Søg

Lundbeck stress-tester medarbejderne med it-fusk

Kun ved at stress-teste dine egne medarbejdere får du det sande billede af, hvor godt din virksomhed er klædt på til at holde it-fidusmagere fra forretningshemmelighederne, mener Lundbeck.

13. oktober 2011 kl. 15.59
Artikel top billede

"Det værste, der kan ske, er, at en medarbejder udleverer en kopi af nøglen til arkivet," siger Lundbecks it-direktør, Michael Skånstrøm. Foto: Hans Juhl. (Foto: Hans Juhl)

Mads Elkær Mads Elkær Journalist

Læs også:
Er du klar til at modstå truslen fra social engineering?

Telefonen ringer i medicinalfirmaet Lundbecks globale Service Desk. Det gør den ganske mange gange hver dag, så det er vel ikke så underligt.

En Lundbeck-medarbejder besvarer opkaldet. Denne gang er det en lettere stresset marketingmedarbejder, der venligt, men febrilsk, fortæller, at en af virksomhedens direktører står på en konferencescene i udlandet og skal fremvise de nyeste data fra selskabets portefølje.

Uheldigvis har direktøren glemt sit password til Lundbeck-mailen. Så tallene kan ikke vises på den store skærm i konferencesalen, hvor der sidder flere hundrede utålmodige mennesker og venter.

Mon ikke lige Service Desk kan hjælpe med at fremskaffe direktørens login-oplysninger? Og helst lidt hurtigt.

Må ikke udlevere nøglen

I en virksomhed som danske Lundbeck med forretningshemmeligheder i milliardklassen på sit interne netværk skal det være helt klart, hvordan den slags opkald skal håndteres.

For ingen medarbejdere må afgive oplysninger, der kan bruges af it-kriminelle til at tiltuske sig adgang til mere eller mindre forretningskritiske filer.

"Det værste, der kan ske, er, at en medarbejder udleverer en kopi af nøglen til arkivet," siger Lundbecks it-direktør, Michael Skånstrøm, om scenariet med at udlevere direktørens brugernavn og passwords til personer med skumle hensigter, mens direktøren fortsat bruger sin mail, ganske uvidende om at andre læser med.

For med kopioplysninger ved tasterne kan de it-kriminelle lydløst tiltuske sig adgang til forretningshemmeligheder, der ellers bliver beskyttet bag et tykt lag firewalls, anti-virusprogrammer, rettighedskontrol og logfiler, som under normale angreb ville have fået sikkerhedsalarmerne til at bimle og bamle hos Lundbeck.

Hamrer på egne vægge

For at imødegå ubudne netværksgæster hyrer Lundbeck såkaldte penetrations-selskaber og kører interne forsøg på at hamre sine egne sikkerhedsvægge ned med list. Og ikke mindst lære noget om eventuelle huller, der måtte blive fundet i væggen.

Udleverer mere end godt er

Medicinalselskabet har gennem en tredjepart blandt andet prøvet at fiske efter medarbejderoplysninger i falske "Vind en iPad"-konkurrencer, afsendt skumle links og forsøgt sig med drevent plattenslageri over telefonen.

Michael Skånstrøm erkender, at det er sket, at medarbejdere i sådanne tests har talt over sig og udleveret, hvad han kalder 'flere oplysninger end godt er'.

"Så kan vi jo bare være glade for, at det var en test. Det, vi desværre ikke kan vide med sikkerhed, er, om nogen lykkes med at komme igennem med den slags uden for vores kontrol. De farligste hackere er jo dem, der kommer hele vejen igennem uden nogensinde at blive opdaget," forklarer Michael Skånstrøm.

Den lille pige og mobiltelefonen

Ganske uvidende om, at han deltog i en sikkerhedstest, blev it-direktør Michael Skånstrøm mellem jul og nytår selv ringet op af en direktørkollega.

Kollegaen havde uden held forsøgt at vride et administrator-password ud af først Service Desk og siden andre it-folk i selskabet for til sidst at prøve med Michael Skånstrøm. Han måtte lægge ører til en opdigtet historie om en "livsvigtig" opsætning af en ny smartphone, som hans datter havde fået i julegave, hvilket åbenbart krævede et administrator-password til Lundbeck.
 
"Jeg har ikke den slags oplysninger eller rettigheder, og hvis jeg havde, ville jeg selvfølgelig aldrig udlevere dem - heller ikke til en desperat direktørkollega," fastslår Michael Skånstrøm.
Han tilføjer, at der nok ville være en kæmpe forretning i at kende de præcise teknologiske modtræk mod social engineering i alle angrebsteknikkens farver og former.

"Derfor tester vi højt og lavt og på tværs af alle fagområder. Det er selvfølgelig ærgerligt, når en medarbejder 'falder i' i sådan en test, men vi prøver at skabe et overblik på den måde," siger Lundbecks it-direktør.

Finder huller og lapper dem

Lundbeck præsenterer derefter resultaterne af den slags ugelange indbrudstests for sit Information Security Board, hvor der sidder ledende medarbejdere fra alle fagområder.

De forholder sig til faldgruberne, og sammen med it-afdelingen prioriterer de selskabets indsats for at lukke eventuelle sikkerhedshuller, som de sociale ingeniører kunne finde på at bore i.

"Det mest effektive i vores tests er opmærksomheden og den efterfølgende adfærdsændring, når vi opdager en svaghed og gør noget ved det. For angreb med social engineering sker ikke bare for naboen, det sker også for dig og for nogle, der ligner dig."

Læs også:
Er du klar til at modstå truslen fra social engineering?

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Danmark i den digitale frontlinje: Forsvaret skal genoprustes – også online

    Annonceindlæg fra Computerworld

    Danmark i den digitale frontlinje: Forsvaret skal genoprustes – også online

    Danmark står i dag i en ny type konflikt – en, hvor grænsen mellem fysisk og digital krigsførelse for længst er udvisket.

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Cyberdivisionen søger en IT-supporterelev til Almegård Kaserne på Bornholm

    Bornholm

    TV2

    Erfaren Platform Engineer til Compute, Storage & Identity team i TV 2

    Fyn

    BEC

    QA coordinator

    Region Sjælland

    Capgemini Danmark A/S

    Open Application (Denmark)

    Midtjylland

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Immeo har pr. 1. oktober 2025 ansat Michael Krogh-Schlicter som Director. Han kommer fra en stilling som Senior Vice President hos Valtech. Han er uddannet i Business Administration and Computer Science på CBS. Nyt job

    Michael Krogh-Schlicter

    Immeo

    Signifly har pr. 1. august 2025 ansat Anders Kirk Madsen som Tech Lead. Anders skal især beskæftige sig med at hjælpe Signiflys offentlige og private kunder med at styrke forretningen gennem teknisk solide løsninger. Anders kommer fra en stilling som Business Architect hos SOS International. Nyt job

    Anders Kirk Madsen

    Signifly

    Sentia har pr. 1. oktober 2025 ansat Morten Jørgensen som Chief Commercial Officer. Han skal især beskæftige sig med udbygning af Sentias markedsposition og forretningsområder med det overordnede ansvar for den kommercielle organisation. Han kommer fra en stilling som Forretningsdirektør hos Emagine. Nyt job

    Morten Jørgensen

    Sentia

    Norriq Danmark A/S har pr. 1. september 2025 ansat Alexander Bendix som Consultant. Han skal især beskæftige sig med tilføre nye, friske perspektiver og værdifuld viden til NORRIQS Data & AI-afdeling. Nyt job

    Alexander Bendix

    Norriq Danmark A/S

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Ny app kan blive dit adgangskort til internettets mest følsomme hjemmesider - men du skal ikke frygte overvågning, lover Digitaliseringsstyrelsen
    2 Her er navnet efter stor navnekonkurrence: Det kommer Danmarks nye ID-app til at hedde
    3 Test: Dette tv er genialt til Black Friday-pris – til fuld pris skal du se dig om
    4 Han er den højest placerede dansker i IBM: Er chef for 20.000 ansatte
    5 Ransagning og beslaglæggelser: Tidligere topchef for kendt it-firma mistænkt for at lække forretningshemmeligheder
    6 Morgen-briefing: Black Friday åbner døren for hackerne og SMV’er er særligt udsatte / Overskudsvarme fra nyt datacenter skal opvarme 8.000 lokale hjem / Ny sæson af populær serie fik Netflix til at crashe
    7 Kommunen blev lovet 200 arbejdspladser – men stoppede alligevel et kæmpestort nordisk datacenter
    8 Fremtrædende danske it-folk har en løsning på, hvordan vi opnår digital suverænitet

    Se seneste uge