra selskabets portefølje.

Uheldigvis har direktøren glemt sit password til Lundbeck-mailen. Så tallene kan ikke vises på den store skærm i konferencesalen, hvor der sidder flere hundrede utålmodige mennesker og venter.

Mon ikke lige Service Desk kan hjælpe med at fremskaffe direktørens login-oplysninger? Og helst lidt hurtigt.

Må ikke udlevere nøglen

I en virksomhed som danske Lundbeck med forretningshemmeligheder i milliardklassen på sit interne netværk skal det være helt klart, hvordan den slags opkald skal håndteres.

For ingen medarbejdere må afgive oplysninger, der kan bruges af it-kriminelle til at tiltuske sig adgang til mere eller mindre forretningskritiske filer.

"Det værste, der kan ske, er, at en medarbejder udleverer en kopi af nøglen til arkivet," siger Lundbecks it-direktør, Michael Skånstrøm, om scenariet med at udlevere direktørens brugernavn og passwords til personer med skumle hensigter, mens direktøren fortsat bruger sin mail, ganske uvidende om at andre læser med.

For med kopioplysninger ved tasterne kan de it-kriminelle lydløst tiltuske sig adgang til forretningshemmeligheder, der ellers bliver beskyttet bag et tykt lag firewalls, anti-virusprogrammer, rettighedskontrol og logfiler, som under normale angreb ville have fået sikkerhedsalarmerne til at bimle og bamle hos Lundbeck.

Hamrer på egne vægge

For at imødegå ubudne netværksgæster hyrer Lundbeck såkaldte penetrations-selskaber og kører interne forsøg på at hamre sine egne sikkerhedsvægge ned med list. Og ikke mindst lære noget om eventuelle huller, der måtte blive fundet i væggen.

Udleverer mere end godt er

Medicinalselskabet har gennem en tredjepart blandt andet prøvet at fiske efter medarbejderoplysninger i falske "Vind en iPad"-konkurrencer, afsendt skumle links og forsøgt sig med drevent plattenslageri over telefonen.

Michael Skånstrøm erkender, at det er sket, at medarbejdere i sådanne tests har talt over sig og udleveret, hvad han kalder 'flere oplysninger end godt er'.

"Så kan vi jo bare være glade for, at det var en test. Det, vi desværre ikke kan vide med sikkerhed, er, om nogen lykkes med at komme igennem med den slags uden for vores kontrol. De farligste hackere er jo dem, der kommer hele vejen igennem uden nogensinde at blive opdaget," forklarer Michael Skånstrøm.

Den lille pige og mobiltelefonen

Ganske uvidende om, at han deltog i en sikkerhedstest, blev it-direktør Michael Skånstrøm mellem jul og nytår selv ringet op af en direktørkollega.

Kollegaen havde uden held forsøgt at vride et administrator-password ud af først Service Desk og siden andre it-folk i selskabet for til sidst at prøve med Michael Skånstrøm. Han måtte lægge ører til en opdigtet historie om en "livsvigtig" opsætning af en ny smartphone, som hans datter havde fået i julegave, hvilket åbenbart krævede et administrator-password til Lundbeck.
 
"Jeg har ikke den slags oplysninger eller rettigheder, og hvis jeg havde, ville jeg selvfølgelig aldrig udlevere dem - heller ikke til en desperat direktørkollega," fastslår Michael Skånstrøm.
Han tilføjer, at der nok ville være en kæmpe forretning i at kende de præcise teknologiske modtræk mod social engineering i alle angrebsteknikkens farver og former.

"Derfor tester vi højt og lavt og på tværs af alle fagområder. Det er selvfølgelig ærgerligt, når en medarbejder 'falder i' i sådan en test, men vi prøver at skabe et overblik på den måde," siger Lundbecks it-direktør.

Finder huller og lapper dem

Lundbeck præsenterer derefter resultaterne af den slags ugelange indbrudstests for sit Information Security Board, hvor der sidder ledende medarbejdere fra alle fagområder.

De forholder sig til faldgruberne, og sammen med it-afdelingen prioriterer de selskabets indsats for at lukke eventuelle sikkerhedshuller, som de sociale ingeniører kunne finde på at bore i.

"Det mest effektive i vores tests er opmærksomheden og den efterfølgende adfærdsændring, når vi opdager en svaghed og gør noget ved det. For angreb med social engineering sker ikke bare for naboen, det sker også for dig og for nogle, der ligner dig."

Læs også:
Er du klar til at modstå truslen fra social engineering?




Navnenyt fra it-danmarkVis alle »
Jeanette Haven
Jeanette Haven
Mikkel Birkegaard
Mikkel Birkegaard
Frederik Lundager Lang Muhs
Frederik Lundager Lang Muhs
Jaron Wachsberg
Jaron Wachsberg

Lars Kjer Jensen
Lars Kjer Jensen
Imran Ahmed
Imran Ahmed
Kiwi Maria Sambleben
Kiwi Maria Sambleben
Steen Bollerslev
Steen Bollerslev


 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer og Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her
Kommende events
Hybrid, on-premise eller public cloud. Bliv klogere på fremtidens datacenter

Få indblik i, hvordan du planlægger, designer og drifter dit datacenter, så det kan følge med virksomhedens vækst, støtter bæredygtighedsindsatsen og lever op til krav om effektiv datahåndtering.

25. februar 2025 | Læs mere

Identity Festival 2025

Er du klar til en dag, der udfordrer din forståelse af, hvad Identity & Access Management (IAM) kan gøre for din organisation? En dag fyldt med indsigt, inspiration og løsninger, der sætter kursen for, hvordan vi arbejder med IAM i de kommende år.

05. marts 2025 | Læs mere

Tech Transformation Trends 2025

Tech Transformation Trends er konferencen, hvor vi sætter fokus på de helt store Danske virksomheders digitale transformationer og måden de driver virksomhed på. Dagen byder på cases og vidensdeling, der vil give inspiration som kan være med til at løfte din strategi og navigere i fremtidens digitale landskab.

06. marts 2025 | Læs mere

Se flere events »

White papers
Flere white papers »


Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Mogens Nørgaard
Mogens Nørgaard
Vikram Sharma
Vikram Sharma
Jørgen Floes
Jørgen Floes
David Guldager
David Guldager
Jeppe Juul-Andersen
Jeppe Juul-Andersen
Thomas Wong
Thomas Wong
Mogens Nørgaard
Mogens Nørgaard
Morten Eeg Ejrnæs Nielsen
Morten Eeg Ejrnæs Nielsen og Lisbeth Loft
opinion
Mogens Nørgaard
Mogens Nørgaard
Nørgaard: Vi har i Danmmark brug for en grundlæggende militær reform af tre små ting - her er min plan
Læs indlæg
Artikel teaser billede

Vikram Sharma

Cybersikkerhed: Sådan bør du prioritere dine sikkerhedsinvesteringer i 2025

Artikel teaser billede

Jørgen Floes

Er din virksomhed preppet til tre uger uden it?

Artikel teaser billede

David Guldager

Guldager: AI på mobilen kan skabe et kongeskifte

Artikel teaser billede

Jeppe Juul-Andersen

It-projekter lykkes ikke kun med god planlægning – de skal også have et hjerte: Her er tre gode råd

Mest læste klummer og blogs
Er din virksomhed preppet til tre uger uden it?
Klumme: Er jeres it-systemer robuste nok til at overleve et nedbrud i flere uger, eller vil en enkelt phishing-mail kunne lamme hele forretningen?
Af: Jørgen Floes
Nørgaard: Vi har i Danmmark brug for en grundlæggende militær reform af tre små ting - her er min plan
Klumme: Indkald alle tidligere soldater under 65, alle jægere og alle medlemmer af skytteforeninger. Indkald ALLE 18-årige hvert år og uddan dem til ét eller andet - dog vigtigt at de forstår, at gamerstole ude ved fronten er sjældne.
Af: Mogens Nørgaard
Nørgaard: Den tophemmelige AI-køreplan for 2025
Klumme: Mine eksperimenter med at slippe nemt om ved ITIL/ITSM-halløjet går forrygende.
Af: Mogens Nørgaard
David Guldager
opinion
David Guldager
Guldager: AI på mobilen kan skabe et kongeskifte
opinion Thomas Wong
Den nye nationale strategi for cybersikkerhed skal bakkes op af penge og handling
Læs indlæg

Premium
Teaser billede
Alt om den prisvenlige iPhone 16E: Så god er den i forhold iPhone 16 og 16 Pro
Læs mere »
Derfor ender dine AI-projekter ofte med at blive for dyre: Tre store udfordringer, som det er svært at tackle
Regeringen har sendt brev til den danske it-branche som svar på bekymringer: Og svaret er "stærkt, klart og meget kærkomment," siger branchen
En lille håndfuld cloud-leverandører sidder på 64 procent af det globale marked: Omsætter for flere hundrede milliarder kroner
Se alle »
Computerworld
Teaser billede
Test: En af de bedste elbiler, som du overhovedet kan købe, er fransk
Læs mere »
Test: Verdens vildeste trådløse højttaler trodser naturlovene og udløser et sjældent seks-tal
Selv pc’er fra 2020 efterlades i kulden: Her er de processorer som mister Microsoft Windows-support
Ny Windows-opdatering skaber store problemer for brugerne: Alvorlige fejl
Se alle »
CIO
Teaser billede
Microsoft gør klar til at lukke for WSUS efter 20 år - alle it-admins bør forberede sig
Læs mere »
Tre ud af fire it-projekter løber af sporet og går over budgettet - og det er der en særlig forklaring på
Regioner klar med licens-aftale med Microsoft: Priserne stiger markant
Microsoft indgår syvårig milliardaftale med rådgivnings-gigant – 600 danske ansatte får Copilot-licenser
Se alle »
Job & Karriere
Teaser billede
40 år gammelt dansk it-selskab fusionerer med hollandsk firma og skifter navn
Læs mere »
Her er deres månedsløn: Så meget tjener CIO'erne i de danske regioner - den bedst lønnede får mere end digitaliseringsministeren
Lønninger i den danske it-branche fortsætter med at stige - så meget tjener de danske it-folk i gennemsnit
Nørgaard: I de gode gamle dage havde jeg for vane at fyre alle mine medarbejdere jævnligt
Se alle »
White paper
Teaser billede
Sådan: Opgradér din printerløsning uden store investeringer
Læs mere »
Sikkerhed gjort enkelt: Beskyt din virksomhed direkte i browseren
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »