I august måned 2021 modtog Kalundborg Forsyning en uhyggelig besked på deres computerskærme. Alle deres filer var blevet stjålet og krypteret og for at få deres filer igen, krævede hackerne penge. Heldigvis lykkedes det Kalundborg Forsyning at få hackerne ud af deres IT-systemer uden at betale en krone. Allerede før angrebet var IT-sikkerhed vigtigt hos Kalundborg Forsyning, men efter angrebet har opmærksomheden nået nye højder. Vi har snakket med Kim fra Kalundborg Forsyning om, hvordan de sikrer, at alle medarbejdere har fokus på sikkerheden i deres dagligdag, og hvordan de bedst sikre at et cyber-angreb ikke sker igen.
|
Kalundborg Forsyning forsyner husstande med drikkevand og distribuerer fjernvarme i Kalundborg by, samt renser spildevand fra hele Kalundborg Kommune. Derudover leverer de overfladevand til nogle af de store virksomheder i Kalundborg. |
Om Kim
Kim Breiner Ottobrøker
Compliancespecialist
Cand.Scient.Pol Københavns Universitet
Kim er ansvarlig for GDPR og cyber-sikkerhed i Kalundborg forsyning. Han er uddannet Cand.Scient.pol fra Københavns Universitet og har også en uddannelse fra Journalisthøjskolen. Kommunikation fylder en del i hans arbejde som compliance specialist, da det er en vigtig del af at skabe awareness. Kort fortalt bygger Kim bro til IT, da han altid skelner
“[…] mellem IT- og cyber-sikkerhed. IT-sikkerhed er meget hardware og cyber-sikkerhed er den bløde del. Jeg arbejder tæt med IT-folk, men cyber-delen, altså det at skabe awareness, er udelukkende mig.”
I denne artikel fortæller Kim om det cyber-angreb Kalundborg Forsyning oplevede i 2021. Artiklen vil komme ind på, hvad de var udsat for, men også om, hvordan Kalundborg Forsyning, hver dag aktivt arbejder med awareness-træning. Til sidst i artiklen, vil vi komme ind på Kims konkrete råd til andre virksomheder, samt de tiltag som Kalundborg Forsyning har gjort i kampen mod angreb.
God læselyst.
Indholdsfortegnelse
- Angrebet grundet en dårlig VPN-forbindelse
- Åbenhed er nøglen til god IT-sikkerhed
- Åbenhed for medarbejderne
- Åbenhed lokalt
- Åbenhed for medarbejderne
- En kultur-ændring starter i samtalen om IT-sikkerhed
- Valg af strategi til at ndgå fremtidige angreb
- Efter angrebet
- Hvordan holder man fokus på både cyber-sikkerhed og GDPR?
- Cyber-sikkerhed er en kompleks størrelse
- Sikkerhedstiltag er et samarbejde
- Kurser og mulighed for oplæsning i kurser:
- Phishing kampagner
- Opfølgning:
- Forandring efter hacker-angrebet
- Hvad siger medarbejderen til phishing-mails?
- Tre gode råd til andre virksomheder
- Få ledelsen med på det
- Aftabuisere det
- Kultur ændring
- Skab en god IT-sikkerhedskultur i din organisation
Angrebet grundet en dårlig VPN-forbindelse
Angrebet på Kalundborg Forsyning skete, da en hacker kom ind via en computer. De prøvede først at hacke sig ind ved at brute-force passwords, men det var igennem en dårlig VPN-forbindelse, at det lykkedes dem at få adgang og udføre et ransomware-angreb, hvor alle systemer blev låst. Ved ransomware-angreb tænker man automatisk på phishing, men det var altså ikke tilfældet her. Faktisk sker 95% af alle angreb pga. menneskelige fejl, hvilket betyder, at dette angreb er en del af de sidste 5%. Kim fortæller, at de procedurer- og beredskabsplaner som Kalundborg Forsyning havde lavet i tilfælde af et angreb, virkede efter hensigten:
“Efter 12 timer var vi oppe igen med de mest vitale systemer og kunne arbejde ud fra det. Det syntes jeg var hurtigt.”
Under et angreb har du ikke adgang til dine filer eller systemer, så det er vigtigt at opbevare procedurer offline. Det var i sidste ende også det, der gjorde, at de fik systemet tilbage i deres varetægt og smidt hackeren af.
At være oppe og køre igen efter 12 timer er mere undtagelsen end reglen. Det vidner om, at Kalundborg Forsyning har haft gode processer og planer i spil. I gennemsnit er man normalt nede mellem 7-21 dage ved ransomware-angreb.
Den tekniske del af at komme op og køre stod IT-holdet for, imens Kim skulle stå for både den interne og eksterne kommunikation, så lad os dykke ned i, hvordan han bar sig ad med det.
Åbenhed er nøglen til god IT-sikkerhed
Fra begyndelsen af angrebet var kommunikationen altafgørende for Kim. Der skulle være åben kommunikation både til medarbejdere, men også offentligheden:
“Jeg har fra start af aldrig lagt skjul på, at en åbenhedspolitik er superfint. Det er simpelthen fordi, at et hackerangreb og især særdeleshed ransomware angreb er forbundet med skam. Det er et tabubelagt emne for mange virksomheder. […] Men altså, man kommer det aldrig til livs, hvis man ikke taler åbent om det.”
Derfor valgte Kim at tale om sagen med Kalundborg Forsynings medarbejdere, men også med lokalområdet og i nationale medier.
Åbenhed for medarbejderne
Dagen hvor angrebet skete havde Kalundborg Forsyning tilfældigvis et medarbejdermøde. Det udnyttede Kim til at fortælle alle medarbejdere om, hvad der var sket, og hvad det betød for dem og virksomheden. Den meget åbne kommunikation har været med til at give medarbejderne hos Kalundborg Forsyning en fælles forståelse for, hvad det vil sige at være under et cyber-angreb. Det er ikke blot noget ledelsen og IT-holdet har været inde omkring.
“Det her angreb er blevet en del af vores fælles kulturramme. Måden, hvorpå vi tænker cyber-sikkerhed, og hvor åbent vi taler omkring det. Det er jo en del af vores fortælling nu, og vi gør det også til en del af vores fortælling i fremtiden.“
At angrebet er blevet en del af Kalundborgs Forsynings fortælling er også en del af onboardingen for nye ansættelser. Her bliver angrebet en historie om, hvorfor, og hvordan cyber-sikkerhed er en vigtig del af hverdagen. På den måde kan angrebet blive vendt til en styrke, da det bliver en læring i hele organisationen.
Åbenhed lokalt
Kim havde også et fokus på, hvordan de kommunikerede angrebet ud til Kalundborg by, og det var der en særlig grund til:
“Først og fremmest er der et element i, at vi ligger i Kalundborg, som ikke er en stor by. Derfor var det vigtigt, at vi fik den rigtige historie ud med det samme og skabte ro ved medarbejderen. Det her var ikke deres skyld, det her var et angreb udefra.“
Ved at være på forkant med kommunikationen kunne Kim bedre styre de informationer medarbejdere og byen skulle have. Det betød også, at de lettere kunne undgå falske rygter. Angrebet skyldtes ikke inkompetence hos hverken medarbejdere eller IT-holdet, men kunne være sket for alle. Den historie er vigtig at få ud, for at snakke åbent om denne type angreb.
Senere ramte nyheden også nationale medier, hvor Kim også tog sig tiden til at gå i dialog.
En kultur-ændring starter i samtalen blandt medarbejdere
At have en åben dialog om angrebet internt og eksternt har medvirket til et fælles udgangspunkt og forståelse for, hvorfor IT-sikkerhed er vigtigt, hvilket bidrager til en bedre IT-sikkerhedskultur. Kommunikationen er et afgørende værktøj for at skabe åbenhed, hvor folk tør stille spørgsmål, hvis de er i tvivl.
Kommunikation kan dog ikke stå alene, når man skal skabe en kultur. Kalundborg Forsyning bruger derfor forskellige metoder til at træne og udvikle kulturen. Her hjælper CyberPilots phishing-kampagner og awareness-kurser.
“Det er superfedt med de der phishing-kampagner. Det er en måde at holde gryden i kog på. Man kan ikke slække på det.”
Phishing-kampagnerne hjælper medarbejderne med at være opmærksomme i hverdagen, og skaber en dialog blandt medarbejdere, når de opdager en mulig phishing-mail.
Kalundborg Forsyning modtager også awareness-træning kurser, men Kim udsender ikke bare CyberPilots kurser, han følger også op på dem og derved går skridtet længere, for at få ændret kulturen på arbejdspladsen.
“Jeg holder oplæg for folk på vores fællesmøder. Jeg skriver ud hver uge på vores intranet og skulle der være noget helt tredje som trusler, så ryger det ud med det samme. Der er hele tiden en samtale i gang imellem kollegaer, hvilket leder til mit vigtigste budskab, som er at aftabuisere, for hvis man kan tale om det, er det den største sikkerhed du kan få.”
Ifølge Kim skabes en kultur, når folk snakker om IT-sikkerhed internt, og for at det lykkes har Kim en ambitiøs strategi for virksomhedens awareness-træning, nemlig at alle medarbejdere skal gennemføre. Det sker ikke altid i første omgang, men efter flere reminders ved folk, at de skal tage kurserne.
“Jeg går jo efter 100% gennemførelser af kurser. Til det, bruger jeg til dels de redskaber, der er tilgængelige fra CyberPilot, for at se om folk får gennemført de her kurser. Den anden del er, at jeg hele tiden kommunikerer om cyber-sikkerhed.“
Efter angrebet er awareness-træning en stor del af Kalundborg Forsynings hverdag, og der er i virksomheden en forventning om, at alle gennemfører kurserne. Ifølge Kim, så lykkes det altid, at alle medarbejdere gennemfører.
Valg af strategi til at undgå fremtidige angreb
Kalundborg Forsyning kom igennem angrebet med et stærkt IT-hold og åben kommunikation til medarbejdere og omverden. Men hvordan undgår de at blive ramt igen?
For at undgå fremtidige angreb handler det om at italesætte og sætte rammerne for, hvordan man arbejder med GDPR og cyber-sikkerhed. I sådan et arbejde fortæller Kim at;
“Risikoanalyser er en super vigtig del af cyber-beredskabet. Selvfølgelig, at man laver den på IT-systemer, men man er også nødt til at lave den på nogle af de lidt blødere dele. Som sagt, 95% af alle fejl bliver begået af mennesker.”
Det er altså ikke nok at lave en risikoanalyse over ens IT-aktiver. Netop det, at have fokus på de 95% fylder en del hos Kim og hans compliance strategi:
“Det er også den fortælling jeg hele tiden prøver at få ud til vores medarbejdere, så de ved, at det er dem, der er det svage led i det her. Det er der ikke nogen skam i, sådan er det for alle.”
Medarbejderen må gerne vide, at de er det svageste led, så længe at de også ved, at det er helt okay, for det er normalt. Kalundborg Forsynings store fokus på medarbejderen har gavnet dem. Kims kollegaer har f.eks. kritiseret at phishing-kampagnerne er for lette. Det kunne være et problem, men netop det er Kim glad for, da det i hans øjne betyder, at medarbejderne tænker over, hvad de laver og klikker på, og derudover viser det, at simulerede phishing-mails faktisk virker. Han ser altså kritikken som et symptom på, at Kalundborg Forsynings IT-sikkerhedskultur er stærk.
Efter angrebet
Hvordan holder man fokus på både cyber-sikkerhed og GDPR?
Kim er tydeligvis lykkes med at skabe opmærksomhed omkring IT-sikkerheden hos Kalundborg Forsyning, bl.a. ved at bruge angrebet mod dem selv aktivt. Og ved at skabe en dialog i organisationen. Det er dog en løbende udfordring og gælder ikke kun cyber-angreb, men også GDPR.
“Altså GDPR er en anden udfordring. Cyber-sikkerhed syntes jeg egentlig kommer stille og roligt, men GDPR er jo i virkeligheden sund fornuft langt hen ad vejen og om at passe på sig selv i en digital verden.”
Kim tager mange initiativer for at vedligeholde både GPDR og cyber-sikkerhed. Det gør han bl.a. ved at sende kurser ud, holde introforløb for nye medarbejdere og italesætte det i andre sammenhænge. Derudover varierer han, om han snakker om GDPR eller cyber-sikkerhed.
Selvom det “hænger uløstligt sammen” oplever Kim, at det kan være svært, at få IT-sikkerhedskulturen til også at gælde GDPR:
“Cyber-sikkerhed handler mange gange om noget ude fra. GDPR handler ofte om den måde man selv agerer på, og det er det jo altid nemmere, at forholde sig til noget udefra end det er at kigge indad.”
Phishing, hackere og udefrakommende er lette at kommunikere omkring, da det kommer udefra, os mod dem. Men GDPR er altså en anden udfordring. Kim nævner også, at GDPR kan være svært at få implementeret korrekt, da man ofte bliver blind overfor det man sidder med, hvorfor det skal italesættes hele tiden:
“Det skal italesættes på en helt almindelig måde, hvor man kan relatere sig til det. Der er mange måder. I gør det også i jeres kurser, […] det er vigtigt at trække det juridiske lidt væk. For mange mennesker lukker ned på det.”
Ofte er der en konsensus om at GDPR er et komplekst emne, men her mener Kim, at det er vigtigt at få talt det ned, da det mest af alt handler om sund fornuft. Der skal fokus på den sunde fornuft frem for juraen bag, men hvordan gør man det?
CyberPilot hjælper med at tale emnerne ned
Vi ved, det kan være svært at gøre alt på én gang. Hvor skal man starte, og hvad skal man starte med? Cyber-sikkerhed er en kompleks størrelse, som Kim mener CyberPilot hjælper med:
“Det er faktisk en ros til jer og jeres kurser. Jeg kan godt lide, at de ikke er længere end de er. Jeg har før været i virksomheder, hvor et enkelt kursus tog 45 minutter at tage, og du er stået fuldstændig af. I jeres kurser, er der måske 5 ting du tager med dig, det kan du huske. Det er langt mere effektivt brug af medarbejdernes tid, for de husker langt mere af de 5 minutter end de 45 minutter. Det er meget logisk i virkeligheden, men desværre ikke mere end, at der er mange der gør det modsatte.”
Kalundborg Forsyning har valgt at cyber-sikkerhed og GDPR er noget de bruger, og ikke bare noget, der skal tjekkes af.
“Hvis det bare var noget, der skulle tjekkes af, behøvede de ikke sådan en som mig, som holder folk i ørene, så ville de bare sende det ud og sætte tjek ved det. Ikke noget med opfølgning på, hvor mange der har gennemført osv., men det lærer folk jo heller ikke af.”
Det ledte os til, at spørger om, hvilke tiltag Kim ellers har implementeret i virksomheden. Kim fortæller, at de har gjort mange konkrete tiltag, for at styrke cyber-sikkerheden og blive mere GDPR compliant i Kalundborg Forsyning.
Sikkerhedstiltag er et samarbejde
De tre tiltag Kim fortæller os om, er sket i samarbejde mellem CyberPilot og Kalundborg Forsyning.
Kurser og mulighed for oplæsning i kurser:
Det første tiltag drejer sig om, de forskellige kurser som CyberPilot udbyder og den højtlæsningsfunktion, som hører til.
“Sidste år havde vi to, der var ordblinde, og de pointerede, at kurserne var lidt svære for dem fordi der også var noget tekst. Der fik i så lagt speak indover eller oplæsning på, så alle der er ordblinde også kunne være med. […] Det er en kæmpe hjælp til selvhjælp, at der er sådan noget som oplæsning, det er et vigtigt parameter, som i endelig må fastholde.”
Oplæsning er et vigtigt tiltag for at kunne skabe en kultur for HELE virksomheden.
Phishing kampagner:
Det andet tiltag, som Kim fokuserer på, har vi allerede været inde på nemlig phishing-kampagner.
“Jeg er begyndt at kører de her phishing-kampagner noget mere struktureret, fordi det er en god øjenåbner for folk. Det giver også mig et redskab, for at se om de ting jeg laver i hverdagen virker. Nu har jeg to målinger at forholde mig til - en fra sidste år og en fra i år. Allerede nu kan jeg se, at der er et markant fald i kliks.”
Phishing-kampagner kan både bruges til at skabe opmærksomhed blandt medarbejdere, men også måle effekten af ens tiltag.
Opfølgning:
Det tredje og sidste tiltag er opfølgningen efter et kursus eller en phishing kampagne. Det er supervigtigt både for at få den uformelle samtale om cybersikkerhed i gang, men også for at se virkningen på ens kampagner. Til det siger Kim, at uden opfølgning på kurserne ser han ingen læring:
“Hvis kurserne bliver sendt ud én gang om måneden. Så tager du det. Det er fint. Hak ved det. Videre. Her prøver vi at italesætte det, og gøre det en til en del af vores processer og vores hverdag. […] for der går meget viden og tid tabt, hvis du ikke har opfølgning på det. Så er det bare igen et tjek-skema.”
Det er vigtigt ikke blot at se awareness-træning og phishing-kampagner som et aftjekningsværktøj. Opfølgning af kampagner og træning er det, der skaber dialogen i virksomheden, og som nævnt tidligere er dialogen Kims vigtigste værktøj til at skabe en IT-sikkerhedskultur.
Forandringen efter hacker-angrebet
Efter Kalundborg Forsyning oplevede et hacker-angreb har de overstående tiltag været en ændring og forbedring. Kim fortæller, at de inden angrebet ikke havde fokus på træning, hvor træningen nu er en del af deres hverdag.
“Det er ikke bare et kursus, der sendes ud én gang om måneden. Hvis vi kører phishing-kampagner, er der også noget debriefing for alle medarbejdere, så de ved, den har været der, og hvad resultatet er. Derudover gennemgår vi også, hvad man skulle være opmærksom på i kurset eller mailen, og hvad man skal gøre bedre til næste gang.”
Derudover har Kalundborg Forsyning fået mulighed for at registrere hændelser, når medarbejdere får mystiske mails. Dette redskab giver mulighed for at arbejde statistisk med phishing-mails og mulighed, for at spotte tendenser.
Hvad siger medarbejderen til phishing-mails?
Vi syntes, at alle virksomheder skal phishe deres medarbejdere. Phishing-træning er en måde at teste, hvor gode dine kollegaer er til at opdage phishingmails, men det kan være kompliceret at komme i gang, da det handler om at snyde andre bevidst. Hvis det er gjort ordentligt, så kan det have en stor positiv indflydelse på din sikkerhed, men hvis det bliver gjort forkert, kan det have negative konsekvenser og møde modstand fra ens kollegaer.
Kim oplevede flere følelser fra kollegaer, da han sendte den første phishing-mail ud, men især opfølgningen på mailen skabte ro og forståelse:
“Første gang var de sure. Der var ingen tvivl. Der var min telefon rødglædende samme dag. […] Anden gang jeg gjorde det, tog folk det med et smil. For mig, er det vigtigt at få feedback, for det er jo et dialogværktøj. Det her er en trykprøvning af virksomheden. Der var ikke én sur mine over det sidst, jeg sendte ud. For folk kan jo godt se, hvorfor jeg gør det.”
Kim mener, at opfølgning, uformelle samtaler og debriefing er det, der skaber sikkerhedskulturen. Derudover har hans tilgang til phishing-mails og kurserne skabt en åbenhed i organisationen.
“Alene det, at de tør række ud og sige, jeg har fået det her eller jeg har klikket på et eller andet uden at det er forbundet med skam eller en løftet pegefinger. […] I virkeligheden bygger vi en tillid op i form af, at vi kan tale om det. Det betyder også, folk begynder at dele viden på kryds og på tværs.”
At gøre cyber-sikkerhed som en del af virksomhedskulturen gør, at de ikke behøver at starte forfra, hver gang der kommer nye medarbejdere. Da det er en integreret del af virksomheden.
Tre gode råd til andre virksomheder
Afslutningsvis spurgte vi Kim, om han havde tre gode råd som andre virksomheder kunne bruge.
Få ledelsen med på det
Kims første råd er, at få ledelsen med:
“Først og fremmest handler det om, at ledelsen også har fokus på angreb og anerkender, at det her kommer også til at ske for os. […] Det er ikke et spørgsmål om hvis, det er et spørgsmål om, hvornår. Hvis man tager den på sig og anerkender den - så er man allerede godt på vej.”
Uden ledelsens rygdækning er det svært at gennemføre tiltag.
Aftabuisere det
Men, hvordan får man ledelsen med på det?
“Det er andet punkt, og det er noget jeg syntes er det allervigtigste. Jeg syntes, at jeg har talt meget ind i det her med at aftabuisere det. Man er nødt til at tale om det.”
Her er vi tilbage til dialogen. Snak om, hvorfor det er vigtigt, og hvad svaghederne i organisationen er.
Kulturændring ved hjælp af rutiner
Kim mener, at det er vigtigt, at sikkerheden ikke bliver et tjek skema, men en kultur ændring og en integreret del af hverdagen i virksomheden. Det er nødt til at blive til rutiner.
“Det er i virkeligheden, kun et symptom på de to andre ting; italesættelse og ledelsesopbakning. Du kommer ingen vegne med it-sikkerhed, medmindre ledelsen er opmærksom på det og tager deres ansvar for det. Det har vi så gjort her. Det er meget stort fokus på det fra ledelsens side. Det gør også, at det siver ned i organisation.”
Man er nødt til at tale åbent om IT-sikkerhed i en ledelse, i en direktion, i en bestyrelse, da en kultur ændring kun sker, hvis både medarbejderen og ledelsen er bevidsthed om risikoen og muligheden for et angreb.
Skab en god it-sikkerhedskultur i din organisation
Kalundborg Forsyning har foretaget mange gode tiltag, for at forbedre og sikre virksomheden mod angreb. Dette har i sidste ende fungeret som en kulturændring i virksomheden. Du kan gøre som Kalundborg Forsyning og sikre din virksomhed mod angreb, start med vores awareness-træning, du kan prøve 14 dage helt gratis.
