Som läsare av denna blogg vet så hade kommunens förtroendevalda revisorer:
“identifierat risker relaterat till kommunens övergripande arbete med IT- och informationssäkerhet.”
Revisorerna bestämde därför att de skulle testa de anställdas medvetenhet och kunskap på IT-området. (Se “IT: Dyrbar phishing gav napp”.) Och när de ändå hade dessa planer ville de vara riktigt noggranna och göra en komplett och fullödig test. Revisorerna ville göra en övning som verkligen påvisade hur det stod till med medvetenheten hos kommunens anställda – en granskning av IT-säkerheten i praktiken. Dessutom ville de göra en uppföljning och utvärdering med intervjuer, enkäter och statistik.
Revisorerna igångsatte en fejkad (falsk, påhittad) phishing-attack mot kommunens 4.613 anställda och politiker. De var nyfikna på hur många av medarbetarna som skulle lämna ut sina användaruppgifter, dvs e-postadress och lösenord. Det är nämligen något som man absolut aldrig får göra.
Resultatet blev som bekant så där. Det var 98 medarbetare (2,1 %) som klickade på länken i e-postmeddelandet och 27 (0,6%) som skrev in sina användaruppgifter på den fejkade sidan. Procentuellt var det alltså tämligen få som blev lurade, men hade det varit på allvar hade det egentligen kunnat räcka med att en enda användare hade brustit i medvetenhet. Som EY konstaterade:
“vid en verklig attack kan [det] räcka med att endast en användare uppger sina användaruppgifter för att den cyberkriminella aktören ska kunna utföra ett lyckat intrång och, i värsta fall, ta kontroll över kommunens IT-miljöer.”
Men sedan kom den stora överraskningen för revisorerna. Eller ska vi säga den stora chocken?
Det visade sig att någon, eller några, på IT-kontoret på eget initiativ hade gått ut och varnat alla medarbetare för att en sådan här fejkad övning skulle genomföras senare under dagen. De förtroendevalda revisorerna skrev i ett missiv till rapporten från EY:
“Vi revisorer noterar att IT-avdelningen, trots överenskommelse om att inte förvarna om det simulerade angreppet, valt att på eget initiativ på förhand publicera information om e-postutskicket på intranätet.”
Avslöjandet från IT-kontoret undergrävde och förstörde hela syftet med phishing-attacken. Och visst skulle man kunna skratta åt eländet. Det var ett veritabelt bottennapp.
Men det visar sig att det var ett mycket dyrbart bottennapp.
Jag begärde ut fakturan för phishing-attacken. Hela attacken med mejl, ”gillrande av fälla”, intervjuer, enkäter, rapport mm, kostade revisorerna 225.000 kr.
Eventuella skratt fastnar i halsen…
Granskningsrapporten har nu översänts till kommunstyrelsen. Revisorerna vill ha ett svar senast den 7 februari 2025 om vilka åtgärder som ska vidtas med anledning av rapporten.
Det stora frågan just nu är emellertid – vem ska betala fakturan? Ska revisorerna göra det? Eller ska IT-kontoret som saboterade hela phishing-attacken stå för kostnaden…?