Sæson 1 – Episode 01

Phishing: Illusionen om den fejlfrie organisation

Hvad er nøglen til det bedste beredskab mod phsihing? Fredrik og Rasmus deler erfaringer om, hvordan man opbygger en sikkerhedskultur, som er modstandsdygtig mod phishingangreb og afliver myten om den fejlfrie organisation.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn

Har du spørgsmål, kommentarer eller idéer til podcasten?
Skriv til os på: info@cyberpilot.dk

Vil du have besked når der kommer et nyt afsnit?

Har du ikke mulighed for at høre podcasten - Så læs med.

Her har du en transkriberet version af episoden, så du kan se, hvad der præcist blev sagt, og finde kilder, hvis sådanne er blevet nævnt. 

00:09 Rasmus: Velkommen til CyberPilot Podcast. Mit navn er Rasmus Vinge.

00:13 Fredrik. Og jeg er Fredrik Nielsen. 

00:16 Rasmus: CyberPilot podcast er et podcast, hvor vi vil adressere IT-sikkerhedsudfordringer, som du, som IT-ansvarlig eller dig der arbejder med IT i en dansk virksomhed, møder i din hverdag. Vi vil prøve at tage nogle emner op og så forhåbentlig være i stand til at give nogle helt konkrete råd og vejledninger til, hvordan du kan løse netop den her udfordring i din virksomhed. Og det vi har snakket om at prøve og tage hul på i dag, det er hele udfordringen omkring phishing overfor medarbejderne. Fredrik, hvis du vil prøve at sætte nogle flere ord på, hvad det er vi gerne vil vende i dag?

00:50 Fredrik: Ja, det drejer sig om, at phishing-mails er, som vi ved, en af de største trusler mod IT-sikkerheden ude i organisationerne i dag. Og noget af det, som jeg hører fra rundt omkring, det er jo sådan lidt, at når man står der og fortæller sine medarbejdere, hvordan det er, at de skal agere overfor truslen omkring phishing-mail. Så tager folk mange forskellige veje. Helt konkret, har jeg jo fået en mail fra en samarbejdspartner, som har en medarbejder der simpelthen er kommet og sagt, at det her med at undgå at blive “fisket”, det er en vanskelig størrelse, fordi hvis jeg ikke må klikke på noget som helst i frygt for at blive ramt af phishing, så kan jeg reelt ikke udføre mit arbejde. Altså, at medarbejderne taler omkring en hvis handlingslammelse, der kommer fra erkendelsen af, at alt i medarbejderens indbakke kan være phishing. 

01:52 Rasmus: Ja, så man kan sige, det som det drejer sig om er at hvordan får man som IT-ansvarlig i en virksomhed adresseret den her phishing-trussel, hvor man finder den rigtige balance mellem at medarbejderne, de skal ikke bare være ligeglade, de skal være bevidste, de skal være opmærksomme, men de skal heller gå helt over i den grøft, hvor de bliver decideret handlingslammede, fordi man simpelthen har råbt og skreget så meget om den her phishing-træning, og derfor ser de spøgelser alle steder. 

02:26 Fredrik: Ja, og man kan sige, vi arbejder jo også hele tiden med det her og vores egen forståelse af det og jeg kan huske, at nogen af vores første kurser, der valgte vi også en vej, der hed, at du skal bare lade være med at klikke på links. Og det gav jo god mening, for så kunne man jo i hvertfald ikke gøre skade, hvis man ikke klikkede på nogle links, men omvendt sidder man jo også som medarbejder, og der fik vi jo decideret folk, som henvendte sig til os og sagde, hvordan skal jeg så videregive links? Må jeg ikke klikke på noget overhovedet? Hvordan tænker du, at jeg skal udføre mit arbejde? Og der sidder man jo lidt med hænderne i skødet, og tænker, jamen, det var jo ikke den rigtige vej at gå. Og det er jo fordi man har en tendens til, når man står med ansvaret overfor det her og gerne vil sørge for at minimere risikoen, jamen så kunne det være dejligt belejligt, hvis folk bare overhovedet ikke begik fejl, men det er jo en illusion. Altså det er urealistisk at sige, at ingen må klikke på noget, jamen er det så ligegyldigt, at overhovedet tale om det og adressere problemet? Og det er det jo tydeligvis ikke. 

03:29 Rasmus: Så igen, det drejer sig om den der balance, det der med at sige, hvordan er det man som ansvarlig får kommunikeret omkring det her, hvor vi får medarbejderne til at være bevidste omkring når de klikker på links, men nok også acceptere, at det her er ikke en trussel vi bare fuldstændig kan eliminere, fordi jamen så meget foregår i e-mails i dag, så meget foregår ved, at man skal følge et link hen til et sted for at kunne udføre en opgave eller en funktion. Så hvordan er det, og vi kan jo sagtens forstå, hvorfor de her medarbejdere sidder med en opdattelse af at sige, jamen så giv mig nu bare det råd, giv mig nu bare den retningslinje, som der skal til, så jeg aldrig nogensinde kommer i problemer. Og faktum, er vel nok bare, at det eksisterer ikke. 

04:13 Fredrik: Nej, og det svarer jo lidt til, nogen gange kan det betale sig lidt at lave en analogi til virkelighedens verden, hvor der jo også er kriminelle, der er jo kriminelle både i den fysiske og den digitale verden, og i den fysiske verden, der har vi jo også vinduer i vores huse. Så selv den mest torskedumme kriminelle kan jo kaste en sten igennem en rude og komme ind. Det er jo en risiko vi lever med. Det betyder jo ikke, at vi har lyst til at leve i en betonbunker, hvor vi er lukket helt ude og har isoleret os fuldstændig fra omverdenen, hvor vi så er helt trykke. Så er man jo netop handlingslammet ik? Og det er jo den samme problematik, som er inde i den digitale verden. Der er bare en risiko. Der er risikoen for, at der er en eller anden forbryder, der har udset sig, at nu skal du være hans næste offer, og chancen er, at hvis personen har det, så lykkedes han også med det. 

05:00 Rasmus: Ja, hvis han gør sig umage nok, så vil der i langt de fleste organisationer være mulighed for at finde hul igennem en medarbejder uanset, hvad der er blevet gjort. 

05:11 Fredrik: Præcis, og hele pointen er jo lidt, at hvad kriminelle angår, jamen så er det jo ikke specielt mange, der er super fokuserede og bare leder efter, hvad kan man sige, der leder efter det mest ambitiøse offer, de kan finde, som vil være rigtig svær at snøre. Så de går efter dem, der er lettest at fange, ligesom lommetyve, altså hvem render med pungen ude og vifter med pengene. Jamen, det handler om ikke at være den person, når det kommer til phishing. Altså være den som er i stand til at gennemskue de fleste ting, og er påpasselig og har gode forholdsregler. Og så er det klar, at selv for den person kan det smutte, men man er meget meget bedre rustet, end hvis man overhovedet ikke var opmærksom på problematikken eller gjorde sig umage. 

05:51 Rasmus: Så hvis man sådan – Hvis vi nu skulle prøve at male op, hvad er det for nogen, hvis vi sådan lidt siger, hvor er det det både tipper til den ene og til den anden vej. Altså den klassiske det er jo den her organisation eller virksomhed, hvor man ikke gør noget overhovedet. Man har ingen retningslinjer for medarbejderne, hvis man har, så har man måske en retningslinje, hvor der står “Du må ikke klikke på mistænkelige links” uden på nogen måde at adressere ellers, hvad det sådan betyder. Så har man sådan en relativ naiv forestilling om at sige, fordi at der måske sidder en i IT som siger, det her det må alle jo vide. Og derfor siger man, det her sker ikke for os, og derfor forbereder man sig ikke på det. Det er sådan ligesom den ene grøft – Det er den klassiske vi ser, hvor der ikke bliver gjort noget. 

06:38 Fredrik: Ja!06:38 Rasmus: Så er der også noget, hvor det går helt den modsatte vej, og måske du kunne sætte et par ord på, hvad er det så vi ser der?

06:44 Fredrik: Jamen, det er jo, at man ser, at de mennesker der så skal have taget hånd om det her problem de sidder med et ansvar. Og de tænker, hvordan løser jeg det? Ja, det løser jeg ved at sørge for, at folk ikke begår fejl. Og hvordan sørger jeg for at folk ikke begår fejl? Det gør jeg ved at fortælle dem, at de skal lade være med at gøre det. Der er masser eksempler på folk, som får at vide, at de skal skrive under på et papir, hvor de lover ikke at klikke på phishing-mails eller at deres computer bliver låst indtil, at de har underskrevet en erklæring, eller på en eller anden måde tilkendegivet, at de har forstået, at det her det er vigtigt, det må de ikke. Og det lærer man jo ikke meget af. Det bliver man jo ikke meget bedre rustet af, det eneste der egenligt kommer ud af det er, at beslutningstageren og ledelsen har ligesom lavet en ansvarsfraskrivelse, hvor de siger, jamen, hvis du som medarbejder laver en fejl, så er du helt på egen hånd og jeg kan ikke tage hånd om det, og du kan i værste tilfælde få en fyreseddel. Det får man jo nogle meget frygtsomme medarbejdere, som netop bliver handlingslammede ud af, og det var jo ikke det man ville. Man ville jo bare have, at der ikke skete nogle uheld. Så derfor tænkte man, hvis jeg bare maler den her helt sort op, så kan jeg løse det problem. Men det kan man bare ikke. Man kan ikke på den måde fjerne ansvaret. Det er meget bedre at gå en anden retning, og det er at sige, at selvfølgelig skal vi være opmærksomme på det her, og man skal som medarbejder vide, at det er forventet, at man er opmærksom på det, og at man gør sig umage for ikke at klikke på links, som potentielt kunne være skadelige. Men også at man tager hånd om det og at man skaber en kultur omkring, at det er okay! Vi begår alle sammen fejl, og det vigtigste er, at man er i stand til at række hånden op så hurtigt som muligt og sige nu skete det for mig. Så kan man netop få taget hånd om det, minimeret de problemer der er og på den måde komme videre derfra. Det giver jo sådan en meget mere tryg kultur, hvor man er sammen om at løse de IT-sikkerhedsudfordringer, som man har. I modsætning til, hvis jeg vidste, at jeg kunne få en fyreseddel eller blive skældt ud, så ville jeg i høj grad bare ikke sige noget. Og det ville jo være det værste problem, hvis man faktisk havde klikket på en phishing-mail og afgivet nogle oplysninger, det var at man fortiede det. Så kunne problemet virkelig vokse. 

08:43 Rasmus: Så man kan sige, at kernen i det der er jo netop at acceptere, at det her drejer sig i højere grad om at skabe en kultur i stedet for at skabe en situation, hvor alle ved alt. Og hvor alle altid handler 100% korrekt, fordi det er jo en illusion. Det findes ikke. 

09:01 Fredrik: Nej, det findes ikke. 

09:02 Rasmus: Hvis man i stedet for fokuserer på at bygge en kultur op, hvad er det så for nogle elementer det skal bestå af? Det består først og fremmest af, at der er en ledelse, som der går forrest, kommunikerer omkring, at det her er noget som vi prioriterer, men vi erkender også, at det er en reel trussel. Det er en kultur, hvor man er transparente, hvor man fortæller og hjælper folk til at forstå, hvad er det for en adfærd, som vi gerne vil have. Og så det sidste er det der med, at det også er en kultur, hvor det er okay at begå fejl. Hvor man ikke er bange for at række hånden op og så sige, jeg tror sgu, at jeg har lavet en fejl her. Eller at man måske også endnu tidligere er i stand til at sige, der er noget jeg er i tvivl om her. Der er noget som jeg er i tvivl om her. Prøv lige at hjælpe mig med det her. Det tror jeg er nogen af de ting som vi ser, hvor det er med til at drive, at man rent faktisk opnår en anden adfærd ved medarbejderne. Det starter simpelthen med noget kultur, så hvis man tror, at man bare kan skrive sig ud af det, lave retningslinjer eller man tror man bare kan sige det én gang, at nu er det sådan her, at det er hos os, så tager man fejl. Kulturændring, det er noget der kommer over tid, og det er noget som man er nødt til at investere i kontinuerlig. 

10:15 Fredrik: Og man får det kun, hvis man inkluderer folk. Folk der bliver ekskluderet, de har det jo med at vise modstand og reagere ret negativt på det og det er jo ganske enkelt fordi, at man ikke tager hånd om dem. Man skal tage hånd om deres mulighed for at lykkedes med at øge organisationens IT-sikkerhed.

10:33 Rasmus: Hvis vi skal prøve sådan helt at konkludere, hvordan er det man får løst den her udfordring? Jamen, det gør man først og fremmest ved at erkende, at den er reel. Man gør det ved at erkende, at det er ikke noget man kan eliminere. Det er noget man kan minimere og hvordan minimerer man så den? Jamen, det gør man ved at have fokus på over tid at skabe en IT-sikkerhedskultur, hvor folk de føler, at de bliver inddraget, og hvor folk føler, at der er plads til at fejle, og hvor vi kommunikerer omkring opmærksomhed fremfor, du skal lige præcis vide A B og C. Fordi realistisk set, så lykkedes det bare ikke. Yes – cool. Tak for denne gang Fredrik og tak fordi O lyttede med. Som altid kan du jo finde det her podcast inde på Cyberpilot.dk/podcast, hvor vi vil prøve at ligge noget af det her materiale. Og så håber vi, at I nød at lytte med og at I vil høre med igen næste gang.