Uniavisen
Københavns Universitet
Uafhængig af ledelsen

Debat

Hvorfor phisher KU-IT de ansatte?

Fuppet — Jeg blev for nylig udvalgt til at spilde min tid på en falsk phishing-mail fra KU-IT. Det er en gængs praksis i mange organisationer, men KU burde vide bedre. Forskning viser nemlig, at metoden ikke hjælper ansatte til at spotte farlige mails, men faktisk kan gøre det modsatte.

DEBATINDLÆG

Dette er et debatindlæg. Indlægget er udtryk for skribentens egen holdning.

Vi opfordrer alle til at læse debatindlæg til ende, før de kommenterer dem på Facebook, så vi kun får konstruktive bidrag.

Det er godt, når der er uenighed, men husk at holde en god debattone.

Uniavisen forbeholder sig retten til at slette kommentarer, der overskrider vores debatregler.

Jeg undrede mig noget, da jeg for nylig modtog en mail med titlen »Action required: Change password!«, hvis afsender angiveligt var KU-IT.

Jeg har aldrig været gode venner med universiteters spamfiltre, men mailen var så åbenlyst et phishing-forsøg, at selv Outlook burde have fanget den.

Da jeg rapporterede mailen til KU-IT, fik jeg forklaringen:

»You have spotted a phishing email, which is part of the University of Copenhagen’s security training. The University sends fake phishing emails to test our security level and train staff to spot phishing emails.«

Jeg var åbenbart blevet udvalgt til at spilde min tid på en phishing-mail, som KU-IT selv havde sendt afsted.

Har den modsatte effekt

KU-IT er ikke alene om at genere ansatte med den slags mails. Det skal siges til deres forsvar.

Derfor findes der også forskning på området.

Et studie fra 2022 konkluderede, at øvelser med simulerede phishing-forsøg ikke hjælper ansatte med at undgå at klikke på mistænkelige links i svindel-mails.

Derimod risikerer man en udgave af Peter og Ulven, hvor flere faktisk ender med at klikke på et skadeligt link, fordi de er blevet vant til, at der ikke er fare på færde.

Ubehageligt at blive testet

Derudover spørger jeg mig selv om, hvilken relation KU-IT gerne vil have til os andre.

Jeg var åbenbart blevet udvalgt til at spilde min tid på en phishing-mail

Tilbage i maj skrev Matt Linton, sikkerhedsspecialist hos Google, om problemet med falske phishing-mails. Han sammenligner konceptet med 1800-tallets overraskelses-brandøvelser, som ikke nedbragte dødeligheden ved brand, men ofte endte med tilskadekomne på grund af panik og tumult udløst af det falske brandvarsel.

Med sine falske mails eroderer KU-IT sin position som eksperten, der står på de ansattes side i kampen mod phishing. I stedet skaber de en stemning af ’os mod dem’, hvor vi pludselig modtager en af deres små tests og sikkert udsættes for en reprimande, hvis vi fejler.

Skal vi ikke forsøge at opbygge en gensidig tillid i stedet?

Læs KU-IT’s svar på kritikken her.

Seneste