Gå til hovedindhold

Lær at phishe

Denne idé er en del af Cyber Security Challenge 2019

mortenroendal
mortenroendal
12. november 2019

Løsningen: “Lær dine folk at phishe”

Dette e-læringsforløb er i første omgang rettet mod bestyrelse og direktion. Det vil inkludere en række formidlingsværktøjer, som tages i brug i den eksekverbare del af forløbet, hvor hele virksomheden vil blive udsat for et uvarslet simuleret cyberangreb og dermed blive nudget i retning af at tage de rette forholdsregler i forhold til IT-sikkerhed.

Nudging er adfærdsdesign. Men hvordan adfærdsdesigner man i et SMV-landskab med så bred variation? I vores tilfælde er nudging en humoristisk påmindelse, der vil skabe eksponering, praktisk erfaring samt en visuel påmindelse, der kan fordre en kultur, hvor IT-sikkerhed er på medarbejdernes tunger.

Forløbet indeholder tre moduler:

Modul 1) Phishing  

Modul 2) CEO-fraud          

Modul 3) Ransomware

 

Hvert modul indeholder:

1/ E-læringsforløb med praktisk anvendelig viden til bestyrelse og direktion, der gør dem i stand til at identificere SMV’ens svage punkter ift. cybersikkerhed.

 

2/ En nudging-konkurrence, hvor hele virksomheden (bestyrelse og direktion ligeså) udsættes for et simuleret cyberangreb uden varsel. Angrebet opfølges af en workshop, hvor der i fællesskab reflekteres over simulationen. Workshoppen tager et anderledes take og beder medarbejderne om selv at forsøge at være IT-kriminelle og udarbejde hhv. phishing mails, CEO-fraud og ransomware. Til sidst lægges en plan for at forberede sig på det næste simulerede angreb.

 

3/ En “phish”-pokal (en fisk på en krog i guld), som “vinderen” af cyberangrebet (den eller de der viste sig at trykke på linket eller sende fakturaen) bliver opfordret til at have stående på sit skrivebord, så der skabes en anledning til at tale om cybersikkerhed i den tid, forløbet kører.

 

Det er ikke sjovt at være den, der har trykket på det forkerte link eller har udbetalt en faktura til en, der udgav sig for at være chefen (CEO fraud). Desværre så er det i mange tilfælde først, når skaden er sket, at læringen finder sted. Derfor vil vi med dette forløb give alle medarbejdere i virksomheden (inkl. bestyrelse og direktion) praktisk erfaring med både phishing, CEO-fraud og ransomware, så de kan genkende potentielle IT-sikkerhedsbrud, når de møder dem i den virkelige verden. Og så endda på en tilgængelig og humoristisk måde, der forhåbentlig kan bidrage til, at IT-sikkerheden ikke lige bliver glemt

 

 

Kommentarer