Awareness træning skal gentages
Forleden gentog jeg et “hackerangreb” i en større dansk organisation. De havde kørt awareness-træning i godt og vel et år overfor godt samtlige 300 medarbejdere.
Jeg blev bedt om at lave et angreb baseret på en simpel Microsoft opfordring, hvor vi, under påskud af at deres Office 365 netop var blevet opgraderet, bad de ansatte om at logge ind og verificere deres konti.
Ledelsen og jeg var enige om at den udsendte e-mail indeholdte tilstrækkelige med advarsler, bla. set i lyset af den træning, som man havde været igennem. Nedenfor et eksempel
En af de første, der klikkede på ovenstående link og blev vist hen til en “Microsoft”-login side, hvor hun indskrev sit brugernavn og password, gjorde det kun 23 sekunder efter at hun havde modtaget emailen!
Det var skræmmende tal – der trods en lang awareness kampagne – kom frem.:
138 ud af 283 afleverede login og password!!
Det kan ikke passe, tænker du. Men jo! Indenfor den uge vi kørte angrebet, gik 138 medarbejdere, herunder flere ledere og en direktør ind og afleverede deres email adresse og password.
I en ældre artikel, som jeg skrev sidste år, så har jeg beskrevet hvordan en hacker kan udnytte disse “nøgler” til virksomheden
Min opfordring er:
Paraderne er nede. Det er lang tid siden at der har været et større hacker angreb, som har været omtalt i medierne, og som derved har fået dine medarbejders opmærksomhed.
Der er hele tiden hackerangreb. HELE TIDEN!
Man siger at der findes to slags virksomheder:
- Dem som ved de er blevet hacket, og
- Dem, der ikke har opdaget det endnu.
Få taget hånd om IT sikkerheden, få en løbende dialog med dine kollegaer og medarbejdere om IT-sikkerhed. Måske få lavet et “hacker”-angreb, og brug det til at skabe dialog med.
