DKCERTs awareness-værktøj til institutioner på forskningsnettet

DKCERT hjælper med træning i at undgå phishing.

Som en del af den awareness-træning, der skal uddanne dine medarbejdere og studerende i god it-sikkerhed, har DKCERT udviklet et værktøj, som kan aflaste det individuelle besvær, samt samle erfaringer, så du får et endnu større udbytte af dine anstrengelser.

En af de kriminelles mest anvendte og effektive veje ind i et netværk, i pengekonti eller i en bygning, er gennem at lokke nogen indefra til at åbne døren.

Derfor har DKCERT udviklet et værktøj, der skal hjælpe med at teste denne angrebsvinkel, så it-afdelingen bedre kan fokusere træningsmål til medarbejdere, samt teste organisationens håndtering af truslen.

Phishing-mails er en effektiv metode til at ramme mange på en gang, men kan også være skræddersyet til at ramme udvalgte ofre. Langt de fleste medarbejdere modtager og besvarer e-mails i deres daglige arbejde, hvilket betyder, at en phishing-mail på samme tid kan ramme en stor målgruppe, der ellers har mange forskellige arbejdsopgaver. 

DKCERTs værktøj fungerer efter samme principper som en ondsindet phishing-kampagne, men alt foregår i et krypteret og afgrænset miljø. DKCERT har implementeret en teknisk platform, der gør det nemt for dig at trykprøve sikkerhedsniveauet i din organisation.

I samarbejde med DKCERT kan du designe dine egne phishing-kampagner, der på en virkelighedstro måde afsender en defineret mængde mails. Din institution kan frit udforme ”angreb” ud fra eksempelvis behov, antal modtagere eller medarbejdernes vidensniveau.

3 fordele ved at benytte DKCERTs phishing-værktøj:

  • Dine medarbejdere skal ikke overvåge kollegerne i en kampagne. Igennem en databehandleraftale forpligter DKCERT sig til at kryptere alle begivenheder, samt at anonymisere resultater og statistikker, før de bliver sendt til dig.
  • Ved at samle kampagner fra flere af forskningsnettets institutioner på et sted, samler vi samtidig erfaringer, der hele tiden kan forbedre vores design af kampagner og rådgivning.
  • Tjenesten afregnes til kostpris. Fordi man som tilsluttet på forskningsnettet allerede betaler for DKCERT grundlæggende tjenester, er betalingen for en kampagne sat til DKCERTs medgåede timer.

Sådan kommer du i gang

Hvis du gerne vil i gang med vores awareness-værktøj, så anbefaler DKCERT, at du udvælger en teknisk ansvarlig, der kan være bindeled mellem DKCERT og din organisation.

Der arrangeres et forberedende møde, hvor vi i samarbejde gennemgår en kontrolliste over de elementer, der skal klargøres inden en kampagne sætte i gang.

Det omfatter eksempelvis udveksling af en PGP-nøgle, så kampagnens data kan sendes krypteret mellem parterne. Desuden skal phishing-mailens transportrute gennem dit netværket planlægges.

Sidst, men ikke mindst, indeholder denne del også en serviceaftale og databehandleraftale, så der er klarhed over måden, alle data behandles på.

Når det praktiske er på plads, kan du selv være med til at definere indholdet i den mail, der skal indgå i kampagnen eller vælge ud fra en af DKCERTs skabeloner.

Hvis du ønsker det, kan du også selv designe den side, som brugeren lander på, hvis vedkommende klikker på en phishing-mail samt det uddannelsesindhold, der skal gøre brugeren klogere for at undgå en gentagelse i en skarp situation.

Med DKCERTs tjeneste har du således stor indflydelse på afviklingen af kampagnen, indholdet i kampagnen samt antallet af udsendelser, der kan varieres fra en enkelt til mange tusinde mail-udsendelser.

Hvis du er interesseret i yderligere information eller opsætning af en kampagne, kan du kontakte DKCERT på cert@cert.dk eller telefon: 35 88 82 55 på alle hverdage 9-16 (fredag 9-14).