Middelfart Sparekasse har i løbet af det seneste år haft et øget fokus på it-sikkerhed i virksomheden, fordi sparekassen i stigende grad oplever digitale angreb udefra. Som et led i en større kampagne omkring it-sikkerhed i bankvirksomheden, valgte de at sætte ind på medarbejderområdet med KMD Security Awareness. I dag er 300 medarbejdere uddannede og klædt på til at håndtere it-trusler og risici, og virksomheden ser det som et vigtigt led i at drive bankvirksomhed på en ansvarlig måde.
”Du har fået en e-mail fra et pakkefirma. De har forsøgt at aflevere en pakke på din adresse, men der var ingen hjemme. I e-mailen bliver du bedt om at klikke på et link for at planlægge en ny levering af pakken. Hvad gør du?”
Det var et af de spørgsmål, Morten Iversen trykkede sig frem til på computerskærmen en dag i december 2015 på sin arbejdsplads Middelfart Sparekasse. Spørgsmålet, som medarbejder Morten Iversen skulle svare på, indgik i det e-learningkursus, som tæt på 300 medarbejdere i Middelfart Sparekasse har været igennem. E-learningkurset er del af KMD Security Awareness, som er en uddannelse, der også består af en afsluttende test og opfølgningsmoduler. Middelfart Sparekasse er en af de danske virksomheder, som i stigende grad oplever udefrakommende forsøg på angreb med eksempelvis phishing-mails og mails med links, der indeholder ransomware, som kan inficere virksomhedens computere og kryptere brugernes filer.
En analyse fra KMD viser da også, at de største danske virksomheder i stort omfang udsættes for digitale angreb som phising og ransomware. I rundspørgen blandt 54 it-sikkerhedsansvarlige i toppen af dansk erhvervsliv har man bedt dem vurdere, hvor den største trussel kommer fra. Her vurderer 59 procent, at uopmærksomme medarbejdere udgør en trussel i høj eller meget høj grad. Det kræver nemlig blot et enkelt klik på en vedhæftet fil eller et link for at blive ramt af ransomware.
Det er blandt andet det stigende trusselsbillede, der fik Middelfart Sparekasses it-chef Kim Bjørn Kristensen til at sætte ind på medarbejderområdet.
- Der er ingen tvivl om, at der var et behov for at gøre noget, og at vi her havde med et godt indsatsområde at gøre. For vi oplever i stigende grad forsøg på angreb ude fra, og fordi vores medarbejdere dagligt har med personfølsomme oplysninger at gøre for vores kunder, er det vigtigt, at vores kunder – og os selv – kan have tillid til, at vi passer godt på de oplysninger, siger Kim Bjørn Kristensen.
Et vigtigt kursus
Morten Iversen, der til daglig arbejder som privatkundechef i Middelfart Sparekasses afdeling i Odense, forstår godt, hvorfor det er vigtigt at skabe opmærksomhed på it-sikkerhed blandt medarbejderne i sparekassen.
- Det giver rigtig god mening og ved at tage e-learning kurset, er jeg blevet bekræftet i, at det langt hen ad vejen handler om at bruge min sunde fornuft, siger Morten Iversen og uddyber:
- Det kan hurtigt blive rutine, at vi for eksempel skal huske at låse vores maskiner og skifte passwords, og man læner sig måske lidt tilbage og tænker ikke over det. Så det er godt at få et brush-up en gang imellem, og når det blot tager et kvarter eller en halv time at tage kurset online, så kan man altid få det passet ind i sin hverdag med en lille smule planlægning.
Virksomhedernes spamfiltre kan fange en del sammen med andre it-tekniske tiltag, men det vil ikke være muligt at filtrere alt fra. Derfor er medarbejdere et vigtigt forsvarsværk mod at opdage den angrebstype.
Folk er mere opmærksomme
For it-chef Kim Bjørn Kristensen var det vigtigt, at alle medarbejdere blev undervist i og omkring it-sikkerhed, så Middelfart Sparekasse står rustet til eventuelle it-angreb udefra. Medarbejderne er på forskellige it-niveauer, og det er der taget højde for, så alle får noget ud af e-learning kurset. KMD Security Awareness kan nemlig skræddersyes, så det matcher virksomhedens tilgang til sikkerhed.
- Medarbejderne er blevet mere opmærksomme, efter de har været på kurset. Vi kan gøre meget på den it-tekniske side, hvilket vi også har gjort, men vi har også været nødt til at kigge på adfærdssiden, fordi det er vigtigt, at vores medarbejdere tænker sig godt om, før de går på nettet og ikke mindst tænker sig om, før de åbner deres mails, siger han.
Den betragtning er Business Line Manager i KMD, Johan Skriver Frydensberg, enig i.
- Ransomware og phishing er blandt de mest udbredte angrebstyper. Virksomhedernes spamfiltre kan fange en del sammen med andre it-tekniske tiltag, men det vil ikke være muligt at filtrere alt fra. Derfor er medarbejdere et vigtigt forsvarsværk mod at opdage den angrebstype. Når medarbejderne er undervist og forstår at identificere de angreb, som de - og dermed virksomheden bliver ramt af - er de aktivt med til at sikre, at virksomhederne undgår, at store dele af deres netværk bliver krypteret eller blokeret af kriminelle, siger han.
Løbende træning i it-sikkerhed
Efter at tæt på alle medarbejdere har været igennem det online kursus, er Kim Bjørn Kristensen tilfreds, og hans it-afdeling har allerede mærket de positive effekter af awareness-programmet fra KMD; de får markant flere henvendelser fra deres medarbejdere, der gør opmærksomme på potentielle, skadelige mails, og flere medarbejdere kommer også med forslag til forbedringer af it-sikkerheden på arbejdspladsen.
Fremover vil Middelfart Sparekasse hvert år køre KMD Security Awareness blandt deres medarbejdere, så medarbejderne også føler ejerskab for virksomhedens samlede it-sikkerhed ude foran computerskærmene.
- En finansiel virksomhed som vores er jo interessant for hackere, hvis de kan komme ind bag vores systemer og i yderste konsekvens rent faktisk få penge ud af det. Derfor er sikkerhed og awareness fundamentet for vores systemer, og jeg føler, at folk er mere på stikkerne nu. E-learning kurset har været med til at skærpe vores medarbejderes opmærksomhed, og det var det, vi gerne ville opnå, siger Kim Bjørn Kristensen.
