Nukissiorfiit er Grønlands største forsyningsvirksomhed. De producerer og leverer el, vand og varme til størstedelen af forbrugerne i Grønland. Deres forsyningspligt dækker over 17 byer og 54 bygder.
I Nukissiorfiit sidder Alu Gunnar Petrussen. Til dagligt sidder han som IT-chef i IT-afdelingen, hvor han blandt mange andre ting har ansvaret for træningen af medarbejdere i IT-sikkerhed.
I to årtier har Alu arbejdet for Nukissiorfiit og fulgt udviklingen tæt og kender både kulturen og de daglige virkeligheder i organisationen.
Inden samarbejdet med CyberPilot var awareness-arbejdet primært fokuseret på at kunne sætte flueben til revision hvert andet år og ad hoc-intern deling ved aktuelle phishing-angreb, men der manglede en struktureret og kontinuerlig tilgang til awareness.
Med medarbejdere spredt fra Thule til østkysten og en stor del af arbejdsstyrken uden særlig IT-baggrund, var det afgørende, at læringen var tilgængelig og gav mening for alle.
Desuden er den grønlandske kultur præget af tillid, hvilket er en værdi i hverdagen, men kan være en svaghed i mødet med phishing.
De fleste medarbejdere har mest fokus på den daglige drift.
“For dem er det jo deres arbejde” siger Alu.
Men når man arbejder med el, vand og varme, er konsekvenserne af et klik på det forkerte link enormt vigtige at forstå. Det er derfor utrolig vigtigt, at alle ansatte lærer at spotte og rapportere phishing-angreb og sætte spørgsmålstegn ved alt, der lander i indbakken.
For tre år siden implementerede Nukissiorfiit derfor CyberPilots awareness-træning og phishing-simuleringer for mere end 400 medarbejdere.
En anbefaling fra et andet selvstyreejet selskab kombineret med muligheden for grønlandske kurser førte til valget af CyberPilot.
“Det, at medarbejderne kan tage kurserne på deres modersmål gør en stor forskel. Det giver dem en helt anden forståelse.”
Kurserne udsendes hver anden måned og er blevet en naturlig del af hverdagen. Desuden modtager de 2 phishing kampagner om året. Nogle steder løber der endda en lille konkurrence om at være den første, der gennemfører et kursus. IT-teamet har samtidig fortsat deres egen praksis med interne advarsler og vidensdeling, når aktuelle trusler cirkulerer.
Og når en medarbejder i dag møder en mistænkelig mail, reagerer de med sund skepsis og rækker ud til IT og siger:
“Alu, er det nu dig der har sendt sådan en phishing-test igen?”
I dag er awareness ikke længere noget, der bliver “sendt ned” fra IT, men i højere grad en fælles praksis, der falder naturligt ind i hverdagen. Medarbejderne lægger langt mere mærke til mistænkelige mails og sender dem nu aktivt videre til IT, og det har skabt en meget mere åben og uformel dialog på tværs af hele organisationen om sikkerhed og ansvar.
Forståelsen for risici er vokset markant, ikke kun hos dem med IT-erfaring.
Det har skabt en mere moden og tryg sikkerhedskultur, der er vokset frem i fællesskab. Dels gennem den løbende træning, men i lige så høj grad gennem det vedvarende arbejde fra Nukissiorfiits egen IT-afdeling, som fortsat holder medarbejderne opdateret om trusler, relevante hændelser og små advarsler, når der er noget i omløb.
Og selvom rigtige phishing-angreb sjældent kommer på grønlandsk, giver kursusmaterialet på modersmålet medarbejderne et vigtigt forståelsesfundament, som gør dem bedre rustet til at håndtere angreb.