Kundecase

Hvordan Mads skapte bevissthet om cybersikkereht for DTU Biosustain

Skrevet av Anders Bryde Thornild | 23.mai.2022 07:39:56

Det er utrolig viktig å ha en sterk cybersikkerhet hos DTU Biosustain. Forskningen de gjør kan potensielt forandre verden, derfor er de blitt et mål for hacking. Mads er den som har det store ansvaret å sikre at organisasjonen ikke blir hacket. Vi på CyberPilot har snakket med Mads, og vi har spurt han om hans tanker om cybersikkerhet, bevissthet og hvordan lagde en stop motion video med en dansende Donald Trump for å skape bevissthet om phishing. Hvis du er mest interessert i hvordan Mads og DTU Biosustain bruker vår bevissthetstrening, klikk her og start å lese fra her.  

Hvem er Biosustain?

    • Et forskningssenter hos Det Danske Tekniske Universitet (DTU) 

    • Ansatte: 300 fra 40 forskjellige nasjonaliteter 

    • Forskning: Bærekraftige kjemikaler, naturlige produkter og mikrobiell mat.  

Hvem er Mads? 

Mads er IT ansvarlig hos DTU Biosustain. 

  • Mads Gleerup Christensen 

  • IT ansvarlig 

  • Bachelor fra RUC (Roskilde University)


Innhold

Hvem er DTU Biosustain? 

DTU er en forkortelse for Det Danske Universitet. Universitet har mer enn 6000 ansatte fordelt utover forskjellige forskningssentre og institutter. Vi har snakket med Mads, den IT ansvarlige hos DTU Biosustain, som er et av forskningssentrene. DTU Biosustain består av et team på 300 ansatte. Det ble grunnlagt av Novo Nordisk og forsker på hvordan å lage bærekraftige kjemikaler ved hjelp av genmodifisering. De har sin egen cybersikkerhet, men samarbeider selvfølgelig også med DTU.  

IT teamet til DTU Biosustain 

Mads er ”den IT-fyren” hos DTU Biosustain. Mads har en grad i virksomhetsstyring og datateknologi. Han likte ikke koding så mye, men det ga han en god forståelse av IT, som han kombinerer med sin kunnskap om menneskers inntrykk av bedriftskultur. Han er leder for et team på fire stykker. Det er tre fulltidsansatte og en studentarbeider. Han har også ansvaret for IT hos et annet DTU institutt med samme oppsett, men i denne artikkelen vil vi fokusere på arbeidet hans for DTU Biosustain. Her prøver han å skape bevissthet rundt viktigheten av en sterk cybersikkerhet.    

 

Hvorfor er cybersikkerhet viktig? 

Cybersikkerhet er viktig for alle selskaper, og for et selskap som DTU Biosustain er det avgjørende for forskningen deres. Mads sier at de mest sannsynlig ikke hadde eksistert uten en sterk cybersikkerhet. 

“Hvis vi ikke jobbet med IT-sikkerheten vår ville alt vært annerledes. Vi hadde sannsynligvis ikke eksistert. Vi hører at andre universiteter og bioteknologiselskaper blir angrepet hele tiden. Nylig ble vi angrepet, og det var heldigvis en observant ansatt som førte til at det ikke ble skikkelig ille.” 

Universiteter har masse data som må beskyttes. 

“Vi er et forskningssenter som kan hyre noen av de beste forskerne i verden. Deres forskning og teknologien de benytter er banebrytende. Vi kan ikke ha, at deres arbeid havener i feil hender, eller at vi kaster bort forskernes tid, fordi vår sikkerhet ikke er god nok. Så IT sikkerhet er et stort fokus."

Siden DTU Biosustain arbeider med det nyeste av forskning har gjort de til et mål for cyberangrep. Dataen og kunnskapen de er i besittelse av har stor verdi. Derfor er det naturlig at de fokuserer på cybersikkerhet. 

Hvor kommer trusselen fra? 

Hver dag er alle selskaper utsatt for cyberangrep, dette er fordi mange cyberangrep er automatisert og trenger ikke å ha noen spesifikke mål. Men selvfølgelig ser man at det også er mange angrep som er målrettede, hvor de cyberkriminelle er mer utspekulerte. Dette er tilfellet for DTU Biosustain. Som Mads sier, de er redde for regjeringer, hackere og mange andre.  

“I realiteten er vi særlig oppmerksomme på internasjonale IT-kriminelle. Hver gang vi kommer hjem fra en konferanse må vi makulere alle dokumenter og isolere pc-er og teste om de har fått skadevare. Vi vet at vi får skadevare hvor hen vi går. Det er ille når man tenker på det.” 

Hos DTU Biosustain må alle datamaskiner beskyttes. 

“Vi er nødt til å holde styr på hvem som tar med pc-er på konferanser og den slags. Det er viktig, at folk selv er klar over, at det er slik virkeligheten er. Vi er nødt til å gjøre folk oppmerksomme på det.” 

På grunn av disse typer trusler, så er cybersikkerhet ikke bare en teknisk utfordring for DTU Biosustain, men like mye en utfordring for ansattes bevissthet og hvordan de oppfører seg. 

Det er en stor utfordring for universitet 

Det at DTU er et universitet, har Mads som IT-ansvarlig noen utfordringer, som mange andre virksomheter ikke står over. Det betyr at det er mange personer som går inn og ut av bygningene hver eneste dag. 

“For eksempel Novo Nordisk har et utrolig høyt sikkerhetsnivå, hvor folk ikke kan installere noe selv på deres maskiner eller har adgang til noe som helst anndet enn de skal bruke. Men her er vi, et universitet, her har alle tilgang til bygningene. Du trenger ikke nøkkelkort på dagtid engang. Og det er liknende for en stor del av vår IT-infrastruktur.” 

DTU Biosustain har mange brukere som trenger adgang til mye forskjellig. Dette gjør det vanskelig å beskytte DTU Biosustain, og det vanskelig å sørge for at alle brukere og ansatte er bevisste. 

 

Tekniske løsninger og bevissthetstrening går hånd i hånd 

Cybersikkerhet har historisk blitt sett på som en arbeidsoppgave for IT avdelingen. Før var cybersikkerhet et spørsmål om IT infrastrukturen, hadde man sterke brannmurer, anti-virus systemer og andre tekniske skjold hadde man god cybersikkerhet. Det er fortsatt sant, men nå er det bare en del av det å ha en god cybersikkerhet. Vi bruker bare flere og flere digitale enheter i hverdagen vår, og det har gjort at vi har blitt en stor del av cybersikkerheten. Dette er noe Mads også erkjenner. 

“Vi kjøper de beste systemene. Dermed er det sjeldent at phishing og hackeangrep kommer igjennom. Men det skal ikke mer til enn at en person klikker på en zip-fil og så kjører skadevaren. Eller en som gir bort brukernavn og passord til hvem-vet-hvem og så er er vi i gang."

DTU Biosustain bruker masse penger på tekniske løsninger, men det er ikke nok. De trenger også å bevisstgjøre de ansatte. 

“Vi kan ha alle de beste systemene som finnes, men hvis ikke alle har de samme basiskunnskapene hvor man kan separere det gode fra det dårlige, er de ikke til nytte.” 

Så, la oss hoppe inn i bevisstheten hos DTU Biosustain. 

Hvordan DTU Biosustain bruker bevissthetstrening 

DTU Biosustain har flere initiativer for å skape bevissthet i selskapet. De bruker CyberPilots bevissthetstrening, de har fysisk bevissthet og Mads har laget en bevissthetsvideo om phishing. Vi skal snakke om alle tre initiativene.  

Cyberpilot sin bevissthetstrening 

Den første delen av bevissthetstreningen til DTU Biosustain er vår bevissthetstrening. DTU Biosustains ansatte mottar våre kurs om GDPR og cybersikkerhet månedlig for å spre bevissthet om temaer som phishing, passord, persondata og mye mer. Nye ansatte vil motta mange kurs i startfasen for å ta igjen de andre ansatte. 

Bevissthetstrening er inklusiv og dømmer ikke 

Mads mener bevissthetstreningen fungerer godt. 

“Generelt, så synes jeg at konseptet bevissthetstrening er genialt. Jeg tror det er mange av våres medarbeidere IT-kunnskap er under det nivået vi forventer. For meg er det godt å se at vi i IT-avdelingen øker grunnkunnskapene.” 

Mads tror at konseptet fungerer, men det er mange leverandører for bevissthetstrening. Hvorfor valgte han CyberPilot? 

“Jeg synes hva dere gjør er veldig bra. For det første så forteller det en historie. Det er ikke nedlatende. Det verste er når folk føler at de blir snakket nedlatende til av IT avdelingen. Det er når de sier: ‘Jeg føler meg dum når jeg kommer til kontoret og spør spørsmål, og de sitter bare der med sitt World of Warcraft hår.’ Jeg ønsker at alle skal føle seg velkomne.” 

Mads nevner at noen av kursene er for lette for noen av de ansatte, men at det ikke har vært et problem. 

“Det er selvfølgelig noen folk som vet svarene fra før, og for de er kursene for lette. De vil du kanskje miste, men de har allerede god nok kunnskap innenfor cybersikkerhet. For de som ikke har den kunnskapen, så er CyberPilots bevissthetstrening helt perfekt. Jeg har aldri fått noen negative tilbakemeldinger fra dem.” 

Vår bevissthetstrening handler om å skape bevissthet og å øke grunnkunnskapen om cybersikkerhet i selskapet. 

Bevissthetstrening har en tydelig effekt 

En av de vanskelige tingene med bevissthetstrening er å måle effekten av den. Vi elsker data som beviser effekten, men det er vanskelig når man snakker om noe sånn som cybersikkerhetskultur og kunnskap. Men selv om det er vanskelig å måle er Mads sikker på at treningen har hjulpet.  

“Bevissthet hjelper! Jeg vet det uten at jeg har tall som kan bekrefte det, og uten noen andre bevis enn at det er det magefølelsen min sier.” 

Senere i samtalen kommer det faktisk fram at Mads har noen indikatorer som tilsier at bevissthetstreningen har hatt effekt.  

“Før fikk jeg kanskje e-post fra en person som sa, “Jeg har mottatt en e-post, og mine kollegaer har også fått den. Er den ekte eller en phishing e-post?” Nå får jeg flere e-poster hver gang noe skjer, eller når det blir sendt ut en felles e-post. Selv om det er en e-post som ser reel ut og er skrevet fra noen fra DTU skriver folk til meg og spør “Det denne personen skrev er litt rart. Er dette en av de typen e-post vi har blitt advart mot av CyberPilot?” 

Dette viser at det har vært effekt av bevissthetstreningen. Mads har også et annet eksempel på hvordan arbeidshverdagen hans har blitt enklere, nå trenger han ikke å kommunisere til alle at det er en phishing e-post der ute. 

“Før måtte jeg skrive “Det er en e-post som sirkulerer” Det trenger jeg ikke lenger. Folk er bevisste.” 

Det ser ut som bevissthetstreningen har fungert. 

Hva med phishing trening 

DTU Biosustain har også gjennomført en phishingkampanje etter at de har hatt bevissthetstrening en stund. Det var nyttig, men Mads skulle ønske at de hadde gjort en før treningen startet også for å kunne sammenlikne.  

“Jeg fikk raskt e-poster om at avsenderen av de sendte e-postene var fra CyberPilot. Så der var de raske med å oppdage det. Vi skulle ønske at vi hadde gjort en før vi begynte med bevissthetstreningen, slik at vi kunne sett effekten. Men det er et godt tegn at de så gjennom det, og jeg tror det er på grunn av bevissthetstreningen.” 

Det viser at phishing trening kan bli brukt for å komplementere bevissthetstrening, og det kan brukes til å måle effekten av treningen. Ved å Ved å gjøre en phishingtrening før og etter bevissthetstrening kan du få tall som viser progresjonen til selskapet når det kommer til å gjenkjenne phishing e-poster.  

 

Det trenger kanskje litt krydder 

Mads hadde faktisk ikke noen negative tilbakemeldinger om bevissthetstreningen, utenom at for noen på et personlig nivå trenger krusene litt høyere vanskelighetsgrad. Samtidig forstår han at treningen er for massene og ikke kan tilpasses alle nivåer.  

“Det er personlig preferanse. For kanskje 98% prosent av folk ønsker ikke at de skal være vanskeligere, men jeg mener dere kanskje kan krydre noen av kursene litt. Men igjen, jeg kan bare bli sparket eller få litt kjeft. Dere har et selskap som drives, og som må passe på at dere ikke fornærmer noen.” 

Heldigvis kan man alltid ta saken i egne hender, og det gjorde nettopp Mads. Han lagde en egen bevissthetsvideo om phishing hvor han kunne være mer eksperimentell og “krydre” videoen. Men før vi dykker inn i det har jeg lyst til å snakke litt om hvordan Mads skapte fysisk bevissthet for å støtte bevissthetstreningen.

Fysisk bevissthet for å øke treningsoppmøtet 

I tillegg til CyberPilot sin bevissthetstrening, så har Mads også startet andre initiativer for å skape bevissthet. For eksempel har han hengt opp plakater på vegger. 

“Det begynte med noen store plakater. De hadde litt halvprovoserende tekst, ingenting slemt, men i øyenfallende med fin grafikk.” 

Mads skaper bevissthet når folk glemmer å ta kursene. Hvis han ser at andelen av ansatte som tar kurs synker tar Mads grep.  

“Når jeg ser at andelen folk som tar kurset er for lavt spør jeg kollegaer om å henge opp noen flyers som minner folk på at de må huske å ta kurset. Siden de ikke har lyst til å lese mange e-poster fra meg gjør jeg andre ting. For eksempel lagde jeg en flyer der det stod at Mærsk mistet 2 milliarder danske kroner (2,6 milliarder norske kroner) da de hadde nedetid fordi noen klikket på en link i en e-post. Eksempler som dette er gode til å minne på folk om viktigheten ved å gjennomføre kursene. Man kan miste forskning og patenter. Jeg prøver å gjøre de bevisste, og det fungerer. Jeg ser at når det kommer nye kurs er det mange som tar de i starten, og så er det tid for en ny runde med flyers.” 

De færreste har lyst til å ta kurs om cybersikkerhet frivillig, folk flest har bare lyst til å få arbeidsoppgavene sine unnagjort. Noen ganger trenger du andre folk som minner deg på hvorfor du må ta kursene. 

IT avdelingen burde være en friplass – ingen spørsmål er dumme 

Den siste delen av fysisk bevissthet er å være til stede å snakke med de andre ansatte. De trenger å føle at de alltid kan stille spørsmål hvis de lurer på noe.  

“Det har vært viktig for oss å få frem at ‘Du skal ikke være redd for å klikke på noe. Bare kom og snakk med oss, og så vil vi finne ut hva vi må gjøre.’ Nå føler de seg komfortable siden det er en del av livene deres. Det er ikke en ukjent ting, hvor de tenker at de kan få sparken eller tilsnakk fra sjefen deres. Cybersikkerhet har blitt en del av hverdagen deres nå.” 

Poenget Mads får frem er avgjørende for å skape en god cybersikkerhet. Hvis ansatte føler seg komfortable med å si ifra hvis noe skjer, da er det en større sjanse for at man kan reagere raskt og effektivt. Det er også bedre å ha et arbeidsmiljø hvor alle kan føle seg trygge. Og det er nettopp det som er kjernen bak en god cybersikkerhet.

Se DTU Biosustain sin egen bevissthetsvideo 

Som nevnt, så synes Mads at bevissthet om cybersikkerhet gjerne kunne vært gjort litt mer spennende, eller mer “spicey”. Det han har gjort er å lage en egen video med stop-motion kreatør som heter Rolf. Hvorfor gjorde han det? Hvor mye arbeid ligger det bak å lage egne videoer, og hvordan fungerer det? 

Før vi svarer på de spørsmålene, la oss se videoen: 

 

Et svar på økende phishing angrep 

Phishing angrep er en ekte trussel for DTU Biosustain. Spesielt for et par år tilbake, da spamfiltrene ikke var så gode som de er nå. Det var en av hovedgrunnene til at videoen ble laget. 

“Vi ble tilsendt mange phishing e-poster. Og vi mener MANGE. Det var en stor utfordring, og ikke alle de ansatte visste hvordan de de skulle håndtere de store truslene som befant seg på internett.” 

Videoen skal være en rask påminnelse, en liten oppfrisker som minner folk på farene til en phishing e-post. 

Du kan sammenlikne det med at du gir kjæresten din roser. Etter et par dager begynner de å henge litt. Så gir de litt varmt vann, og så reiser de seg igjen. Dette prosjektet hadde som hensikt å vekke folk igjen og si ‘HEI HEI!’” 

Det var ikke den enste grunnen til at videoen ble laget, det var også for å ha det litt morsomt innrømmer Mads. 

Kanskje var det et litt egoistisk prosjekt siden jeg syntes det var så morsomt å lage den videoen. Men det var først og fremst for å lage en oppvekker, og å ha en mulighet til å spille litt på stereotyper. Det burde være noe bevissthetstrening som er gøyalt.” 

Og hvorfor ikke ha det gøy når man lager bevissthet? 

Hvordan Mads laget videoen 

Først snakket Mads med et par reklamebyråer, men alle ville ha 500 000 DKK for en video, og 250 000 DKK for analyser av effekten. Det var ikke vanskelig å forstå at de ikke hadde samme type ide som Mads av hva slags video som skulle lages. Han hadde 300 ansatte som han håpet ville komme innom kontoret sitt og si “Det var en morsom video”, og så kunne de snakke om videoen når man sto i kø ved vanndispenseren. En litt mindre type video.  

Mads møtte Rolf og ideen var skapt 

Så, hva gjør man når man ikke vil bruke en halv million på en video? Mads tenkte på en fyr han hadde hørt om som heter Rolf.  

“Jeg hadde hørt om en fyr som hadde laget en video for DTU før. Jeg synes han er crazy og ekstremt kreativ. Han bruker mange dingser og små ting som han finner. Han lagde en bevissthetsvideo for DTU om byggeplasser, og farene ved å befinne seg i dem, så derfor ringte jeg han.” 

Mads tenkte på han og hva han ønsket at skulle skje. Rolf burde lage en video om phishing. 

Det er mye arbeid 

Mads lagde et storyboard og sendte det til Rolf, som deretter gjorde det enda bedre. Ideen var å gjøre det morsomt, provoserende og at det handlet om temaer DTU Biosustain opplever hver dag i sitt cybersikkerhetsliv.  

“Vi lagde et storyboard med de tingene vi ser mest. Og så lagde Rolf en forenklet versjon, siden ingen vil se 15 minutter video av folk som snakker. Men grunnmuren var å snakke om de tingene vi er mest eksponert for, og få frem et par smil samtidig.” 

Men det var en lang vei herifra. Rolf brukte fritiden sin på å arbeide på videoen, siden han hadde en annen fulltidsjobb. Det tok faktisk et helt år å lage videoen.  

Metoden han brukte heter stop motion. Han satt i en kald garasje i nærheten av den tyske grensen og gjorde det han kan best. Det tok lang tid, og jeg fikk tilsnakk av sjefen min for å ikke legge mer press på Rolf til å være raskere. Men jeg er ganske sikker på at folk ikke presset Michelangelo til å male raskere når han malte det Sixtinte kapellet. Kreativitet tar tid.” 

Selv om du ikke betaler et reklamebyrå en halv million, så koster det penger og det tar tid å skape dine egne videoer. 

Videoen kom til live

Etter et år var videoen klar til å spilles av. Den ble publisert på DTU Biosustain sin intranettside, og hvis vi ser at det er en bølge av phishing e-poster legger vi den til i ukens nyhetsbrev. Den blir ikke brukt like mye som Mads ønsker. Kanskje fordi den er så provoserende at Mads er litt redd for hva de øverste lederne synes.  

Kanske tenker de: ‘Mads, din dumming ... Brukte du penger på det der?” 

Mads er ikke redd for jobben sin, men han vet at videoen kanskje ikke er for alle. 

Den fikk positive tilbakemeldinger 

Selv om Mads var litt nervøs for å vise videoen til alle, så har tilbakemeldingene bare vært positive. Mads tilføyer:

Kanskje sier de ‘Det virket litt rart.’ men samtidig får det dem til å snakke om phishing. En annen vil kanskje si ‘Jeg er fra Øst-Europa, hvorfor vil dere fremstille meg sånn?’, men så kan jeg si ‘Jeg er lei meg for det.’, og på slutten av dagen blir ingen fornærmet fordi de vet at trusselen er ekte. For realiteten er at vi er redde for internasjonale IT-kriminelle.” 

Hvis videoen får folk til å snakke om phishing, så er den en suksess. Dette skaper bevissthet om trusler og gjør det mer sannsynlig at ansatte legger merke til en phishing e-post i innboksen sin. 

Kanskje ditt selskap burde lage sin egen phishing video også? 

3 råd for andre selskaper 

Jeg spurte om Mads hadde tre gode råd for andre selskaper. Han sa han kunne gi det, men at det er på en måte et stort tips. Som han sa: 

Hvis du kan lage råd tips ut fra mitt ene store råd, så er det det.” 

La meg prøve. 

Tips 1: Ha en sterk teknisk grunnmur 

The første rådet er at du trenger en teknisk løsning som hjelper cybersikkerheten din. 

Den tekniske delen er viktig, men Mads legger vekt på at det er ikke nok når 2-3 prosent kommer gjennom, disse kan fortsatt være skadelig, som fører oss videre til neste råd. 

Tips 2: Sikkerheten din er ikke sterkere enn din svakeste bruker 

Din tekniske løsning fungerer ikke med ubevisste ansatte. 

Din sikkerhet er ikke sterkere enn din svakeste bruker, eller en som har en hektisk dag og som derfor trykker på en link eller logger inn på feil side.” 

Budskapet til Mads er at passe på at de ansatte er bevisste om trusler så de kan unngå å gjøre feil. Det tredje rådet er en del av dette, men for å gi tre tips må jeg dele det opp i to deler. 

Tips 3: Skap en sunn cybersikkerhetskultur 

Det tredje rådet til Mads er å lage et miljø der folk ikke er redde for å innrømme potensielle feil de gjør. En ting er å ha bevisste ansatte, men en annen ting er å ha ansatte som stoler på IT-avdelingen når noe går feil, og ikke er redde for å bli straffet. 

Du trenger en inkluderende kultur for alle de forskjellige nivåene av IT kunnskap fordi det verste er når noen er redde for å spørre deg om hjelp, og i stedet velger å skjule at de har delt informasjon fordi de er flaue.” 

Alle disse tre rådene er ting vi på CyberPilot er enige om, hvert eneste ord.  

Sikkerhetsarbeid om 5 år 

Hvor ser Mads at hans sikkerhetsarbeid er om fem år? Eller hvor håper han at det skal være? Det var mitt siste spørsmål, og det er lett å se at Mads tenker at brukerne er de avgjørende brikkene når det kommer til cybersikkerhet. Han ønske er at det blir mer brukerinvolvering i cybersikkerheten, sånn som vi ser designere gjør i design prosesser. Han ønsker å sitte ned med brukeren og se hvordan de bruker forskjellige programmer og systemer slik at han kan kommunisere og skape cybersikkerhetsstrategier som passer for arbeidernes hverdag. 

Vi trenger å tenke på behovene til alle i alt vi gjør. Jeg håper å få gjort masse de neste 5 årene, og håper at vi forstår hva vi trenger og kan tilpasse vår cybersikkerhet og bevissthet etter de behovene.” 

La oss si at vi alle har de samme ønskene. Cybersikkerhet burde  ikke gjøre arbeidet til folk vanskeligere, men være noe som er enkelt å implementere i arbeidshverdagen. 

Skap bevissthet hos ditt selskap 

En god cybersikkerhetskultur er viktig. Sånn som DTU Biosustain og Mads har vist oss, er det flere måter å gjøre dette på. Du kan for eksempel lage videoer, plakater, snakke med folk eller lage bevissthetstrenings program. Hvis du ønsker å prøve vår bevissthetstrening, så kan du prøve det nå.