500 ansatte faldt i phishingfælde

500 medarbejdere ved Københavns Universitet (KU) faldt i en phishingfælde i juli 2019, da det lykkedes it-kriminelle at lokke dem til at afgive deres KU-brugernavn og password via en falsk hjemmeside. De lækkede data blev – lidt usædvanligt – derefter lagt ud på internettet, frit tilgængeligt.

Computerworld har interviewet Københavns Universitets vicedirektør for it Klaus Kvorning Hansen om sagen, og nu fortæller også informationssikkerhedschef Poul Halkjær Nielsen, hvad han har lært.

»Det sværeste er at få deres opmærksomhed i bare to minutter, men det er det, der skal til for at undgå, at der er 500, der ryger i en ny phishing-fælde.«

Poul Halkjær Nielsen

Halkjær Nielsens siger, at alle ansatte og tilknyttede medarbejdere bør tale åbent med hinanden om it-sikkerhed. Det er den vej, han siger, universitetet kan gå, hvis det skal undgå rigide it-regler, der hæmmer forskning og samarbejde, og samtidig beskytte vigtige data mod it-kriminelle i fremtiden.

Ifølge Computerworld har Københavns Universitet siden sommerens angreb arbejdet på at opdrage brugerne til bedre it-sikkerhed. Arbejdet omfatter et gennemsyn af sikkerheden og ting som sletning af suspekte links.

10.000 løst tilknyttede brugere

Poul Halkjær Nielsen siger, at en organisation som Københavns Universitet har flere særlige udfordringer. Dels er det en stor arbejdsplads, med seks fakulteter spredt ud over hele København, dels er mange af it-brugerne løst tilknyttet universitetet. De bruger deres egne computere i stedet for universitetets – og dermed får de ikke nødvendigvis sikkerhedsopdateret løbende, som de burde.

Universitetet har omkring 7.500 regulære ansatte med løn, men i alt 17-18.000 brugere. Det vil sige, at der er omkring 10.000 associerede medarbejdere, der ikke arbejder fast på Københavns Universitet, men stadig har brug for adgang til it-systemet, for eksempel for at dele viden.

Det kan være løst tilknyttede forskere eller censorer til de studerendes eksamener.

»Vi skal være åbne af hensyn til den måde, som forskere arbejder på, og samtidig er der et stort pres på os, for at vi skal have kontrol og styring. Det gør selvfølgelig mit job anderledes end mange andre informationssikkerhedschefers,« siger Poul Halkjær Nielsen

Ikke meningen at der skal falde brænde ned

Kravet om åbenhed på universitetet er med til at afgøre valget af den metode, som Københavns Universitet kan bruge til at øge sikkerheden, siger informationssikkerhedschefen.

»Folk skal ikke være bange for repressalier, hvis de kommer til at lave et brud på it-sikkerheden. Vi er nok mere tilgivende her på KU end mange andre steder. Vi siger, at hos os må vi godt fejle, for tænk på, hvor mange gange forskere er nødt til at fejle, når de afsøger en ny vej? Vi er her for at lære, og hvis vi ikke er parate til at gå i dialog, så kan det ødelægge den fantastiske forskning, KU laver,« siger Poul Halkjær Nielsen.

Han siger, at det fungerer anderledes i andre organisationer.

»Mange af de medarbejdere, der kommer til KU fra andre kulturer, kender ikke noget til den meget bløde måde, vi gør tingene på her. Det kan for eksempel være, at de har været udsat for repressalier for at have begået en it-fejl, eller de er blevet fyret eller blevet truet med erstatningssager, fordi det er bedre at pege på den lille mand ovre i hjørnet, end at chefen bliver nødt til at gå, fordi han ikke sørgede for ordentlig it-sikkerhed,« siger Poul Halkjær Nielsen.

Tal med en kollega om det på en ufarlig måde

I stedet forsøger han at nå ud til brugerne og oplyse dem om, hvordan de selv bliver mere bevidste om it-sikkerheden. Det er en stor udfordring.

»Tænk på, at vi har en million kvadratmeter på KU. Skal jeg sætte informationen op på alle toiletdørene?« siger han.

»Prøv i stedet selv at tænke over, hvor skadeligt det er for en bruger, at nogen har deres password til deres pc? Hvis de har personlige breve eller deres sygemeldinger liggende, så er der nogen, der synes, det ikke er rart, når der sker et kontroltab.«

Poul Halkjær Nielsen

»Mange af vores brugere anvender deres egen pc og ikke en pc fra KU med vores indbyggede sikkerhed. Derfor er der så mange ting, jeg ikke kan gøre, men jeg kan få dig til at tale med din kollega om it-sikkerhed. Alle kan tale med deres kollega, om det er klogt at sende al information i en mail, bruge Dropbox eller Google Docs. En kollega kan så svare, at en ukrypteret mailforbindelse aldrig er sikker, med Dropbox ved man, at de kigger med, og Google Docs indekserer alle filer og sender dem videre til ukendte steder, så vi skal prøve at finde på noget andet,« siger Poul Halkjær Nielsen.

»Det er vigtigt, at alle skal kunne indrømme, at de er usikre. Mere er der ikke i det, for det er en kompleks verden. Chefen siger måske til dig, hvis du er en ny medarbejder, at vi stiller nogle værktøjer til rådighed for dig, og vi arbejder med en type af følsomme data, så du skal vide, vi har besluttet, at vi lægger dem her. Næste gang, der kommer en ny medarbejder, og chefen ikke er der, så kan en kollega sige det samme på en kollegial og ufarlig måde,« siger Poul Halkjær Nielsen.

To minutters fokus kan gøre hele forskellen

Det er svært at sige, hvor farligt phishing-angrebet i juli egentlig var, fordi universitetet ikke ved, hvad det blev brugt til. Men Poul Halkjær Nielsen siger, at det kan være alvorligt for den enkelte medarbejder at falde i it-kriminelles fælder.

»Prøv at tænk over, hvor skadeligt det er for en bruger, at nogen har deres password til deres pc? Hvis de har personlige breve eller deres sygemeldinger liggende, så er der nogen, der synes, det ikke er rart, når der sker et kontroltab,« siger Poul Halkjær Nielsen.

Københavns Universitet stiller nogle redskaber til rådighed og forsøger at lukke alle sikkerhedshuller, men det vanskelige er at nå medarbejderne med oplysning.

»Det sværeste er at få deres opmærksomhed i bare to minutter, men det er det, der skal til for at undgå, at 500 ryger i en ny phishing-fælde,« siger Poul Halkjær Nielsen.