Lundbeck stress-tester medarbejderne med it-fusk

Kun ved at stress-teste dine egne medarbejdere får du det sande billede af, hvor godt din virksomhed er klædt på til at holde it-fidusmagere fra forretningshemmelighederne, mener Lundbeck.

Artikel top billede

"Det værste, der kan ske, er, at en medarbejder udleverer en kopi af nøglen til arkivet," siger Lundbecks it-direktør, Michael Skånstrøm. Foto: Hans Juhl. (Foto: Hans Juhl)

Læs også:
Er du klar til at modstå truslen fra social engineering?

Telefonen ringer i medicinalfirmaet Lundbecks globale Service Desk. Det gør den ganske mange gange hver dag, så det er vel ikke så underligt.

En Lundbeck-medarbejder besvarer opkaldet. Denne gang er det en lettere stresset marketingmedarbejder, der venligt, men febrilsk, fortæller, at en af virksomhedens direktører står på en konferencescene i udlandet og skal fremvise de nyeste data fra selskabets portefølje.

Uheldigvis har direktøren glemt sit password til Lundbeck-mailen. Så tallene kan ikke vises på den store skærm i konferencesalen, hvor der sidder flere hundrede utålmodige mennesker og venter.

Mon ikke lige Service Desk kan hjælpe med at fremskaffe direktørens login-oplysninger? Og helst lidt hurtigt.

Må ikke udlevere nøglen

I en virksomhed som danske Lundbeck med forretningshemmeligheder i milliardklassen på sit interne netværk skal det være helt klart, hvordan den slags opkald skal håndteres.

For ingen medarbejdere må afgive oplysninger, der kan bruges af it-kriminelle til at tiltuske sig adgang til mere eller mindre forretningskritiske filer.

"Det værste, der kan ske, er, at en medarbejder udleverer en kopi af nøglen til arkivet," siger Lundbecks it-direktør, Michael Skånstrøm, om scenariet med at udlevere direktørens brugernavn og passwords til personer med skumle hensigter, mens direktøren fortsat bruger sin mail, ganske uvidende om at andre læser med.

For med kopioplysninger ved tasterne kan de it-kriminelle lydløst tiltuske sig adgang til forretningshemmeligheder, der ellers bliver beskyttet bag et tykt lag firewalls, anti-virusprogrammer, rettighedskontrol og logfiler, som under normale angreb ville have fået sikkerhedsalarmerne til at bimle og bamle hos Lundbeck.

Hamrer på egne vægge

For at imødegå ubudne netværksgæster hyrer Lundbeck såkaldte penetrations-selskaber og kører interne forsøg på at hamre sine egne sikkerhedsvægge ned med list. Og ikke mindst lære noget om eventuelle huller, der måtte blive fundet i væggen.

Udleverer mere end godt er

Medicinalselskabet har gennem en tredjepart blandt andet prøvet at fiske efter medarbejderoplysninger i falske "Vind en iPad"-konkurrencer, afsendt skumle links og forsøgt sig med drevent plattenslageri over telefonen.

Michael Skånstrøm erkender, at det er sket, at medarbejdere i sådanne tests har talt over sig og udleveret, hvad han kalder 'flere oplysninger end godt er'.

"Så kan vi jo bare være glade for, at det var en test. Det, vi desværre ikke kan vide med sikkerhed, er, om nogen lykkes med at komme igennem med den slags uden for vores kontrol. De farligste hackere er jo dem, der kommer hele vejen igennem uden nogensinde at blive opdaget," forklarer Michael Skånstrøm.

Den lille pige og mobiltelefonen

Ganske uvidende om, at han deltog i en sikkerhedstest, blev it-direktør Michael Skånstrøm mellem jul og nytår selv ringet op af en direktørkollega.

Kollegaen havde uden held forsøgt at vride et administrator-password ud af først Service Desk og siden andre it-folk i selskabet for til sidst at prøve med Michael Skånstrøm. Han måtte lægge ører til en opdigtet historie om en "livsvigtig" opsætning af en ny smartphone, som hans datter havde fået i julegave, hvilket åbenbart krævede et administrator-password til Lundbeck.
 
"Jeg har ikke den slags oplysninger eller rettigheder, og hvis jeg havde, ville jeg selvfølgelig aldrig udlevere dem - heller ikke til en desperat direktørkollega," fastslår Michael Skånstrøm.
Han tilføjer, at der nok ville være en kæmpe forretning i at kende de præcise teknologiske modtræk mod social engineering i alle angrebsteknikkens farver og former.

"Derfor tester vi højt og lavt og på tværs af alle fagområder. Det er selvfølgelig ærgerligt, når en medarbejder 'falder i' i sådan en test, men vi prøver at skabe et overblik på den måde," siger Lundbecks it-direktør.

Finder huller og lapper dem

Lundbeck præsenterer derefter resultaterne af den slags ugelange indbrudstests for sit Information Security Board, hvor der sidder ledende medarbejdere fra alle fagområder.

De forholder sig til faldgruberne, og sammen med it-afdelingen prioriterer de selskabets indsats for at lukke eventuelle sikkerhedshuller, som de sociale ingeniører kunne finde på at bore i.

"Det mest effektive i vores tests er opmærksomheden og den efterfølgende adfærdsændring, når vi opdager en svaghed og gør noget ved det. For angreb med social engineering sker ikke bare for naboen, det sker også for dig og for nogle, der ligner dig."

Læs også:
Er du klar til at modstå truslen fra social engineering?

Læses lige nu
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    Digital transformation | Aarhus

    AI i det offentlige - Aarhus

    Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

    Digital transformation | Køge

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Se alle vores events inden for it

    Navnenyt fra it-Danmark

    IFS Danmark A/S har pr. 2. marts 2026 ansat Marlene Gudman som HR Business Partner. Hun skal især beskæftige sig med HR i Danmark og Norden og lede udvalgte internationale HR-projekter. Hun kommer fra en stilling som Nordic Lead HR Business Partner hos Salesforce. Hun har tidligere beskæftiget sig med international HR med fokus på udvikling af og udfordringer i HR ud fra et forretningsperspektiv. Nyt job

    Marlene Gudman

    IFS Danmark A/S

    Netip A/S har pr. 1. maj 2026 ansat Ida Hyllested Friis som Key Account Manager ved netIP's kontor i Thisted. Hun kommer fra en stilling som Key Account Manager hos Københavns erhvervshus. Nyt job
    Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

    Iver Jakobsen

    Comsystem A/S

    SAP SuccessFactors Partner Pentos har pr. 1. marts 2026 ansat Plamena Cherneva som Seniorkonsulent indenfor SuccessFactors HCM. Hun skal især beskæftige sig med konfiguration og opsætning af SuccessFactors suiten, samt udvikle smarte løsninger til mellemstore danske virksomheder. Hun kommer fra en stilling som løsningsarkitekt indenfor HR IT hos LEO Pharma. Hun har tidligere beskæftiget sig med HR procesdesign, stamdata og onboarding. Nyt job

    Plamena Cherneva

    SAP SuccessFactors Partner Pentos