Ny awareness-træning fra DKCERT: Phish trykprøver sikkerhedsniveauet blandt dine medarbejder i et risikofrit miljø

Som en del af den awareness-træning, der skal uddanne dine medarbejdere og studerende i god it-sikkerhed, har DKCERT udviklet en tjeneste, som på en nem og tryg måde kan gøre dine brugere klogere.

En af de kriminelles mest anvendte veje ind i et netværk sker via phishing mails.

Derfor har DKCERT, som er en del af DeiC, udviklet en phishing-tjeneste, kaldet Phish, så it-afdelingen kan klæde medarbejderne på, til at blive bedre i stand til at håndtere truslen.

Phish er en nem metode til at uddanne store mængder medarbejdere i et hug. Langt de fleste medarbejder modtager og besvarer mails i det daglige arbejde, hvilket betyder, at en phishing-mail rammer en stor målgruppe, der ellers har mange forskellige arbejdsopgaver. 

Phish-tjenesten fungerer efter samme principper som en ondsindet phishing-kampagne, men alt foregår i et krypteret, trygt og sikkert miljø. DKCERT har således skabt den tekniske platform, der gør det nemt for dig at trykprøve sikkerhedsniveauet i din organisation.

I samarbejde med DKCERT kan du designe dine egne phishing-kampagner, der på en helt virkelighedstro måde afsender en defineret mængde mails. Din institution kan frit udforme ”angreb” ud fra eksempelvis behov, antal modtagere eller medarbejdernes vidensniveau.

På den måde kan du få en samlet træning af store mængder af medarbejdere, da alle rammes på samme tid og i alle dele af organisationen.

Sådan kommer du i gang

Hvis du gerne vil i gang med Phish, så anbefaler DKCERT, at du udvælger en teknisk ansvarlig, der kan være bindeled mellem DKCERT og din organisation.

Der arrangeres et forberedende møde, hvor vi i samarbejde gennemgår en kontrolliste over de elementer, der skal klargøres inden en kampagne sætte i gang.

Det omfatter eksempelvis udveksling af en PGP-nøgle, så kampagnens data er krypteret. Desuden skal phishing-mailens transportrute gennem dit netværket planlægges.

Sidst men ikke mindst indeholder denne del også en serviceaftale og databehandleraftale, så alle data behandles efter de gældende regler.

Når det praktiske er på plads, kan du selv være med til at definere indholdet i den mail, der skal indgå i kampagnen eller vælge ud fra en af DKCERTs skabeloner.

Hvis du ønsker det, kan du også selv designe den side, som brugeren lander på, hvis vedkommende klikker på en phishing-mail samt det uddannelsesindhold, der skal gøre brugeren klogere for at undgå en gentagelse i en skarp situation.

Med DKCERTs Phish-tjeneste har du således stor indflydelse på, hvordan du ønsker at afvikle en kampagne, indholdet i kampagnen samt antallet af udsendelser, der kan varieres fra en enkelt til mange tusinde mail-udsendelser.

Phish er målrettet mod kunder, der anvender forskningsnettet. Det afspejles også i prisen, som er yderst favorabel i forhold til mange af de eksisterende tjenester, der ikke har fundament i forskningsmiljøet.

Hvis du er interesseret i yderligere information eller opsætning af en kampagne, kan du kontakte DKCERT på cert@cert.dk eller telefon: 35 88 82 55 på alle hverdage 9-16 (fredag 9-14).