Nukissiorfiit er Grønlands største forsyningsselskap. De produserer og leverer strøm, vann og oppvarming til majoriteten av forbrukerne i Grønland. Deres forsyningsplikt dekker 17 byer og 54 bygder.
I Nukissiorfiit sitter IT-sjef Alu Gunnar Petrussen. Til daglig sitter han som IT‑sjef i IT‑avdelingen, hvor han blant mange andre oppgaver har ansvar for opplæring av ansatte i IT‑sikkerhet.
I to tiår har Alu jobbet for Nukissiorfiit, fulgt utviklingen tett, og har inngående kunnskap om både kulturen og de daglige realitetene i organisasjonen.
Før samarbeidet med CyberPilot var bevisstgjøringsarbeidet hovedsakelig fokusert på å kunne krysse av for revisjon hvert annet år, og ad hoc‑deling internt ved aktuelle phishing‑angrep. Det manglet imidlertid en strukturert og kontinuerlig tilnærming til awareness.
Med ansatte spredt fra Thule til østkysten og en stor del av arbeidsstyrken uten spesifikk IT‑bakgrunn, var det avgjørende at opplæringen var tilgjengelig og meningsfull for alle.
I tillegg preges grønlandsk kultur av tillit, en viktig verdi i hverdagen, men som kan være en sårbarhet i møte med phishing.
De fleste ansatte fokuserer mest på den daglige driften.
“For dem er det jo bare jobben deres,” sier Alu.
Men når man jobber med strøm, vann og oppvarming, er konsekvensene av å klikke på feil lenke svært viktige å forstå. Derfor er det avgjørende at alle ansatte lærer å oppdage og rapportere phishing‑angrep og stille spørsmål ved alt som lander i innboksen.
For tre år siden implementerte Nukissiorfiit derfor CyberPilots security awareness trening og phishing-trening for mer enn 400 ansatte.
En anbefaling fra et annet selvstyreeid selskap, kombinert med muligheten for kurs på grønlandsk, førte til valget av CyberPilot.
“Det at ansatte kan ta kursene på sitt morsmål gjør en stor forskjell. Det gir dem en helt annen forståelse.”
Kursene sendes ut annenhver måned og har blitt en naturlig del av hverdagen. I tillegg mottar de to phishing‑kampanjer per år. Noen steder er det til og med en liten konkurranse om å være den første som fullfører et kurs. IT‑teamet har samtidig fortsatt sin egen praksis med interne varsler og deling av kunnskap når aktuelle trusler sirkulerer.
Når en ansatt i dag møter en mistenkelig e‑post, reagerer de med sunn skepsis og tar kontakt med IT og sier:
“Alu, er det deg som sender en phishing‑test igjen?”
I dag er awareness ikke lenger noe som “blir sendt ned” fra IT, men snarere en felles praksis som faller naturlig inn i hverdagen. Ansatte legger langt mer merke til mistenkelige e‑poster og sender dem aktivt videre til IT, noe som har skapt en åpen og uformell dialog på tvers av hele organisasjonen om sikkerhet og ansvar.
Forståelsen av risiko har økt betydelig, ikke bare blant dem med IT‑erfaring.
Dette har skapt en mer moden og trygg sikkerhetskultur, utviklet i fellesskap. Dels gjennom kontinuerlig opplæring, men i like stor grad gjennom det vedvarende arbeidet fra Nukissiorfiits egen IT‑avdeling, som fortsatt holder ansatte oppdatert om trusler, relevante hendelser og små varsler når noe er i omløp.
Og selv om ekte phishing‑angrep sjelden kommer på grønlandsk, gir kursmaterialet på morsmålet de ansatte et viktig forståelsesgrunnlag som gjør dem bedre rustet til å håndtere angrep.