Phishing – hvad gør I i dag?
Phishing er fortsat en af de største årsager til databrud – også i skoler og dagtilbud.
Angrebene bliver mere målrettede og troværdige, og selv medarbejdere med erfaring kan blive narret. Derfor er det afgørende, at I som IT-ansvarlige arbejder aktivt med både forebyggelse og beredskab.
Hvad er phishing – og hvorfor er det kritisk?
Phishing er forsøg på at få medarbejdere til at:
- udlevere loginoplysninger
- åbne skadelige links eller filer
- eller give adgang til systemer
Angrebene fremstår ofte som legitime henvendelser, fx:
- en mail om ændring af adgangskode
- en besked fra “banken” eller “MitID”
- en henvendelse, der ligner noget fra kommunen, en leverandør eller en kollega
I skoler og dagtilbud kan konsekvenserne være alvorlige, da I håndterer personoplysninger om børn og familier. Et kompromitteret login kan føre til brud på GDPR og potentielt datalæk.
Hvor møder medarbejderne phishing?
Phishing sker primært uden for organisationens sikre systemer.
Typiske kanaler er:
- E-mail – stadig den mest anvendte
- SMS (smishing) – korte beskeder med links
- Telefonopkald (vishing) – fx personer, der udgiver sig for IT-support eller samarbejdspartnere
- Private mails og sociale medier
Afsenderen vil ofte udgive sig for at være en kendt aktør:
MitID, banken, leverandører – eller en kollega/leder.
Selvom skolens platforme er beskyttede miljøer, kan phishing via eksterne kanaler stadig føre til, at medarbejderes loginoplysninger kompromitteres.
Hvordan undgår medarbejderne at “falde i”?
Den vigtigste beskyttelse er stadig medarbejdernes opmærksomhed.
Skab en fælles tilgang til mistænkelige henvendelser
Medarbejdere bør altid overveje:
- Er denne henvendelse forventet?
- Presser den på for hurtig handling?
- Beder den om login eller følsomme oplysninger?
Lær dem at kontrollere afsenderen
- Tjek den faktiske mailadresse – ikke kun navnet
- Vær opmærksom på små afvigelser i domæner
- Undersøg links, før der klikkes
Bekræft via en anden kanal
Hvis en henvendelse virker usædvanlig:
- Kontakt afsenderen via telefon eller kendt kontaktvej
- Undgå at svare direkte på beskeden
Gør det nemt at reagere korrekt
- Hav en tydelig proces for rapportering af mistænkelige mails
- Skab en kultur, hvor det er trygt at være i tvivl
Teknologi kan ikke stå alene
Selv med:
- to-faktor-login
- antivirus og anti-malware
- sikre netværk
…er phishing stadig en reel risiko.
Årsagen er, at angrebene udnytter menneskelig adfærd – ikke kun tekniske sårbarheder.
Derfor er løbende:
- oplysning
- træning
- og gentagelse
en nødvendig del af jeres sikkerhedsarbejde.
Har I et beredskab, hvis det sker?
Hvis en medarbejder klikker på et link eller deler oplysninger, er hurtig handling afgørende.
Som IT-ansvarlig bør I sikre:
- en klar beredskabsplan
- tydelige instrukser til medarbejdere
- hurtig inddragelse af relevante parter (IT-drift, leverandører m.fl.)
- vurdering af eventuel anmeldelsespligt ift. GDPR
Jo hurtigere der reageres, desto mindre bliver konsekvenserne.
Hold jer opdateret
Trusselsbilledet udvikler sig løbende, og det er vigtigt at følge med.
Vi anbefaler:
- App’en Mit Digitale Selvforsvar
- Sikkerdigital.dk (opdateret viden og aktuelle advarsler)
Kort sagt
Phishing kan ikke undgås – men det kan håndteres.
De organisationer, der står stærkest, er dem:
- hvor medarbejdere er opmærksomme
- hvor tvivl bliver taget alvorligt
- og hvor der er en klar plan, hvis noget går galt
Du kan læse mere om phishing på følgende sider: