Fredag formiddag i august er DTU Biblioteks medarbejdere samlet i et mødelokale på Lyngby Campus, bygning 101. Stemningen er afslappet, kollegerne snakker sammen over kaffen, mens softwareudvikler Mikkel Sjølund Pieler gør klar til at præsentere en hjemmelavet karaoke-sang om phishing.
Før sommerferien deltog medarbejderne i en simuleret phishing-kampagne, hvor de modtog falske e-mails, der lignede rigtige phishing-forsøg, for at skabe awareness omkring sikker digital adfærd. I dag får de resultatet af kampagnen præsenteret.
“Jeg tænkte, at hvis vi skal huske det her, så skal det være sjovt,” siger Mikkel Sjølund Pieler, inden han trykker play. Musik og latter fylder rummet, mens teksten ruller over skærmen: “We didn’t click the link. Now we are cyber heroes, phishing count is zero.”
Nyansat tog initiativ
Ideen opstod for otte måneder siden, da Mikkel Sjølund Pieler bragte cybersikkerhed op på et morgenmøde kort efter sin ansættelse. Her demonstrerede han for sine kolleger, hvor nemt det kan være at hacke en computer med et simpel USB-stik.
Med sit oplæg håbede han på at styrke sikkerhedskulturen blandt bibliotekets 45 medarbejdere:
”Det starter med de små vaner som at låse sin skærm, når man forlader computeren,” forklarer Mikkel Sjølund Pieler, som savnede mere fokus på emnet på arbejdspladsen.
Bibliotekschef Gitte Bruun Jensen greb Mikkels idé og gik i dialog med DTU’s centrale it-afdeling (AIT) om muligheden for at deltage i en simuleret phishing-kampagne.
”Vi ville gerne være med til at prøve konceptet af og give AIT noget viden om, hvad der virker,” siger hun.
Genkende phishing-mailen som mistænkelig
Kampagnen gik ud på, at medarbejderne skulle genkende de tilsendte phishing-mails som mistænkelige, rapportere dem via knappen “Rapportér phishing” i Outlook, og deltage i et kort online kursus.
Sideløbende med phishing-kampagnen har Mikkel Sjølund Pieler i samarbejde med it-afdelingen hængt plakater op i frokoststuen, på toilettet og på gangene med budskaber som ”Lås din skærm”, ”Tænk før du klikker” og ”Den største trussel kommer af menneskelige fejl”.
Ifølge bibliotekschefen er formålet med phishing-kampagnen at øge medarbejdernes kendskab til sikker digital adfærd, ikke at udstille eller overvåge dem.
”Vi har været meget tydelige over for vores medarbejdere om, at det ikke handler om at pege fingre, men om at lære,” fortæller Gitte Bruun Jensen.
Hun understreger, at resultaterne bliver behandlet anonymt, og alle medarbejdere får adgang til kursusmateriale, uanset om de falder i fælden eller ej.
Interesse og tvivlsspørgsmål
Phishing-kampagnen vakte både interesse og tekniske spørgsmål. Trods grundig introduktion fra AIT opstod der tvivlsspørgsmål om den korrekte håndtering af phishing-mails.
”Der var bare tvivl om; ’Skal jeg klikke på phishing-mailen for at komme til kurset’. ’Nej, nej. Det er jo en test. Du skal netop ikke klikke, men anmelde’,” forklarede Gitte Bruun Jensen gentagne gange til medarbejderne.
Derudover spurgte flere om, hvordan man konkret rapporterer en mistænkelig mail via Outlook, og hvad der sker, hvis man blot sletter mailen uden at reagere.
Opløftende resultater
Under testperioden har Mikkel Sjølund Pieler observeret flere positive ændringer i sine kollegers adfærd:
”De er mere opmærksomme på afsendere af mistænkelige mails og klikker ikke bare på usikre links. De snakker sammen om de her ting, hvilket øger fokusset på cybersikkerhed. Og det synes jeg bare er rigtig godt.”
Resultaterne af kampagnen er da også opløftende. Andelen af medarbejdere, der rapporterer phishing er steget fra 42 til 68 procent gennem testperioden. En tydelig forbedring.
Under evalueringen rækker en medarbejder hånden op og siger: ”Jeg har lært, at det ikke er nok at slette mistænkelige mails – de skal også anmeldes i Outlook.” Mikkel Sjølund Pieler og Gitte Bruun Jensen nikker tilfredst.
Et voksende trusselsbillede
Bibliotekschefen ser cybersikkerhed som en voksende udfordring – også for universitetssektoren:
“Der er angreb alle vegne, hele tiden – phishing, hackere og alt muligt. Det er vigtigt, at awareness vokser hos os alle – uden at det bliver skræmmende.”
Hun henviser til en tidligere hændelse, hvor en person udgav sig for at være rektor og anmodede om penge.
”Selvom ingen reagerede – heldigvis – så giver det en ubehagelig følelse af at være blevet forsøgt snydt.”
På længere sigt håber både Gitte Bruun Jensen og Mikkel Sjølund Pieler, at bibliotekets erfaringer kan inspirere hele DTU.
“Hvis vores erfaringer kan hjælpe andre enheder i gang, så har det allerede været det hele værd,” slutter Gitte Bruun Jensen.
