I augusti 2021 tog Kalundborg Forsyning imot ett oroväckande meddelande på sina datorer. Alla deras filer hade blivit stulna och krypterats. Hackarna krävde att företaget betalade dem pengar för att lämna tillbaka filerna. Lyckligtvis lyckades Kalundborg Forsyning få ut hackarna ur företagets IT-system utan att betala dem en enda krona. Redan innan angreppet var cybersäkerhet ett viktigt ämne på Kalundborg Forsyning, men efter attacken har frågan nått nya höjder. CyberPilot har pratat med Kim från Kalundborg Forsyning för att ta reda på vad företaget gör för att säkerställa att alla anställda är medvetna om riskerna i sitt dagliga arbete och att företaget inte drabbas av en ny attack.
|
Kalundborg Forsyning förser hushåll med dricksvatten och distribuerar fjärrvärme i staden Kalundborg, samt renar avloppsvatten från hela Kalundborgs kommun. De levererar också överskottsvatten till stora organisationer i Kalundborg. |
|
Kim Breiner Ottobrøker Specialist på regelefterlevnad Cand.Scient.Pol Köpenhamns universitet |
Kim arbetar som Compliance Specialist och ansvarar för GDPR och cybersäkerhet på Kalundborg Forsyning. Han har avlagt en magisterexamen från Köpenhamns universitet och även en examen från Danmarks medie- och journalisthögskola. Att kommunicera med de anställda och sprida medvetenhet utgör en stor del av hans arbete.
Kim skiljer alttid på IT och cybersäkerhet:
" IT-säkerhet är till stor del hårdvara medan cybersäkerhet är mjukare. Jag arbetar nära IT-folk men cyberdelen, med att skapa medvetenhet, det är bara jag.
Härnäst kommer du att få ta del av Kims berättelse om den cyberattack som Kalundborg Forsyning utsattes för 2021, företagets egna upplevelse, samt hur Kalundborg Forsyning idag aktivt arbetar med medvetenhetsträning. Slutligen ger Kims specifika råd till andra företag, och delar med sig av de initiativ som Kalundborg Forsyning har använt sig av i sin kamp mot cyberattacker.
Hoppa direkt till
- Kalundborg Forsyning attackerades på grund av en dålig VPN-anslutning
- Öppenhet är nyckeln till god IT-säkerhet
- Hur man skapar en cybersäkerhetskultur
- Rätt strategi för att undvika framtida attacker
- Hur behåller man fokus på både cybersäkerhet och GDPR?
- Hur CyberPilot gör cybersäkerhet lättare att förstå
- Tre initiativ som uppsått från samarbetet med CyberPilot
- Vilka förändring och förbättringar gjorde Kalundborg Forsygning efter angreppet
- Tre goda råd till andra organisationer
Kalundborg Forsyning attackerades på grund av en dålig VPN-anslutning
Attacken mot Kalundborg Forsyning skedde när en hackare tog sig in i företagets IT-system. Hackarna hade innan försökt ta sig in genom en metod som kalas för “brute-force” (att gissa sig fram till lösenord). Men lyckades inte med detta, istället var det en dålig VPN-anslutning som som låg bakom intrånget.
Väl inne i systemet satte de igång en ransomware-attack, som låste hela Kalundborg Forsynings IT-system. Ransomware-attacker är oftast kopplade till nätfiske, och hela 95 % av alla cyberattacker beror på mänskliga misstag. Men så var alltså inte fallet för Kalundborg Forsyning, som hör till de 5 % som drabbas av en cyberattack på grund av andra orsaker. Kim förklarar att de processer och beredskapsplaner som Kalundborg Forsyning hade på plats vid attacken fungerade som avsett:
"Efter 12 timmar var våra mest vitala system igång igen och vi kunde arbeta vidare därifrån. Det tyckte jag var ganska snabbt”
Under en cyberattack har företag inte tillgång till digitala filer och system. Kalundborg Forsyning hade säkerhetskopierat sina filer offline, vilket i slutändan ledde till att de kunde återfå tillgång till sina system och sparcka ut hackaren.
Att vara igång igen efter 12 timmar är snarare undantag än regel. Det är ett bevis på att Kalundborg Forsyning har goda processer och planer på plats. I genomsnitt tar det mellan 7-21 dagar för företag att komma igång igen efter en ransomware-attack.
Öppenhet är nyckeln till god IT-säkerhet
Öppen kommunikation var Kims viktigaste fokus från det att attacken upptäcktes. Kalundborg Forsyning behövde en öppen kommunikation med de anställda, men också med allmänheten.
"Från början har jag aldrig tonat ner hur bra det är med en öppen policy. Det beror helt enkelt på att en hackerattack och särskilt en ransomware-attack är förknippad med skam. Det är ett tabubelagt ämne för många företag. [...] Men man kommer heller aldrig över det om man inte pratar öppet om det. ”
Berättade Kim angående värför han pratade öppet om incidenten med företagets anställda, men även med lokala och nationella nyhetsmedier.
Öppen kommunikation med de anställda
Dagen då attacken upptäcktes råkade Kalundborg Forsyning ha ett personalmöte. Mötet användes till att informera de anställda om vad som hade inträffat och vad attaccken innebär för de anställda och företaget. Denna öppna kommunikationslinje har bidragit till en gemensam förståelse för vad som händer då man utsättas för en cyberattack. Viktigt att komma ihåg är att en cyberattack berör alla anställda, inte bara ledningen och IT-avdelningen.
"Den här attacken har blivit en del av våran gemensamma kultur, hur vi tänker kring cybersäkerhet och hur vi öppet talar om det. Det är en del av vår historia nu och vi gör det också till en del av vår framtida historia."
Attacken är inte bara en del av Kalundborg Forsyning historia, även nya medarbetare får höra om attacken och idag använder företaget attacken som ett exempel för att visa att cybersäkerhet är en viktig del av vardagen. Vilket har lett till att händelsen har blivit en styrka, och en lärorik erfarenhet för hela organisationen.
Öppen kommunikation med kommunen
Kim hade också fokus på hur de kommunicerade attacken till kommunen Kalundborg, på grund av en mycket speciell anledning:
"Först och främst finns det ett element i att vi befinner oss i Kalundborg, som inte är en stor kommun. Därför var det särskilt viktigt att vi skickade ut rätt berättelse direkt och ingav lugn hos den enskilda medarbetaren. Det här var inte deras fel, det var en attack utifrån.”
Genom att ligga steget före i kommunikationen kunde Kim bättre hantera den information som delades med de anställda och staden. Det innebar också att de lättare kunde undvika rykten. Attacken berodde inte på inkompetens från vare sig de anställda eller IT-teamet, det kunde ha hänt vem som helst. Den historien är viktig att få ut för att kunna prata öppet om den här typen av attacker.
Hur man skapar en cybersäkerhetskultur
Att ha en öppen dialog både internt och externt har bidragit till en gemensam utgångspunkt och förståelse för varför IT-säkerhet är viktigt, vilket bidrar till en bättre IT-säkerhetskultur.
Kommunikation är ett viktigt verktyg för att skapa öppenhet, där människor känner sig bekväma med att ställa frågor om det är något de är osäkra på.
Men det krävs mer än god kommunikation för att skapa en kultur. Därför använder Kalundborg Forsyning olika metoder för att utbilda och utveckla företagskulturen. Här är CyberPilots nätfiskekampanjer och utbildning i säkerhetsmedvetenhet till stor hjälp.
"Nätfiskekampanjerna är jättebra. Det är ett enkelt sätt att hålla det igång. Man behöver inte slarva med det. ”
CyberPilots nätfiskekampanjer hjälper de anställda att vara medvetna i vardagen och främjar en dialog mellan de anställda att prata om säkerhet när de upptäcker ett potentiellt nätfiske e-postmeddelande.
Kalundborg Forsyning får också utbildningar i medvetenhet, men Kim ser inte bara till att de anställda har tillgång till CyberPilots kurser, han följer även aktivt med träningsresultaten samt en hel del annat för att bidra till en starkare säkerhetskultur:
"Jag håller en presentation på våra personalmöten, jag sätter upp ett meddelande på vår interna anslagstavla varje vecka, och om det är något mer, till exempel ett hot, delar jag det omedelbart. Det pågår alltid en dialog mellan kollegorna, vilket leder till mitt viktiga budskap, nämligen att ta bort tabun, för när vi kan prata öppet om det så är det den största säkerhet vi kan uppnå."
Enligt Kim skapas en kultur när människor pratar öppet om IT-säkerhet och för att lyckas med detta har Kim en ambitiös strategi för organisationens medvetenhetsträning. Strategin innebär att alla medarbetare måste klara utbildningen. Detta sker inte alltid på första försöket, men efter ett par påminnelser blir folk medvetna om att de måste gå kurserna.
"Jag strävar efter att 100% av kurserna ska genomföras. För att lyckas med detta använder jag delvis de verktyg som finns tillgängliga från CyberPilot, för att se om folk slutför dessa kurser. Den andra delen är att jag kontinuerligt kommunicerar om cybersäkerhet.
Efter attacken har medvetenhetsträning blivit en stor del av Kalundborg Forsynings dagliga verksamhet och det finns en förväntan inom organisationen att alla ska slutföra kurserna, vilket Kim säger att de alltid lyckas med.
Rätt strategi för att undvika framtida attacker
Kalundborg Forsyning klarade sig igenom angreppet tack vare ett starkt IT-team och öppen kommunikation med de anställda och allmänheten. Men hur undviker de att bli måltavla igen?
Att undvika framtida angrepp handlar om att tala klarspråk och sätta upp ett ramverk för hur man ska arbeta med GDPR och cybersäkerhet. Enligt Kim är:
"Riskanalyser är en superviktig del av cyberberedskapen. Naturligtvis måste den baseras på IT-system, men du måste också fokusera på de mjukare delarna. Som tidigare nämnts görs 95% av alla misstag av människor."
Det räcker inte att bara göra en riskanalys av sina IT-tillgångar. Därför är fokus på de 95 procenten så viktigt för Kim i hans efterlevnadsstrategi:
"Det är också det jag hela tiden försöker förmedla till våra medarbetare, så att de vet att de är den svagaste länken i den här kedjan. Och det är inget att skämmas för, så är det för alla."
Det är okej att låta medarbetarna veta att de är den svagaste länken, så länge de också vet att det är helt okej och normalt. Kalundborg Forsynings stora fokus på medarbetarna har gynnat dem. Kims kollegor har till exempel kritiserat nätfiskekampanjer för att vara för lätta att upptäcka. Det kan vara ett problem, men i Kims ögon betyder det att medarbetarna tänker på vad de gör och klickar på. Och det visar också att simulerade nätfiskemejl faktiskt fungerar. Enligt Kim är de anställdas förmåga i att upptäcka nätfiske ett symptom på att Kalundborg Forsynings IT-säkerhetskultur är stark.
Hur behåller man fokus på både cybersäkerhet och GDPR?
Kim har uppenbarligen lyckats skapa medvetenhet om IT-säkerheten på Kalundborg Forsyning, till exempel genom att berätta om det cyberangrepp som företaget utsattes för och skapa en dialog mellan de anställda. Det är dock en fortsatt utmaning, som inte begränsas till enbart cyberattacker utan innefattar även GDPR.
"GDPR är en annan utmaning. Cybersäkerhet, tycker jag, går långsamt men stadigt framåt, medan GDPR på många sätt handlar om sunt förnuft och att se upp för sig själv i en digital värld."
Kim använder många initiativ för att upprätthålla både GDPR och cybersäkerhet. Han gör det t.ex. genom att distribuera kurser, hålla introduktionsevenemang för nya anställda och prata om det i andra sammanhang. Han växlar också mellan att ibland prata om GDPR och ibland om cybersäkerhet.
Även om de två är sammankopplade är Kims erfarenhet att det kan vara svårt att få IT:s cybersäkerhetskultur att även omfatta GDPR:
"Cybersäkerhet handlar ofta om något externt. GDPR handlar ofta om hur du själv agerar och det är alltid lättare att ta hänsyn till externa faktorer än att titta inåt."
Nätfiske, hackare och utomstående hot är lättare att kommunicera om, eftersom det kommer utifrån, "vi mot dem". Men GDPR är en annan utmaning. Kim nämner att GDPR kan vara svårare att implementera korrekt, eftersom man ofta blir blind för det man direkt framför sig, och därför måste man hela tiden arbeta med frågan:
"Det måste hanteras på ett helt normalt sätt, där det är relaterbart. Det finns många sätt. Ni gör det ju också i era kurser, [...] det är viktigt att skala bort en del av det juridiska, för många människor stänger av när det kommer på tal."
Det finns ofta en konsensus om att GDPR är ett komplext ämne, men här tycker Kim att det är viktigt att prata ner det, eftersom det mest handlar om sunt förnuft.
Det måste alltså vara fokus på sunt förnuft istället för juridiken bakom, men hur uppnår du det?
CyberPilot gör cybersäkerhet lättare att förstå
Det kan vara svårt att göra allt på en gång och att veta var och med vad man ska börja med. Cybersäkerhet utgör en komplex storlek, men Kim tror att CyberPilot hjälper till att göra det hela lite mindre:
"Det är faktiskt en eloge till er och era kurser. Jag gillar att de inte är så långa. Jag har tidigare varit på företag där det tog 45 minuter att genomföra en enda kurs och då är man helt slut. I era kurser kanske du tar med dig 5 saker, som du kan komma ihåg. Det är en mycket mer effektiv användning av medarbetarnas tid, eftersom de kommer att minnas mycket mer av de 5 minuterna än av de 45 minuterna. I den verkliga världen är detta mycket logiskt, men tyvärr gör många människor tvärtom."
Kalundborg Forsyning har bestämt sig för att cybersäkerhet och GDPR är något de använder sig av och inte något som bara ska bockas av på en lista.
"Om det bara var något som skulle bockas av, skulle de inte behöva någon som jag för att hålla folk i schack. Då skulle de bara skicka ut kurserna för att få det gjort. Inget om att följa upp hur många som har slutfört och så vidare, men människor lär sig inte av det."
Detta ledde oss till frågan om vilka andra åtgärder Kim har genomfört i företaget. Kim berättar att de har vidtagit många konkreta åtgärder för att stärka cybersäkerheten och bli mer GDPR-kompatibla i företaget.
Tre initiativ som uppsått från samarbetet med CyberPilot
Kim berättar om tre initiativ som uppsått från samarbetet mellan CyberPilot och Kalundborg Forsyning.
Varierande kurser med voice-over-funktion:
Det första initiativet handlar om de olika kurser som CyberPilot erbjuder och voice-over-funktionen som läser upp text.
"Förra året hade vi två medarbetare med dyslexi, och de påpekade att kurserna var lite svåra för dem, eftersom de också innehöll en del text. Ni lade då till högläsning, så att alla medarbetare kunde delta. [...] Det är en enorm hjälp till självhjälp, att det finns en funktion som högläsning. Det är en viktig parameter som man måste upprätthålla."
Högläsning är ett viktigt initiativ för att skapa en kultur för HELA organisationen.
Nätfiskekampanjer:
Det andra initiativet som Kim fokuserar på har du redan hunnit läsa om, nätfiskekampanjerna:
"Jag började köra dessa nätfiskekampanjer lite mer strukturerat, eftersom de är en riktig ögonöppnare för människor. Det ger mig också ett verktyg för att se om de saker jag gör i mitt dagliga arbete fungerar. Nu har jag två mätningar att förhålla mig till - en från förra året och en från i år. Redan nu kan jag se att det är en mycket märkbar skillnad i antalet klick."
Nätfiskekampanjer kan både användas för att skapa medvetenhet bland medarbetarna, men också för att mäta hur effektiva ens initiativ är.
Uppföljning:
Det tredje och sista initiativet är att följa upp efter en kurs eller en nätfiskekampanj. Detta är superviktigt för att både starta det informella samtalet om cybersäkerhet, men också för att se hur effektiv kampanjen varit. Kim säger att om det inte finns någon uppföljning av kurserna, ser han inget lärande:
"Om kurserna skickas ut en gång i månaden och du sedan slutför dem, så bra, det är gjort, vi går vidare. Här försöker vi formulera det och göra det till en del av våra processer och vår vardag. [...] för så mycket kunskap och tid går förlorad om man inte följer upp det. Då blir det bara ytterligare en lista att bocka av."
Det är viktigt att inte bara se medvetenhetsträning och nätfiskekampanjer som något som ska bockas av. Att följa upp kampanjer och utbildningar är det som skapar dialogen i organisationen, och som tidigare nämnts är dialogen Kims mest värdefulla verktyg för att skapa en cybersäkerhetskultur.
Vilka förändring och förbättringar gjorde Kalundborg Forsygning efter angreppet
Efter angreppet som Kalundborg Forsyning utsattes för har de ovan nämnda initiativen inneburit en förändring och förbättring. Kim berättar att de inte fokuserade på utbildning före attacken, men att det nu är en del av deras vardag.
"Det är inte bara en kurs som skickas ut en gång i månaden. Om vi kör nätfiskekampanjer har vi också en debriefing för alla anställda, så att de vet att det har hänt och vad resultatet blev. Vi går också igenom vad man borde ha varit medveten om i kursen eller e-postmeddelandet och vad man kan förbättra till nästa gång."
Utöver detta har Kalundborg Forsyning registrerat mystiska e-postmeddelanden som de anställda har mottagit. Vilket har gett dem möjlighet att arbeta strategiskt med nätfiskemejl och att upptäcka tendenser.
Vad tycker medarbetarna om nätfiskemejlen?
Vi anser att alla organisationer bör nätfisketräna sina anställda. Utbildning i nätfiske är ett sätt att testa hur bra dina kollegor är på att upptäcka nätfiskemejl, men det kan vara komplicerat att komma igång, eftersom det handlar om att avsiktligt lura andra. Om det görs på rätt sätt kan det ha en enorm positiv inverkan på din säkerhet, men om det görs på fel sätt kan det få negativa konsekvenser vilket kan ge motstånd från dina kollegor.
Kim upplevde flera känslor från kollegorna när han skickade ut det första nätfiskemejlet, men då han gjorde en uppföljningen av mejlet skapades lugn och förståelse:
"Första gången var de upprörda. Det fanns ingen tvekan. Min telefon gick varm samma dag. [...] Andra gången jag gjorde det tog folk det med hakan upp och ett leende. För mig är det viktigt att få feedback eftersom det är ett verktyg för dialog. Det här är ett trycktest av organisationen. Det fanns inte en enda sur rynka över det, förra gången jag skickade ut ett. Eftersom folk kan se varför jag gör det."
Kim anser att uppföljning, informella samtal och debriefing är det som skapar en cybersäkerhetskultur. Dessutom har hans inställning till phishingmejl och kurserna skapat en öppenhet i organisationen.
"Bara det faktum att de inte är rädda för att ta kontakt och säga att jag har fått det här eller klickat på något utan att det är förknippat med skam eller ett pekfinger. [...] I själva verket bygger vi förtroende genom att kunna prata om det. Det innebär att människor kan börja dela med sig av kunskap inom organisationen."
Att göra cybersäkerhet till en del av organisationskulturen innebär att de inte behöver börja om varje gång nya medarbetare ansluter sig till organisationen. Eftersom det är en integrerad del av företaget.
Tre goda råd till andra organisationer
Slutligen frågade vi Kim om han hade några goda råd som andra organisationer kan använda sig av.
Få med ledningen på tåget
Kims första råd är att få med ledningen på tåget:
"Först och främst handlar det om att ledningen måste fokusera på attacker och inse att det kommer att hända oss. [...] Det är inte en fråga om det kommer att hända, utan när. Om du tar det på dina axlar och erkänner det - då är du redan på god väg."
Utan ledningens stöd är det svårt att genomdriva initiativ.
Motarbeta tabun
Men hur får man med sig ledningen på tåget?
"Det är en annan fråga och det är något jag tycker är väldigt viktigt. Jag tycker att jag har gjort mycket för att ta bort tabun. Man måste prata om det."
Här är vi tillbaka till dialogen. Prata om varför det är viktigt och vilka svagheterna i organisationen är.
Kulturförändring med rutiner
Kim tycker att det är viktigt att säkerhet inte bara blir en uppgift att få överstökad, utan en kulturförändring och en integrerad del av din vardag i organisationen. Det måste bli rutin.
"I själva verket är det bara en symbol för två andra saker: formulering och ledningens stöd. Man kommer ingenstans med IT-säkerhet om inte ledningen är medveten om det och erkänner sitt ansvar. Det är vad vi har gjort här. Det finns ett stort fokus på det från ledningen. Det leder till att det sipprar ner i organisationen."
Man måste tala öppet om IT-säkerhet i ledningen, såväl som i styrelsen och ledningen. En kulturförändring kan bara ske om både medarbetare och ledning är medvetna om risken och möjligheten för en attack.
Skapa en god IT-säkerhetskultur i din organisation
Kalundborg Forsyning har genomfört många förnuftiga initiativ för att förbättra och säkra deras organisation mot attacker. I slutändan har detta skapat en kulturell förändring i organisationen.
Vill du göra som Kalundborg Forsyning och använda CyberPilots kurser i säkerhetsmedvetenhet för att säkra din organisation mot attacker?
Varför inte pröva våra kurser kostnadsfritt i 14 dagar!
