Et fingeret sikkerhedsangreb for godt et halvt år siden var noget af en øjenåbner for energikæmpen DONG Energy, der leverer strøm og varme til et stort antal danske hjem.
Energiselskabet med en omsætning på 73 milliarder kroner og 6.500 medarbejdere havde inviteret sikkerhedsselskabet CSIS Security Group til at forsøge at komme ind i selskabets computersystemer ved at gå ind ad hoveddøren og sætte sig ved tilfældige pc'er.
Ikke nok med, at de falske it-kriminelle kunne snige sig ind hos DONG og derfra fik videre adgang til virksomhedens computere; de fik også tilbudt mad i DONG's køkken, da de sneg sig forbi der.
"Vi er glade for, at vi har servicemindede medarbejdere, men vi skal som medarbejdere være opmærksomme på, hvornår vi skal stille kritiske spørgsmål til fremmede i virksomheden," fortæller DONG's it-direktør, Michael Moesgaard.
For et sådan indbrud kunne have været katastrofalt, hvis det havde været ægte kriminelle med uædle motiver, der havde fået adgang til DONG's netværk.
Her ligger nemlig forretningshemmeligheder og adgangen til samfundskritiske industrielle it-systemer, der i de forkerte hænder kunne slukke for al strømmen i København.
It-direktør Michael Moesgaard fik derfor identificeret it-systemer, de fysiske faciliteter som indgangspartier og virksomhedens medarbejdere som de våben, der tilsammen skal holde ubudne gæster fra fadet.
"Du kan have de bedste it-systemer og adgangskontroller, men hvis medarbejderne ubevidst åbner døren og giver adgang til systemerne, er man jo lige vidt," forklarer Michael Moesgaard til Computerworld.
Die Hard hjalp på topledelsen
Med de nyfundne opdagelser om medarbejdernes lidt for venlige attitude over for "de fremmede" sikkerhedsfolk og angstprovokerende klip fra Die Hard 4.0-filmen med hackerangreb mod netop industrielle energi-systemer fik Michael Moesgaard opbakning fra topledelsen til at igangsætte en it-awareness-kampagne.
"Da vi så klippet fra Die Hard 4.0, fik topledelsen øjnene op for, at den slags potentielt også kan ske hos os, selv om risikoen er relativt lille," forklarer Michael Moesgaard, inden awareness-kampagnen blev sparket i gang i det spæde forår.
En awareness-kampagne i it-regi er et oplysningsfremstød, der blandt andet skal gøre medarbejderne opmærksomme på de risici, der er, når de åbner mails fra ukendte afsendere med links og vedhæftede filer, og hvis de uhindret lader fremmede uden adgangskort komme ind i DONG's bygninger.
Her er fem gode råd til bedre it-sikkerhed
I første omgang fik Michael Moesgaard og DONG's kommunikationsafdeling med hjælp udefra produceret en humoristisk kortfilm/trailer til internt brug med titlen 'Five Forces Agains Hacking'.
I filmen giver blandt andre selskabets administrerende direktør Henrik Poulsen den som hardcore hackerbekæmper i skarpt jakkesæt og solbriller i bedste Men In Black-stil.
"At Henrik stiller op på den måde og er skuespiller med et glimt i øjet, giver altså medvind hos medarbejderne fra starten," forklarer Michael Moesgaard om filmproduktionen.
De fem gode råd
De fem kræfter mod hackerangreb, som filmtitlen referer til, er, at medarbejderne skal være opmærksomme på at:
1) Låse deres computere, når de forlader den
2) Slette mails fra ukendte afsendere
3) Undlade at dele deres passwords med kolleger
4) Passe på at benytte USB-sticks, som de ikke kender oprindelsen af
5) Undlade at lukke fremmede ind med deres adgangskort
DONG fik samtidig produceret plakater med disse fem råd, som blev hængt op på virksomhedens kontorer, ligesom der blev oprettet et kampagnesite på virksomhedens intranet, og kommunikationsafdelingen fik sparket gang i flere konkurrencer i bedste gamification-ånd.
Blandt andet fik alle medarbejdere installeret et lille computerprogram på deres pc'er, hvor medarbejderne kunne klikke og låse computeren, hvis ejermanden havde glemt at låse sin computer til frokost.
"Når der blev klikket på ikonet, blev det talt op på divisionsniveau som en del af konkurrencen," fortæller Michael Moesgaaard.
Derudover blev der eksempelvis også lagt USB-sticks på kontorerne, som it-afdelingen kunne registrere, hvis de blev stukket i en pc, ligesom der blev hyret skuespiller-elever til at sætte sig ind på kontorerne med benene oppe på skrivebordene og Mac-computere i skødet.
"Somme tider kunne der gå op mod 20 minutter, før nogen reagerede på de ukendte gæsters tilstedeværelse," fortæller Michael Moesgaard om øvelserne med fremmede folk i virksomheden.
Tusindvis klikker på farlige links
Ydermere fik DONG-medarbejderne tilsendt meget dygtigt udformede phishing-mails med stjålne billeder fra tidligere DONG-reklamekampagner og til lejligheden særligt snedigt udformede links, som medarbejderne blev opfordret til at klikke på.
Phishing-mails som DONG's it-afdeling selv havde fremstillet for at se, om medarbejderne ville reagere.
Derfor kan det betale sig at køre en awareness-kampagne
Her fik it-direktør Michael Moesgaard sig noget af en chokerende aha-oplevelse.
For 3.000 medarbejdere - knap halvdelen af DONG's ansatte - klikkede på de farlige links, omkring 1.000 gik i gang med at udfylde oplysninger på de falske hjemmesider til blandt andet DHL-stafet, mens knap 500 ansatte afgav deres password på de falske hjemmesider.
"Selvfølgelig er det overraskende, at så mange klikkede sig ind på de afsendte links, men de falske phishingmails var også superprofessionelt udformede," siger Michael Moesgaard og fortsætter:
"Nogle medarbejdere fandt desuden også disse opdagelser ret grænseoverskridende, selv om vi havde adviseret medarbejderne om hele kampagnen og taget samarbejdsudvalget i ed, inden vi gik i gang," forklarer Michael Moesgaard.
Kunne godt betale sig
DONG's CIO fortæller samtidig, at awaresness-kampagnen var godt givet ud, da 147 DONG-medarbejdere nogle uger efter oplysningsfremstødet omkring bedre it-sikkerhed blev ramt af et rigtigt spear-phishing-angreb.
"I denne omgang var der ikke én eneste af de 147 medarbejdere, som klikkede på linket i phishing-mailen," siger Michael Moesgaard, der angiver, at kampagnen var relativt billig, selv om DONG havde hyret eksternt kommunikationsbureau til udarbejdelse af filmen, eksterne sikkerhedsfolk og skuespiller-elever.
"Det viser, at medarbejderne tager sikkerhed alvorligt, og at de nu var blevet mere opmærksomme på den slags trusler," fortsætter it-direktøren.
Han anslår, at hele arrangementet løb op i "nogle få hundredetusinde kroner", mens det ikke var nødvendigt at indkalde og dermed forstyrre alle 6.500 medarbejdere til indledende møder om sikkerhedskampagnen.
"Kampagnen kørte løbende, og vi fik også løbende feedback fra de ansatte," siger Michael Moesgaard og bedyrer, at afværgelsen af det efterfølgende spear-phishing-angreb på mange måder var alle pengene værd.
"Vi opfatter hele awareness-initiativet som et løft af sikkerheden, og det løft skal vi fremover vedligeholde," siger han.
Læs også:
Undskyld, men må vi lige stjæle dine fortrolige filer?
Lundbeck stress-tester medarbejderne med it-fusk