Artikel top billede

Povl D. Rasmussen.

Sådan sikkerheds-uddanner DONG 6.500 folk i ét hug

Energigiganten DONG har gennemført en kampagne for at højne it-sikkerheden hos sine ansatte. Læs her, hvordan DONG undervejs fik sig nogle chokerende oplevelser med sine medarbejderes mail-adfærd.

Et fingeret sikkerhedsangreb for godt et halvt år siden var noget af en øjenåbner for energikæmpen DONG Energy, der leverer strøm og varme til et stort antal danske hjem.

Energiselskabet med en omsætning på 73 milliarder kroner og 6.500 medarbejdere havde inviteret sikkerhedsselskabet CSIS Security Group til at forsøge at komme ind i selskabets computersystemer ved at gå ind ad hoveddøren og sætte sig ved tilfældige pc'er.

Ikke nok med, at de falske it-kriminelle kunne snige sig ind hos DONG og derfra fik videre adgang til virksomhedens computere; de fik også tilbudt mad i DONG's køkken, da de sneg sig forbi der.

"Vi er glade for, at vi har servicemindede medarbejdere, men vi skal som medarbejdere være opmærksomme på, hvornår vi skal stille kritiske spørgsmål til fremmede i virksomheden," fortæller DONG's it-direktør, Michael Moesgaard.

For et sådan indbrud kunne have været katastrofalt, hvis det havde været ægte kriminelle med uædle motiver, der havde fået adgang til DONG's netværk.

Her ligger nemlig forretningshemmeligheder og adgangen til samfundskritiske industrielle it-systemer, der i de forkerte hænder kunne slukke for al strømmen i København.

It-direktør Michael Moesgaard fik derfor identificeret it-systemer, de fysiske faciliteter som indgangspartier og virksomhedens medarbejdere som de våben, der tilsammen skal holde ubudne gæster fra fadet.

"Du kan have de bedste it-systemer og adgangskontroller, men hvis medarbejderne ubevidst åbner døren og giver adgang til systemerne, er man jo lige vidt," forklarer Michael Moesgaard til Computerworld.

Die Hard hjalp på topledelsen

Med de nyfundne opdagelser om medarbejdernes lidt for venlige attitude over for "de fremmede" sikkerhedsfolk og angstprovokerende klip fra Die Hard 4.0-filmen med hackerangreb mod netop industrielle energi-systemer fik Michael Moesgaard opbakning fra topledelsen til at igangsætte en it-awareness-kampagne.

"Da vi så klippet fra Die Hard 4.0, fik topledelsen øjnene op for, at den slags potentielt også kan ske hos os, selv om risikoen er relativt lille," forklarer Michael Moesgaard, inden awareness-kampagnen blev sparket i gang i det spæde forår.

En awareness-kampagne i it-regi er et oplysningsfremstød, der blandt andet skal gøre medarbejderne opmærksomme på de risici, der er, når de åbner mails fra ukendte afsendere med links og vedhæftede filer, og hvis de uhindret lader fremmede uden adgangskort komme ind i DONG's bygninger.

Her er fem gode råd til bedre it-sikkerhed

I første omgang fik Michael Moesgaard og DONG's kommunikationsafdeling med hjælp udefra produceret en humoristisk kortfilm/trailer til internt brug med titlen 'Five Forces Agains Hacking'.

I filmen giver blandt andre selskabets administrerende direktør Henrik Poulsen den som hardcore hackerbekæmper i skarpt jakkesæt og solbriller i bedste Men In Black-stil.

"At Henrik stiller op på den måde og er skuespiller med et glimt i øjet, giver altså medvind hos medarbejderne fra starten," forklarer Michael Moesgaard om filmproduktionen.

De fem gode råd

De fem kræfter mod hackerangreb, som filmtitlen referer til, er, at medarbejderne skal være opmærksomme på at:

1) Låse deres computere, når de forlader den
2) Slette mails fra ukendte afsendere
3) Undlade at dele deres passwords med kolleger
4) Passe på at benytte USB-sticks, som de ikke kender oprindelsen af
5) Undlade at lukke fremmede ind med deres adgangskort

DONG fik samtidig produceret plakater med disse fem råd, som blev hængt op på virksomhedens kontorer, ligesom der blev oprettet et kampagnesite på virksomhedens intranet, og kommunikationsafdelingen fik sparket gang i flere konkurrencer i bedste gamification-ånd.

Blandt andet fik alle medarbejdere installeret et lille computerprogram på deres pc'er, hvor medarbejderne kunne klikke og låse computeren, hvis ejermanden havde glemt at låse sin computer til frokost.

"Når der blev klikket på ikonet, blev det talt op på divisionsniveau som en del af konkurrencen," fortæller Michael Moesgaaard.

Derudover blev der eksempelvis også lagt USB-sticks på kontorerne, som it-afdelingen kunne registrere, hvis de blev stukket i en pc, ligesom der blev hyret skuespiller-elever til at sætte sig ind på kontorerne med benene oppe på skrivebordene og Mac-computere i skødet.

"Somme tider kunne der gå op mod 20 minutter, før nogen reagerede på de ukendte gæsters tilstedeværelse," fortæller Michael Moesgaard om øvelserne med fremmede folk i virksomheden.

Tusindvis klikker på farlige links

Ydermere fik DONG-medarbejderne tilsendt meget dygtigt udformede phishing-mails med stjålne billeder fra tidligere DONG-reklamekampagner og til lejligheden særligt snedigt udformede links, som medarbejderne blev opfordret til at klikke på.

Phishing-mails som DONG's it-afdeling selv havde fremstillet for at se, om medarbejderne ville reagere.

Derfor kan det betale sig at køre en awareness-kampagne

Her fik it-direktør Michael Moesgaard sig noget af en chokerende aha-oplevelse.

For 3.000 medarbejdere - knap halvdelen af DONG's ansatte - klikkede på de farlige links, omkring 1.000 gik i gang med at udfylde oplysninger på de falske hjemmesider til blandt andet DHL-stafet, mens knap 500 ansatte afgav deres password på de falske hjemmesider.

"Selvfølgelig er det overraskende, at så mange klikkede sig ind på de afsendte links, men de falske phishingmails var også superprofessionelt udformede," siger Michael Moesgaard og fortsætter:

"Nogle medarbejdere fandt desuden også disse opdagelser ret grænseoverskridende, selv om vi havde adviseret medarbejderne om hele kampagnen og taget samarbejdsudvalget i ed, inden vi gik i gang," forklarer Michael Moesgaard.

Kunne godt betale sig

DONG's CIO fortæller samtidig, at awaresness-kampagnen var godt givet ud, da 147 DONG-medarbejdere nogle uger efter oplysningsfremstødet omkring bedre it-sikkerhed blev ramt af et rigtigt spear-phishing-angreb.

"I denne omgang var der ikke én eneste af de 147 medarbejdere, som klikkede på linket i phishing-mailen," siger Michael Moesgaard, der angiver, at kampagnen var relativt billig, selv om DONG havde hyret eksternt kommunikationsbureau til udarbejdelse af filmen, eksterne sikkerhedsfolk og skuespiller-elever.

"Det viser, at medarbejderne tager sikkerhed alvorligt, og at de nu var blevet mere opmærksomme på den slags trusler," fortsætter it-direktøren. 

Han anslår, at hele arrangementet løb op i "nogle få hundredetusinde kroner", mens det ikke var nødvendigt at indkalde og dermed forstyrre alle 6.500 medarbejdere til indledende møder om sikkerhedskampagnen.

"Kampagnen kørte løbende, og vi fik også løbende feedback fra de ansatte," siger Michael Moesgaard og bedyrer, at afværgelsen af det efterfølgende spear-phishing-angreb på mange måder var alle pengene værd.

"Vi opfatter hele awareness-initiativet som et løft af sikkerheden, og det løft skal vi fremover vedligeholde," siger han.

Læs også:

Undskyld, men må vi lige stjæle dine fortrolige filer?

Lundbeck stress-tester medarbejderne med it-fusk




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Erhvervsakademiet Lillebælt
Udvikling og salg af klassebaseret undervisning, blandt andet inden for multimedie og it.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Computerworld Summit 2021

En moderne digital vindervirksomhed bringer nye teknologier i spil, skaber digital innovation, udnytter data som styringsværktøj og ser verden som én stor markedsplads. Men succes kræver, at du ved, hvor den dyre teknologi kan gøre den største forskel i forretningen. Den kræver, at du ved i hvilken retning den øgede politiske regulering af teknologi og data bevæger sig hen. Og den succes kræver, at du kan udnytte teknologien til at automatisere og skalere til gavn for bundlinjen og budgettet.

26. oktober 2021 | Læs mere


Sats på DevOps og få mere kvalitet og hastighed i både udvikling og drift

Der er mange potentielle gevinster at hente ved at satse på DevOps. Rigtig mange danske virksomheder er allerede i gang. På denne konference får du et indblik i mulighederne med DevOps og gode råd, der kan sikre dig succesen.

02. november 2021 | Læs mere


CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere