Uniavisen
Københavns Universitet
Uafhængig af ledelsen
in English

Seneste

Medina spiller på KU Festival

in English

   

Debat

Derfor phisher KU-IT de ansatte

af: Morten Hansson
Konstitueret gruppeleder for IT-sikkerhed i KU-IT
billede: Privatfoto

Debatsvar — Hvorfor skal jeg spilde min tid på en falsk phishing-mail, spurgte en KU-ansat. Det skal du, fordi tiden er godt givet ud, når den hjælper med at beskytte din forskning og dine personoplysninger, svarer KU-IT.

DEBATINDLÆG

Dette er et debatindlæg. Indlægget er udtryk for skribentens egen holdning.

Vi opfordrer alle til at læse debatindlæg til ende, før de kommenterer dem på Facebook, så vi kun får konstruktive bidrag.

Det er godt, når der er uenighed, men husk at holde en god debattone.

Uniavisen forbeholder sig retten til at slette kommentarer, der overskrider vores debatregler.

Mange tak til Asta Halkjær From, postdoc på Datalogisk Institut, for at dele sine overvejelser om falske phishing-mails i sit debatindlæg ’Hvorfor phisher KU-IT de ansatte?’

Indlægget er en god anledning til at fortælle om vores efterfaringer med øvelsen – og lidt mere om, hvorfor det er en vigtig indsats.

Derfor phisher vi jer

Phishing er it-kriminelles forsøg på at få adgang til login- eller kontooplysninger. Hvis det lykkes dem, kan de få fat i de mange følsomme og fortrolige data, vi har på universitetet.

Det kan få store konsekvenser for alle på universitetet i form af for eksempel ødelagt forskning

Det kan få store konsekvenser for alle på universitetet i form af for eksempel ødelagt forskning, økonomiske tab og lækkede personoplysninger.

LÆS OGSÅ: To-faktor-godkendelse hører til i helvede

På universitetet modtager vi hver eneste måned mellem 100.000 og 200.000 phishing-mails. De fleste bliver fanget i universitetets spamfilter eller af andre sikkerhedsløsninger, men det er ikke muligt at fange alle, og nogle lander i vores indbakker.

Når medarbejdere spotter og indberetter phishing-mails, er det derfor et vigtigt forsvarsværk.

Gode erfaringer på KU

For at give medarbejdere mulighed for at øve sig i at genkende og indberette mistænkelige mails, udsender universitetet løbende falske phishing-mails.

Asta Halkjær From henviser til et studie fra 2022, som pegede på en ’drengen, der råbte ulv’-effekt, hvor medarbejdere kom til at tage phishing mindre alvorligt, fordi det ofte bare var træning. Vi ser dog en målbar effekt i den anden retning, for eksempel:

  • Færre, som falder for phishing-mails. Det viser vores erfaringer på KU, hvor vi har lavet tests af træningen på en del af universitetet, inden vi rullede træningen bredt ud. Det er også et billede, der går igen hos eksempelvis Syddansk Universitet og Aarhus Universitet.

 

  • En stigning i, hvor mange der indberetter mistænkelige mails. På KU har vi oplevet mere end en fordobling af, hvor mange der brugte phishing-knappen, efter den første phishing-træning blev udsendt. Når medarbejdere indberetter, giver det KU-IT mulighed for at blokere for phishing-angrebet. Dermed er der færre, som rammes.

 

Samtidig kan vi med træningen måle sikkerhedsniveauet ved forskellige typer af phishing-angreb. Det giver os mulighed for at sætte ind med ekstra indsatser, hvor der er størst behov.

Det er et vigtigt fokus for os i KU-IT, at vi løbende analyserer tallene fra phishing-træningen, laver brugerundersøgelser og tilretter, så vi undgår den slags faldgruber, som Asta Halkjær From påpeger.

Lige nu er anden runde af phishing-træningen i gang. Man kan se resultaterne fra første runde for sit institut eller sin afdeling og læse mere om træningen i Medarbejderguiden (kræver login til KUnet).

Skal ikke være ’os mod dem’

Det er værdifuldt for os, når Asta Halkjær From bidrager med det perspektiv, at phishing-træningen kan opleves som ’os mod dem’. Ud fra det input vil vi i KU-IT se på, hvordan vi kan tilrette vores sikkerhedstræning, så vi bedre kan skabe en oplevelse af gensidig tillid.

Alle kan nemlig falde for phishing, og det er vigtigt, at vi kan tale åbent om det

Vi har blandt andet et stort fokus på, hvordan tonen er på læringssiden, som man ender på, hvis man falder for en falsk phishing-mail. Sidens formål er ikke at give en reprimande, men i stedet tilbyde læring og hjælp. Alle kan nemlig falde for phishing, og det er vigtigt, at vi kan tale åbent om det for at lære sammen. Derfor opfordrer vi også ledelsen til at tale om det i enheden på en måde, der ikke udstiller medarbejderne, men tværtimod skaber dialog og øger den fælles forståelse.

Det her er ‘best practice’

KU følger også branchekodekset for phishing-træning, som er udviklet af en række faglige organisationer, myndigheder og virksomheder. Det betyder blandt andet, at den enkelte medarbejders resultater er anonyme, og at vi løbende kommunikerer om phishing-træningen.

LÆS OGSÅ: Log ind for at få hjælp til login

Træningen er en del af en større sikkerhedsindsats, hvor KU-IT tilbyder oplæg om it-sikkerhed, online kurser og konkrete sikkerhedsværktøjer, som den enkelte medarbejder kan bruge for at øge sin egen og universitetets sikkerhed. Det er altså på ingen måde meningen, at phishing-træningen står alene.

Endnu engang tak til Asta Halkjær From for at sætte fokus på it-sikkerhed – og for at bruge phishing-knappen.

Campus

Medina spiller på KU Festival

Campus

Øresundsakvariet lukningstruet – igen

Klumme

Jeg er pissedårlig til at tage beslutninger. Læs med her, hvis du har det ligesom mig

Debat

Vi har skabt et Trustpilot for arbejdsgivere

Seneste

Kontakt Uniavisen

Universitetsavisen
Nørregade 10
1165 København K

Tlf: 21 17 95 65 (man-fre kl. 9-15)
E-mail: uni-avis@adm.ku.dk

Om Uniavisen

Uniavisen er Københavns Universitets prisvindende, uafhængige avis til studerende og ansatte – og alle andre, der vil læse med. Læs mere om avisen her.

Mere

Copyright © Uniavisen 2025 Data protection