Artikel top billede

Povl D. Rasmussen. (Foto: Povl D. Rasmussen)

Sådan sikkerheds-uddanner DONG 6.500 folk i ét hug

Energigiganten DONG har gennemført en kampagne for at højne it-sikkerheden hos sine ansatte. Læs her, hvordan DONG undervejs fik sig nogle chokerende oplevelser med sine medarbejderes mail-adfærd.

Et fingeret sikkerhedsangreb for godt et halvt år siden var noget af en øjenåbner for energikæmpen DONG Energy, der leverer strøm og varme til et stort antal danske hjem.

Energiselskabet med en omsætning på 73 milliarder kroner og 6.500 medarbejdere havde inviteret sikkerhedsselskabet CSIS Security Group til at forsøge at komme ind i selskabets computersystemer ved at gå ind ad hoveddøren og sætte sig ved tilfældige pc'er.

Ikke nok med, at de falske it-kriminelle kunne snige sig ind hos DONG og derfra fik videre adgang til virksomhedens computere; de fik også tilbudt mad i DONG's køkken, da de sneg sig forbi der.

"Vi er glade for, at vi har servicemindede medarbejdere, men vi skal som medarbejdere være opmærksomme på, hvornår vi skal stille kritiske spørgsmål til fremmede i virksomheden," fortæller DONG's it-direktør, Michael Moesgaard.

For et sådan indbrud kunne have været katastrofalt, hvis det havde været ægte kriminelle med uædle motiver, der havde fået adgang til DONG's netværk.

Her ligger nemlig forretningshemmeligheder og adgangen til samfundskritiske industrielle it-systemer, der i de forkerte hænder kunne slukke for al strømmen i København.

It-direktør Michael Moesgaard fik derfor identificeret it-systemer, de fysiske faciliteter som indgangspartier og virksomhedens medarbejdere som de våben, der tilsammen skal holde ubudne gæster fra fadet.

"Du kan have de bedste it-systemer og adgangskontroller, men hvis medarbejderne ubevidst åbner døren og giver adgang til systemerne, er man jo lige vidt," forklarer Michael Moesgaard til Computerworld.

Die Hard hjalp på topledelsen

Med de nyfundne opdagelser om medarbejdernes lidt for venlige attitude over for "de fremmede" sikkerhedsfolk og angstprovokerende klip fra Die Hard 4.0-filmen med hackerangreb mod netop industrielle energi-systemer fik Michael Moesgaard opbakning fra topledelsen til at igangsætte en it-awareness-kampagne.

"Da vi så klippet fra Die Hard 4.0, fik topledelsen øjnene op for, at den slags potentielt også kan ske hos os, selv om risikoen er relativt lille," forklarer Michael Moesgaard, inden awareness-kampagnen blev sparket i gang i det spæde forår.

En awareness-kampagne i it-regi er et oplysningsfremstød, der blandt andet skal gøre medarbejderne opmærksomme på de risici, der er, når de åbner mails fra ukendte afsendere med links og vedhæftede filer, og hvis de uhindret lader fremmede uden adgangskort komme ind i DONG's bygninger.

Her er fem gode råd til bedre it-sikkerhed

I første omgang fik Michael Moesgaard og DONG's kommunikationsafdeling med hjælp udefra produceret en humoristisk kortfilm/trailer til internt brug med titlen 'Five Forces Agains Hacking'.

I filmen giver blandt andre selskabets administrerende direktør Henrik Poulsen den som hardcore hackerbekæmper i skarpt jakkesæt og solbriller i bedste Men In Black-stil.

"At Henrik stiller op på den måde og er skuespiller med et glimt i øjet, giver altså medvind hos medarbejderne fra starten," forklarer Michael Moesgaard om filmproduktionen.

De fem gode råd

De fem kræfter mod hackerangreb, som filmtitlen referer til, er, at medarbejderne skal være opmærksomme på at:

1) Låse deres computere, når de forlader den
2) Slette mails fra ukendte afsendere
3) Undlade at dele deres passwords med kolleger
4) Passe på at benytte USB-sticks, som de ikke kender oprindelsen af
5) Undlade at lukke fremmede ind med deres adgangskort

DONG fik samtidig produceret plakater med disse fem råd, som blev hængt op på virksomhedens kontorer, ligesom der blev oprettet et kampagnesite på virksomhedens intranet, og kommunikationsafdelingen fik sparket gang i flere konkurrencer i bedste gamification-ånd.

Blandt andet fik alle medarbejdere installeret et lille computerprogram på deres pc'er, hvor medarbejderne kunne klikke og låse computeren, hvis ejermanden havde glemt at låse sin computer til frokost.

"Når der blev klikket på ikonet, blev det talt op på divisionsniveau som en del af konkurrencen," fortæller Michael Moesgaaard.

Derudover blev der eksempelvis også lagt USB-sticks på kontorerne, som it-afdelingen kunne registrere, hvis de blev stukket i en pc, ligesom der blev hyret skuespiller-elever til at sætte sig ind på kontorerne med benene oppe på skrivebordene og Mac-computere i skødet.

"Somme tider kunne der gå op mod 20 minutter, før nogen reagerede på de ukendte gæsters tilstedeværelse," fortæller Michael Moesgaard om øvelserne med fremmede folk i virksomheden.

Tusindvis klikker på farlige links

Ydermere fik DONG-medarbejderne tilsendt meget dygtigt udformede phishing-mails med stjålne billeder fra tidligere DONG-reklamekampagner og til lejligheden særligt snedigt udformede links, som medarbejderne blev opfordret til at klikke på.

Phishing-mails som DONG's it-afdeling selv havde fremstillet for at se, om medarbejderne ville reagere.

Derfor kan det betale sig at køre en awareness-kampagne

Her fik it-direktør Michael Moesgaard sig noget af en chokerende aha-oplevelse.

For 3.000 medarbejdere - knap halvdelen af DONG's ansatte - klikkede på de farlige links, omkring 1.000 gik i gang med at udfylde oplysninger på de falske hjemmesider til blandt andet DHL-stafet, mens knap 500 ansatte afgav deres password på de falske hjemmesider.

"Selvfølgelig er det overraskende, at så mange klikkede sig ind på de afsendte links, men de falske phishingmails var også superprofessionelt udformede," siger Michael Moesgaard og fortsætter:

"Nogle medarbejdere fandt desuden også disse opdagelser ret grænseoverskridende, selv om vi havde adviseret medarbejderne om hele kampagnen og taget samarbejdsudvalget i ed, inden vi gik i gang," forklarer Michael Moesgaard.

Kunne godt betale sig

DONG's CIO fortæller samtidig, at awaresness-kampagnen var godt givet ud, da 147 DONG-medarbejdere nogle uger efter oplysningsfremstødet omkring bedre it-sikkerhed blev ramt af et rigtigt spear-phishing-angreb.

"I denne omgang var der ikke én eneste af de 147 medarbejdere, som klikkede på linket i phishing-mailen," siger Michael Moesgaard, der angiver, at kampagnen var relativt billig, selv om DONG havde hyret eksternt kommunikationsbureau til udarbejdelse af filmen, eksterne sikkerhedsfolk og skuespiller-elever.

"Det viser, at medarbejderne tager sikkerhed alvorligt, og at de nu var blevet mere opmærksomme på den slags trusler," fortsætter it-direktøren. 

Han anslår, at hele arrangementet løb op i "nogle få hundredetusinde kroner", mens det ikke var nødvendigt at indkalde og dermed forstyrre alle 6.500 medarbejdere til indledende møder om sikkerhedskampagnen.

"Kampagnen kørte løbende, og vi fik også løbende feedback fra de ansatte," siger Michael Moesgaard og bedyrer, at afværgelsen af det efterfølgende spear-phishing-angreb på mange måder var alle pengene værd.

"Vi opfatter hele awareness-initiativet som et løft af sikkerheden, og det løft skal vi fremover vedligeholde," siger han.

Læs også:

Undskyld, men må vi lige stjæle dine fortrolige filer?

Lundbeck stress-tester medarbejderne med it-fusk




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

06. november 2024 | Læs mere


Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

12. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

13. november 2024 | Læs mere