Et skriggult e-mail-banner har affødt rødglødende kritik – nu er det fjernet igen
Tirsdag implementerede AU IT på samtlige medarbejderes mailkonti et gult banner på alle mails fra eksterne afsendere. Det har vakt stor frustration hos mange medarbejdere, der på grund af banneret har svært ved at danne sig et hurtigt overblik over beskederne i deres indbakke. Torsdag besluttede ledelsen at fjerne banneret igen.
Tirsdag blev AU’s nyeste tiltag i kampen mod cyberkriminalitet udrullet på hele universitetet; samtlige mails fra eksterne afsendere blev i alle medarbejderes indbakker markeret med et gult banner, der på dansk og engelsk gjorde opmærksom på, at mailen var fra en ekstern afsender, og medarbejderne blev opfordret til at være opmærksomme på links og vedhæftede filer.
Tiltaget skulle ifølge AU’s informationssikkerhedschef, Thomas Kaaber, hjælpe medarbejderne med at spotte forsøg på ’phishing’, da mange ’phishing-mails’ giver sig ud for at være interne mails og de seneste år er blevet mere og mere veludførte. Med det gule banner ville det være lettere for medarbejderne at opdage, at en ’phishing-mail’, der foregiver at være fra en kollega internt på AU, rent faktisk er fra en ekstern afsender.
Rødglødende indbakke
Hvad er phishing?
Hvad er en phishing-mail?
Det er en falsk mail – eller en svindelmail – hvor afsenderen giver sig ud for at være en anden med det formål at franarre modtageren fortrolige oplysninger eller penge.
Hvordan kan du se, at det er en phishing-mail?
En phishing-mail forsøger typisk at lokke en fortrolig oplysning ud af dig, for eksempel et brugernavn, et kodeord eller et kortnummer. Eller lokker dig til at foretage en bankoverførsel, som det er tilfældet ved den type phishing, der kaldes ’CEO fraud’.
Mailen indeholder typisk også en form for konsekvens a la: Hvis ikke du overfører pengene, lukkes din mailkonto.
Sproget eller manglende mailsignatur kan også være med til at afsløre, at mailen er et forsøg på phishing.
Hvad stiller du op med en phishing-mail?
Det korte svar er: Slet den!
Men giv også din lokale it-support besked om phishing-mailen; så kan de nemlig gå ind og blokere afsenderen og derved forhindre, at andre AU-medarbejdere kommer til at åbne mailen og reagere på den.
Og hvis skaden er sket?
Kontakt med det samme din lokale it-support.
Men det velmenende tiltag er langt fra blevet modtaget med kyshånd af medarbejderne. Kort tid efter implementeringen var Thomas Kaabers indbakke ikke skriggul, men derimod rødglødende.
Også på Twitter luftede flere medarbejdere deres frustration over det nye tiltag. En af dem er professor ved Institut for Molekylærbiologi og Genetik, Poul Nissen, der også sendte sin kritik videre til AU IT. Han får dagligt mange mails fra eksterne afsendere og har hidtil hurtigt orienteret sig i mailsene ud fra visningen af de to øverste linjer af mailbeskeden, som nu er erstattet af det gule banner.
”Det er et irritationsmoment, som ødelægger en arbejdsrutine. Det forstyrrer ret meget. De gule felter ryger også med, hver gang jeg sender mails frem og tilbage, så der bliver flere og flere. Og jeg kan ikke se, at jeg har mulighed for at vælge en anden visning, så jeg kan undgå de gule bannere,” siger Poul Nissen.
Han er helt på det rene med, at hensigten er at hjælpe medarbejderne med at opdage forsøg på ’phishing’:
”Men de burde i stedet markere afsenderadressen frem for at blokere de to første linjer af selve beskeden. Samtidig tror jeg, at man efter noget tid bliver blind for banneret. Og så synes jeg generelt, at man skal huske på, at det er brugerne, der til daglig skal anvende systemerne, og hvis noget er til ulempe for brugerne, bør det fjernes. Og det bør man gøre i dette tilfælde,” siger Poul Nissen.
Kritik gør indtryk
Thomas Kaaber var udmærket klar over, at tiltaget ikke ville afføde vild jubel. Det erfarede han blandt andet, da tiltaget blev testet internt i AU IT.
”Jeg kan godt forstå, at det kan være irriterende med det banner, og jeg er også klar over, at vi har mange brugere, der har meget ekstern kommunikation, for hvem det er en stor ulempe,” siger han.
Alligevel er han overrasket over, hvor meget kritik beslutningen har medført. Og den store utilfredshed blandt medarbejderne har gjort indtryk på ham.
”Jeg har aldrig oplevet noget lignende,” siger Thomas Kaaber, der har været informationssikkerhedschef på AU i to år og tidligere har arbejdet med informationssikkerhed i det private erhvervsliv.
”Jeg har fået nogle konstruktive tilbagemeldinger fra medarbejderne om, hvad det gør ved deres hverdag – og det har jeg stor respekt for,” siger han.
Medarbejdere spotter ikke forsøg på phishing
At der er brug for tiltag, som hjælper medarbejderne med at spotte forsøg på ’phishing,’ er ifølge informationssikkerhedschefen veldokumenteret.
”Vi laver løbende kampagner, der måler, hvor opmærksomme brugerne er på ’phishing’. Den seneste kampagne lavede vi i december sidste år, og her testede vi 1.200 medarbejdere, som vi sendte en ’phishing-mail’, vi havde fået konstrueret. Halvdelen af medarbejderne klikkede på linket i mailen og var dermed ikke opmærksomme på, at der var tale om forsøg på phishing,” siger Thomas Kaaber og fortsætter:
”Det er et kæmpe sikkerhedsproblem i min optik, at så mange af vores brugere ikke gennemskuede phishing-mailen,” siger han.
Thomas Kaaber understreger, at det er blevet sværere at gennemskue, fordi cyberkriminelle de seneste år er blevet mere avancerede. Hvor det tidligere var nemmere at afsløre en phishing-mail for eksempel ud fra et ubehjælpeligt sprog, mangel på logo eller signaturer, kan phishing-mails i dag være meget professionelt udført.
”Ofte er den eneste måde, man kan afsløre forsøg på phishing, at være opmærksom på, at afsenderen er ekstern, hvilket kan være svært i en travl hverdag. Det skulle denne standardfunktion i mailsystemet hjælpe med at gøre medarbejderne opmærksomme på,” siger Thomas Kaaber.
Aalborg Universitet ramt af cyberangreb sidste år
Center for Cybersikkerhed under Forsvarets Efterretningstjeneste vurderede i 2020 truslen fra cyberkriminalitet som værende ’meget høj’ i Danmark, og samme vurdering gælder truslen fra cyberspionage. I begge henseender er truslen i høj grad rettet mod virksomheder og myndigheder.
Sidste år blev truslen til virkelighed på Aalborg Universitet, som i august blev ramt af et cyberangreb. De cyberkriminelle tiltvang sig adgang til universitetets it-systemer og fik på den måde adgang til oplysninger om både studerende og medarbejdere. Så snart universitetet fik mistanke om angrebet, lukkede de ned for samtlige systemer, og alle brugere blev bedt om at skifte password. Alligevel blev nogle medarbejderes og studerendes personfølsomme oplysninger kompromitteret ved angrebet. Og ifølge TV2 Nord har angrebet kostet universitetet to millioner kroner.
”Det har kostet en hel del i interne ressourcer og eksterne konsulenter. Men beløbet kunne være markant højere, hvis angrebet var lykkedes. Derfor er pengene godt givet ud,” udtalte universitetsdirektør ved Aalborg Universitet, Antonino Castrone, i september til TV2 Nord.
LÆS OGSÅ: Forsøg på phishing var lige ved at koste AU 170.000 kroner
Man skal afveje effekt i forhold til ulempe
Som informationssikkerhedschef er Thomas Kaaber stærkt optaget af at undgå, at et lignende angreb rammer Aarhus Universitet.
”Og der var det nye tiltag med e-mail-banneret ét af de greb, vi har i værktøjskassen. Beslutningen om at bringe det i anvendelse sker på en alvorlig baggrund. Men det gør også indtryk, når jeg får så mange henvendelser om, at tiltaget har så store uhensigtsmæssige konsekvenser,” siger han og fortsætter:
”Man skal altid afveje et tiltags effekt i forhold til den ulempe, det giver brugeren.”
Derfor blev sagen i går drøftet i Det centrale informationssikkerhedsudvalg på Aarhus Universitet, som besluttede at fjerne banneret igen.
”Vi har konstateret, at banneret har en række uhensigtsmæssige konsekvenser for en stor del af medarbejderne, som dagligt modtager mange mails fra eksterne afsendere. Heldigvis er mange nu blevet opmærksomme på, at der hele tiden er en risiko for phishing, og at vi alle skal trænes i at spotte forsøg på phishing”, forklarer universitetsdirektør og formand for CISU, Arnold Boon, i en nyhed på medarbejdere.au.dk.
Arbejdet fortsætter
Thomas Kaaber fortæller, at arbejdet med informationssikkerhed trods fjernelsen af e-mail-banneret fortsætter, for truslen fra cyberkriminelle er fortsat høj.
”Som jeg også har nævnt før, er tiltaget blot ét af de værktøjer, vi har til rådighed. Vi må tilbage til tegnebrættet, men jeg tror især, vi skal arbejde med at skabe awareness blandt medarbejderne om risikoen for at blive mål for cyberkriminalitet. Vi skal arbejde med adfærd og opfordre medarbejderne til at være årvågne selv i en travl hverdag.”
Korrekturlæst af Charlotte Boel
Hvad er phishing?
Hvad er en phishing-mail?
Det er en falsk mail – eller en svindelmail – hvor afsenderen giver sig ud for at være en anden med det formål at franarre modtageren fortrolige oplysninger eller penge.
Hvordan kan du se, at det er en phishing-mail?
En phishing-mail forsøger typisk at lokke en fortrolig oplysning ud af dig, for eksempel et brugernavn, et kodeord eller et kortnummer. Eller lokker dig til at foretage en bankoverførsel, som det er tilfældet ved den type phishing, der kaldes ’CEO fraud’.
Mailen indeholder typisk også en form for konsekvens a la: Hvis ikke du overfører pengene, lukkes din mailkonto.
Sproget eller manglende mailsignatur kan også være med til at afsløre, at mailen er et forsøg på phishing.
Hvad stiller du op med en phishing-mail?
Det korte svar er: Slet den!
Men giv også din lokale it-support besked om phishing-mailen; så kan de nemlig gå ind og blokere afsenderen og derved forhindre, at andre AU-medarbejdere kommer til at åbne mailen og reagere på den.
Og hvis skaden er sket?
Kontakt med det samme din lokale it-support.