Back to blog
10 min read

Et Cyberangrep i 2021 Førte Til Positive Endringer Hos Kalundborg Forsyning

Cybersikkerhet, Kundecase

I august 2021 fikk Kalundborg Forsyning en urovekkende melding på dataskjermene sine. Alle filene deres var blitt stjålet og kryptert. Hackerne krevde penger for å levere tilbake filene. Heldigvis klarte Kalundborg Forsyning å få hackerne ut av IT-systemene sine uten å betale et eneste øre. Allerede før cyberangrepet var IT-sikkerhet et viktig tema hos Kalundborg Forsyning, men etter angrepet har bevisstheten nådd nye høyder. Vi har snakket med Kim fra Kalundborg Forsyning om hvordan de sørger for at alle ansatte har fokus på sikkerhet i det daglige arbeidet, og hvordan de best sikrer at det ikke skjer et nytt angrep.

Om Kalundborg Forsyning

Kalundborg Forsyning forsyner husholdninger med drikkevann og distribuerer fjernvarme i Kalundborg by, samt renser avløpsvann fra hele Kalundborg kommune.

De leverer også overløpsvann til noen av de store virksomhetene i Kalundborg.

Om Kim

Kim Breiner Ottobrøker 

Compliancespecialist  

Cand.Scient.Pol Københavns Universitet

Kim er ansvarlig for GDPR og cybersikkerhet i Kalundborg Forsyning. Han har en mastergrad fra Københavns Universitet og er også utdannet ved Danmarks Medie- og Journalisthøjskole. Kommunikasjon utgjør en stor del av arbeidet hans som compliance-spesialist, da dette er en viktig del av bevisstgjøringen. Kort fortalt bygger Kim bro til IT, ettersom han alltid skiller

«[...] mellom IT og cybersikkerhet. IT-sikkerhet er mye maskinvare, mens cybersikkerhet er mykere. Jeg jobber tett sammen med IT-folk, men cyberdelen, det å skape bevissthet, er det bare jeg som gjør.»

I denne artikkelen forteller Kim om cyberangrepet Kalundborg Forsyning opplevde i 2021. Artikkelen tar også for seg hva de opplevde, og hvordan Kalundborg Forsyning jobber aktivt med bevissthetstrening hver dag. Til slutt tar vi en titt på Kims konkrete råd til andre bedrifter, samt hvilke tiltak Kalundborg Forsyning har iverksatt i kampen mot angrep.

God lesning.

 Indholdsfortegnelse

  • Angrepet på grunn av en dårlig VPN-forbindelse 
  • Åpenhet er nøkkelen til god IT-sikkerhet
    • Åpenhet med de ansatte
    •  Lokal åpenhet
  • En kulturendring starter i samtalen mellom de ansatte
    • Valg av strategi for å unngå fremtidige angrep
  • Etter angrepet
    • Hvordan holder man fokus på både cybersikkerhet og GDPR?
    • CyberPilot hjelper deg med å forenkle emnene
  • Sikkerhetstiltak er et samarbeid  
    • Kurs og mulighet for opplesing av kursene: 
    • Phishing-kampanjer:
    • Oppfølging:
  • Endringer etter hackerangrepet
    • Hva synes de ansatte om phishing-e-postene? 
  • Tre gode råd til andre bedrifter
    • Få ledelsen med på laget
    • Avtabuiser det
    • Kulturendring ved hjelp av rutiner 
  • Skap en god IT-sikkerhetskultur i din bedrift 

Angrepet på grunn av en dårlig VPN-forbindelse 

Angrepet på Kalundborg Forsyning skjedde da en hacker kom seg inn via en datamaskin. De forsøkte først å hacke seg inn ved å  knekke passord, men det var gjennom en dårlig VPN-forbindelse at de klarte å få tilgang til systemene og gjennomføre et løsepengevirusangrep som låste alle Kalundborg Forsynings systemer. Ved løsepengevirusangrep tenker man automatisk på phishing, men i dette tilfellet var det ikke phishing som hadde skylden. Faktisk skyldes 95% av alle angrep menneskelige feil, noe som betyr at dette angrepet faller inn under de resterende 5%. Kim forklarer at prosedyrene og beredskapsplanene som Kalundborg Forsyning hadde på plass i tilfelle et angrep, fungerte etter hensikten:

«Etter 12 timer var de mest vitale systemene våre oppe og gikk igjen, og vi kunne jobbe videre derfra. Det synes jeg var ganske raskt.»

Under et angrep har du ikke tilgang til de digitale filene eller systemene dine, så det er viktig å lagre prosedyrer offline. Det var dette som til slutt førte til at de fikk tilbake systemene sine og ble kvitt hackeren.

Å være oppe og gå igjen etter 12 timer er mer unntaket enn regelen. Det er et bevis på at Kalundborg Forsyning har gode prosesser og planer på plass. I gjennomsnitt er man nede mellom 7-21 dager under et løsepengevirusangrep.

IT-avdelingen tok seg av den tekniske delen av å komme i gang igjen, mens Kim hadde ansvaret for både den interne og eksterne kommunikasjonen. Så la oss se nærmere på hvordan han tok seg av dette.

Åpenhet er nøkkelen til god IT-sikkerhet 

Fra begynnelsen av angrepet var kommunikasjonen altavgjørende for Kim. Det skulle være åpen kommunikasjon med de ansatte, men også med offentligheten.

«Jeg har aldri lagt skjul på at det er veldig bra med en åpenhetspolitikk. Det er simpelthen fordi at et hackerangrep, og spesielt et løsepengevirusangrep, er forbundet med skam. Det er et tabubelagt tema for mange selskaper. [...] Men altså, man blir ikke kvitt det hvis ikke man snakker åpent om det.»

Derfor bestemte Kim seg for å snakke om hendelsen med de ansatte i Kalundborg Forsyning, men også med lokale og nasjonale nyhetsmedier.

New call-to-action

Åpenhet med de ansatte

Fra begynnelsen av angrepet var kommunikasjonen altavgjørende for Kim. Det skulle være åpen kommunikasjon med de ansatte, men også med offentligheten.

«Jeg har aldri lagt skjul på at det er veldig bra med en åpenhetspolitikk. Det er simpelthen fordi at et hackerangrep, og spesielt et løsepengevirusangrep, er forbundet med skam. Det er et tabubelagt tema for mange selskaper. [...] Men altså, man blir ikke kvitt det hvis ikke man snakker åpent om det.»

Derfor bestemte Kim seg for å snakke om hendelsen med de ansatte i Kalundborg Forsyning, men også med lokale og nasjonale nyhetsmedier.

 Lokal åpenhet

Kim hadde også fokus på hvordan de kommuniserte angrepet til Kalundborg by, av en helt spesiell grunn:

«Først og fremst er det et element at vi ligger i Kalundborg, som ikke er en stor by. Derfor var det spesielt viktig at vi sendte ut den riktige historien med en gang og skapte ro hos den enkelte medarbeider. Dette var ikke deres feil, det var et angrep utenfra.»

Ved å være i forkant med kommunikasjonen kunne Kim bedre styre informasjonen som ble delt med de ansatte og byen. Det betydde også at de lettere kunne unngå falske rykter. Angrepet skyldtes ikke inkompetanse hos verken de ansatte eller IT-avdelingen; det kunne ha skjedd hvem som helst. Den historien er viktig å få ut for å kunne snakke åpent om denne typen angrep.

Senere nådde nyheten også nasjonale medier, der Kim også tok seg tid til å gå i dialog.

En kulturendring starter i samtalen mellom de ansatte

En åpen dialog både internt og eksternt har bidratt til et felles utgangspunkt og en felles forståelse av hvorfor IT-sikkerhet er viktig, noe som igjen bidrar til en bedre IT-sikkerhetskultur. Kommunikasjon er et viktig verktøy for å skape åpenhet, der folk føler seg komfortable med å stille spørsmål hvis det er noe de er usikre på.

Kommunikasjon kan imidlertid ikke bære byrden alene når det gjelder å skape en kultur. Derfor benytter Kalundborg Forsyning seg av ulike metoder for å trene og utvikle kulturen. Her er CyberPilots phishing-kampanjer og bevisstgjøringskurs til stor hjelp.

«Phishing-kampanjene er kjempegode. Det er en enkel måte å holde hjulene i gang på. Man kan ikke slurve med det.»

Phishing-kampanjene hjelper de ansatte med å være oppmerksomme i hverdagen, og de skaper en dialog blant de ansatte når de oppdager en potensiell phishing-e-post.

Kalundborg Forsyning mottar også bevisstgjøringskurs, men Kim sender ikke bare ut CyberPilots kurs, han følger dem også opp og tar dermed et skritt videre for å endre kulturen på arbeidsplassen.

«Jeg holder en presentasjon for folk på personalmøtene våre. Jeg legger ut en melding på intranettet vårt hver uke, og hvis det er noe mer, for eksempel en trussel, deler jeg det umiddelbart. Det foregår alltid en dialog mellom kollegene, hvilket leder til det viktigste budskapet mitt, som er å avtabuisere, for hvis vi kan snakke om det, er det den største sikkerheten du kan få.»

Ifølge Kim skapes det en kultur når folk snakker internt om IT-sikkerhet, og for at dette skal lykkes, har Kim en ambisiøs strategi for organisasjonens bevissthetsopplæring – nemlig at alle ansatte skal gjennomføre den. Det skjer ikke alltid ved første forsøk, men etter et par påminnelser blir folk klar over at de må gjennomføre kursene.

«Jeg etterstreber jo 100% gjennomføring av kursene. Til dette bruker jeg blant annet verktøyene som er tilgjengelige fra CyberPilot, for å se om folk får gjennomført disse kursene. I tillegg kommuniserer jeg hele tiden om cybersikkerhet.»

Etter angrepet har bevissthetstrening blitt en stor del av Kalundborg Forsynings daglige drift, og det er en forventning i bedriften om at alle gjennomfører kursene. Ifølge Kim klarer de ansatte alltid å gjennomføre dem.

Valg av strategi for å unngå fremtidige angrep

Kalundborg Forsyning kom seg gjennom angrepet takket være et sterkt IT-team og åpen kommunikasjon med de ansatte og omverdenen. Men hvordan unngår de å bli angrepet igjen?

Å unngå angrep i fremtiden handler om å italesette og sette opp et rammeverk for hvordan man skal jobbe med GDPR og cybersikkerhet. I den forbindelse forteller Kim at: 

"Risikoanalyser er en superviktig del av cyberberedskapen. Den må selvfølgelig være basert på IT-systemer, men den må også baseres på noen av de litt mykere delene. Som tidligere nevnt blir 95% av alle feil begått av mennesker."

Det holder altså ikke å gjennomføre en risikoanalyse av ens IT-ressurser. Og det er nettopp derfor fokuset på de 95% tar mye plass i Kims compliance-strategi:

"Det er også det jeg hele tiden prøver å formidle til de ansatte, slik at de vet at det er de som er det svakeste leddet i denne kjeden. Og det er ikke noe å skamme seg over, slik er det for alle."

Medarbeiderne kan gjerne få vite at de er det svakeste leddet, så lenge de også vet at det er helt i orden, for det er normalt. Kalundborg Forsynings store fokus på medarbeiderne har kommet dem til gode. Kims kolleger har for eksempel kritisert phishing-kampanjer for å være for lette å oppdage. Det kunne vært et problem, men Kim er glad for det, for i hans øyne betyr det at de ansatte tenker over hva de gjør og trykker på. Og det viser også at simulerte phishing-e-poster faktisk fungerer. Han ser altså på kritikken som et tegn på at Kalundborg Forsyning har en sterk IT-sikkerhetskultur.

Etter angrepet

Hvordan holder man fokus på både cybersikkerhet og GDPR?

Kim har åpenbart lykkes med å skape bevissthet rundt IT-sikkerheten hos Kalundborg Forsyning, blant annet ved å bruke angrepet de opplevde aktivt og ved å skape en samtale i organisasjonen. Det er imidlertid en kontinuerlig utfordring, og den gjelder ikke bare cyberangrep, men også GDPR.

"GDPR er en annen utfordring. Cybersikkerhet kommer sakte, men sikkert, mens GDPR på mange måter handler om sunn fornuft og om å passe på seg selv i en digital verden."

Kim tar i bruk mange tiltak for å ivareta både GDPR og cybersikkerhet. Han gjør det blant annet ved å dele ut kurs, holde introduksjonsarrangementer for nyansatte og snakke om det i andre sammenhenger. Han veksler også mellom å snakke om GDPR og cybersikkerhet.

Selv om de to «henger uløselig sammen», er Kims erfaring at det kan være vanskelig å få IT-sikkerhetskulturen til å også omfatte GDPR:

"Cybersikkerhet dreier seg ofte om noe eksternt. GDPR handler ofte om hvordan du selv opptrer, og det er jo alltid lettere å forholde seg til eksterne faktorer enn å se innover."

Det er lettere å kommunisere om phishing, hackere og utenforstående, ettersom det kommer utenfra – oss mot dem. Men GDPR er altså en annen utfordring. Kim nevner også at det kan være vanskelig å implementere GDPR på riktig måte, fordi man ofte blir blind for det man har foran seg, og derfor må det adresseres hele tiden:

"Det må tas opp på en helt normal måte, hvor man kan relatere seg til det. Det finnes mange måter. Dere gjør det også i kursene deres, [...] det er viktig å skrelle bort noe av det juridiske, for mange faller av når det blir tatt opp."

Det er ofte enighet om at GDPR er et komplekst emne, men her mener Kim at det er viktig å snakke det ned, da det mest av alt handler om sunn fornuft. Det må fokuseres på sunn fornuft i stedet for jussen som ligger bak, men hvordan gjør man det?

CyberPilot hjelper deg med å forenkle emnene

Vi vet at det kan være vanskelig å gjøre alt på en gang. Hvor skal man begynne og hva skal man begynne med? Cybersikkerhet er en kompleks størrelse som Kim mener CyberPilot hjelper til med:

«Det er faktisk et kompliment til dere og kursene deres. Jeg liker at de ikke er lengre enn de er. Jeg har tidligere vært i bedrifter der et enkelt kurs tok 45 minutter å gjennomføre, og da blir man helt utslitt. I kursene deres er det kanskje 5 ting du tar med deg, det kan du huske. Det er langt mer effektiv bruk av de ansattes tid, for de vil huske mye mer av de 5 minuttene enn av de 45 minuttene. Det er veldig logisk i virkeligheten, men dessverre ikke mer enn at det er mange som gjør det motsatte.»

Kalundborg Forsyning har bestemt seg for at cybersikkerhet og GDPR er noe de gjør bruk av, og ikke bare noe som skal krysses av på en liste.

«Hvis det bare var noe som skulle krysses av, hadde de ikke trengt noen som meg til å holde folk i ørene. Da hadde de bare sendt det ut og krysset det av. Ikke noe med å følge opp hvor mange som har fullført og så videre, men det lærer folk jo heller ikke av.»

Dette fikk oss til å spørre om hvilke andre tiltak Kim har iverksatt i selskapet. Kim forteller at de har iverksatt mange konkrete tiltak for å styrke cybersikkerheten og bli mer GDPR-kompatible i Kalundborg Forsyning.

En kvinne tar gratiskurs i cybersikkerhet på sin bærbare datamaskin

Sikkerhetstiltak er et samarbeid  

De tre tiltakene Kim forteller om, har skjedd i samarbeid mellom CyberPilot og Kalundborg Forsyning.

Kurs og mulighet for opplesing av kursene: 

Det første tiltaket handler om de ulike kursene som CyberPilot tilbyr og opplesingsfunksjonen som følger med.

«I fjor hadde vi to medarbeidere med dysleksi, og de påpekte at kursene var litt vanskelige for dem, fordi de også inneholdt en del tekst. Da la dere til opplesing, slik at alle som har dysleksi også kunne være med. Det er en enorm hjelp til selvhjelp at det finnes en funksjon som opplesing. Det er en viktig parameter som dere virkelig må opprettholde.»

Opplesing er et viktig tiltak for å kunne skape en kultur for HELE bedriften.

Phishing-kampanjer:  

Det andre tiltaket Kim fokuserer på, har vi allerede vært inne på, nemlig phishing-kampanjer.

«Jeg har begynt å kjøre disse phishing-kampanjene litt mer strukturert, fordi de er en god øyeåpner for folk. De gir meg også et verktøy til å se om det jeg gjør i det daglige, fungerer. Nå har jeg to målinger å forholde meg til - en fra i fjor og en fra i år. Allerede nå kan jeg se at det er et markant fall i antall klikk.»

Phishing-kampanjer kan både brukes til å skape oppmerksomhet blant de ansatte og til å måle effekten av egne tiltak.

Oppfølging:  

Det tredje og siste tiltaket er oppfølgning etter et kurs eller en phishing-kampanje. Dette er superviktig både for å få i gang den uformelle samtalen om cybersikkerhet, men også for å se effekten av kampanjene. Til dette sier Kim at hvis kursene ikke følges opp, ser han ingen læring:

«Hvis det sendes ut et kurs en gang om måneden, så tar du det. Det er greit. Huk det av. Gå videre. Her prøver vi å snakke om det og gjøre det til en del av prosessene og hverdagen vår. [...] for det er så mye kunnskap og tid som går tapt hvis du ikke følger det opp. Da blir det bare enda en sjekkliste.»

Det er viktig å ikke bare se på bevissthetstrening og phishing-kampanjer som avkrysningsverktøy. Oppfølging av kampanjer og opplæring er det som skaper dialog i bedriften, og som tidligere nevnt er dialogen Kims mest verdifulle verktøy for å skape en IT-sikkerhetskultur.

Endringer etter hackerangrepet

Etter hackerangrepet Kalundborg Forsyning opplevde, har de ovennevnte tiltakene ført til endringer og forbedringer. Kim forteller at de ikke fokuserte på opplæring før angrepet, mens det nå er en del av hverdagen deres.

«Det er ikke bare et kurs som sendes ut en gang i måneden. Hvis vi kjører phishing-kampanjer, har vi også en debriefing for alle ansatte, slik at de vet at det har skjedd og hva resultatet ble. Vi går også gjennom hva man burde ha vært oppmerksom på i kurset eller e-posten, og hva man bør forbedre til neste gang.»

I tillegg til dette har Kalundborg Forsyning fått mulighet til å registrere hendelser når de ansatte mottar mystiske e-poster. Dette verktøyet gir mulighet til å jobbe statistisk med phishing-e-poster og å oppdage tendenser.

Hva synes de ansatte om phishing-e-postene? 

Vi mener at alle bedrifter bør phishe sine ansatte. Phishing-trening er en måte å teste hvor flinke medarbeiderne dine er til å oppdage phishing-e-poster på, men det kan være komplisert å komme i gang, siden det handler om å bevisst lure andre. Hvis det gjøres riktig, kan det ha en stor positiv innvirkning på sikkerheten din, men hvis det gjøres feil, kan det få negative konsekvenser og møte motstand fra kollegene.

Kim opplevde flere følelser fra kolleger da han sendte ut den første phishing-e-posten, men oppfølgingen av e-posten skapte ro og forståelse:

«Første gang ble de opprørte. Det var ingen tvil. Telefonen min var rødglødende samme dag. [...] Den andre gangen jeg gjorde det, tok folk det med et smil. For meg er det viktig å få tilbakemeldinger, for det er et verktøy for dialog. Dette er en trykktest av bedriften. Det var ikke en eneste sur mine sist gang jeg sendte det ut. Fordi folk skjønner hvorfor jeg gjør det.»

Kim mener at oppfølging, uformelle samtaler og debriefing er det som skaper sikkerhetskulturen. Dessuten har hans tilnærming til phishing-e-post og kursene skapt en åpenhet i organisasjonen.

«Bare det at de tør å ta kontakt og si at jeg har fått dette eller klikket på noe, uten at det er forbundet med skam eller en pekefinger. [...] I realiteten bygger vi tillit i form av at vi kan snakke om det. Det betyr at folk kan begynne å dele kunnskap på tvers av organisasjonen.»

Å gjøre cybersikkerhet til en del av organisasjonskulturen betyr at de ikke trenger å begynne på nytt hver gang det kommer nye medarbeidere inn i bedriften. Det er nemlig en integrert del av bedriften.

Tre gode råd til andre bedrifter

Avslutningsvis spurte vi Kim om han hadde tre gode råd som andre bedrifter kan bruke.

Få ledelsen med på laget

Kims første råd er å få ledelsen med på laget:

«Først og fremst handler det om at ledelsen har fokus på angrep og erkjenner at dette kommer til å skje med oss. [...] Det er ikke et spørsmål om hvis, men om når. Hvis man tar det innover seg og anerkjenner det – da er du allerede på god vei.»

Uten ledelsen i ryggen er det vanskelig å gjennomføre tiltak.

Avtabuiser det  

Men hvordan får man ledelsen med på det?

«Det er en annen ting, og det er noe jeg synes er det aller viktigste. Jeg synes jeg har snakket mye om dette med å avtabuisere det. Man er nødt til å snakke om det.»

Her er vi tilbake til dialogen. Snakk om hvorfor det er viktig, og hva som er svakhetene i organisasjonen.

Kulturendring ved hjelp av rutiner 

Kim mener det er viktig at sikkerhet ikke bare blir en sjekkliste, men en kulturendring og en integrert del av hverdagen i bedriften. Det må bli en rutine.

«I virkeligheten er det kun et symbol på to andre ting: italesettelse og støtte fra ledelsen. Du kommer ingen vei med IT-sikkerhet hvis ikke ledelsen er oppmerksom på det og erkjenner sitt ansvar for det. Det er det vi har gjort her. Det er et stort fokus på dette fra ledelsens side. Det fører til at det siver nedover i organisasjonen.»

Man må snakke åpent om IT-sikkerhet i ledelsen og styret. En kulturendring skjer bare hvis både de ansatte og ledelsen er bevisste om risikoen og muligheten for et angrep.

Skap en god IT-sikkerhetskultur i din bedrift 

Kalundborg Forsyning har innført mange gode tiltak for å forbedre og sikre bedriften mot angrep. Dette har i siste omgang fungert som en kulturendring i bedriften. Du kan gjøre som Kalundborg Forsyning og sikre bedriften din mot angrep. Begynn med bevissthetstreningen vår – du kan prøve den helt gratis i 14 dager.
Back to blog
Recent articles
Cybersikkerhet, Kundecase Hvordan Mads skapte bevissthet om cybersikkereht for DTU Biosustain

Når du er et universitet med det nyeste innenfor forskning i verden innenfor viktige temaer blir du et mål for cyberkriminelle. Hvorfan beskytte deg selv? Vi har snakket med M

Anders Bryde Thornild 13 min read - By Anders Bryde Thornild
GDPR, Cybersikkerhet, Kundecase Hesehus X CyberPilot

IT-sikkerhet og personvern er viktig for Hesehus. Bevissthetstrening er også en stor del av det daglige arbeidet deres. Les her og se hva det betyr for dem.

Anders Bryde Thornild 5 min read - By Anders Bryde Thornild
Kundecase Hvordan Novicell forblir GDPR compliant med over 400 ansatte som håndterer persondata hver dag

Novicell fokuserer mye på GDPR fordi det både er et krav fra kundene og det er et lovlig krav.

Anders Bryde Thornild 13 min read - By Anders Bryde Thornild