BDO hacket Redd Barna

11. november 2022

Redd Barna lot BDO prøve et fiktivt phishing-angrep på bedriften, for å sjekke sin egen digitale sikkerhet. Les her hvordan det gikk.  

 

Liina Aagedal

 

–  Det siste året har vi jobbet mye med digital sikkerhet, og vi har involvert de ansatte i mye større grad enn tidligere, sier Liina Aagedal, direktør for teknologi og transformasjon hos Redd Barna.  

Hun legger til at trusselbildet endres hele tiden.  

–  Sikkerhetsarbeid er å jobbe lag på lag, og de ansatte er et av de viktigste lagene i dette arbeidet. Ansatte i en bedrift er en del av risikobildet, og det er viktig at vi fortløpende jobber med deres bevissthet, trening og opplæring rundt dette. Det skal ikke mer til at én ansatt er uoppmerksom ved bruk av passord eller trykker på uheldige lenker, sier hun.  

 

Høyt fokus på IT-sikkerhet 

BDO er en av Norges ledende leverandører av IT-sikkerhetstjenester, som hjelper bedrifter både med forbyggende tiltak og bistand under faktiske angrep.  

–  Vi ser at de digitale angrepene blir mer og mer profesjonalisert, og de blir vanskeligere å avdekke. En trend vi ser nå er at de som angripes ofte opplever såkalte «hybridangrep». Det vil si at de som forsøker å hacke bedriften prøver flere metoder samtidig, sier Thomas Dahl, partner og sikkerhetsekspert i BDO. Han legger til at en av de vanligste «døråpnerne» for svindel eller spredning av skadevare i en organisasjon skjer ved hjelp av e-post.  

–  Svindlerne kommer seg ofte inn i systemet og er der opptil flere måneder før de slår til, sier Dahl.  

 

Fort gjort … 

Det fiktive angrepet på Redd Barna gikk over 48 timer, der de ansatte fikk tre ulike mailer hvor de ble oppfordret til å oppgi personlig informasjon. Den ene mailen var stylet slik at mottakeren fikk beskjed om at en annen ansatt ønsket å dele kalender med logoen til Redd Barna på.  

– Det var veldig få som lot seg lure av mailen, men det var flere enn én som oppga informasjonen de ble bedt om. Jeg skulle ønske det var null, men det fiktive angrepet viser hvor lett det er å agere på denne type mailer uten kritisk blikk i en travel hverdag, sier Aagedal.   

Hun synes det var en bra øvelse, og det hun synes var mest positivt var at en rekke ansatte meldte inn denne mailen som mistenkelig. En av de ansatte tok også kontakt og innrømmet å ha tastet inn informasjon.  

– Da har vi oppnådd noe med treningen og bevisstgjøringen. Det er ingen skam å si i fra at man har gjort en feil! Det er viktig at de ansatte sier ifra så vi får igangsatt tiltak, sier Aagedal.  

 

Lav kunnskap 

Thomas Dahl synes denne øvelsen illustrerer godt hvor viktig det er med konstant fokus på dette.  

–  Redd Barna jobber mye med dette, men likevel er det noen ansatte som klikker. Det viser bare viktigheten av gjentagende øvelser og løpende bevisstgjøring hos de ansatte. Når vi er ute hos bedrifter ser vi at mange har altfor lav kunnskap og fokus på digital sikkerhet. Det kan koste dyrt, sier han.  

 

Ønsker du lese mer om hvordan du kan sikre din bedrift mot digitale angrep? Les mer her.