Malmö stad avbröt säkerhetstest - 32 procent öppnade phishingmail

Säkerhet på internet borde vara mer utav i skolan. Det finns väldigt många områden att ta upp inom detta, datasäkerhet är bara en del.

Sedan folk gör misstag av olika anledningar, det går inte komma ifrån. Jag tycker mer fokus borde ligga på att ha planerat för det värsta. Om det blir totalt strömavbrott så blir det såklart störningar i de flesta verksamheter och det fungerar sämre, men alla verksamheter behöver inte vara såna att det är totalt utslaget. Där folk inte ens kommer in och ut genom dörren för den har ett elektronisk lås etc.
Om man bygger en lösning som fungerar fast all datateknik är nere, så kommer denna lösning bli ett mindre mål för ett dataangrepp.

När jag var liten så kunde strömmen vara borta i upp till 2 veckor. Folk hade verksamheter av olika slag, men de fixade så att de ändå kunde bedriva dessa utan ström så länge.
På exakt samma plats idag utan ström, ja de är lika handlingsförlamade som stadsbor. De har egen brunn som de ej kan få upp vatten från utan ström, de har en vedpanna som ej fungerar utan tillluftfläkt, de har ett värmesystem som ej självcirkulation fungerar på utan måste ha igång en cirkulationspump. De har kastat ut vedspisen så de ej kan laga mat utan ström, jordkällare för att förvara mat kallt utan ström har de låtit förfalla, nya hus har ej källare osv.
Exakt samma beteende är det på företag.

Jag är egentligen inte förvånad.
Har själv reagerat på att man får säkerhetsutbildningar där man lär sig att aldrig klicka på länkar samtidigt som man dagligen får mail från företaget, inkl it, som innehåller länkar att använda.
Våra kära bolag får lära sig att vara konsekventa.

Brukar inte diffa så mycket, tror vi tryggt kan utgå ifrån att det handlar om kunskapsnivå. Vilket borde väcka frågor om vilka man anställer till kommunal verksamhet med tanke på att en hel del hanterar känslig information.

Nja. Nu för tiden ser det mer eller mindre korrekt ut i phising mail (som slinker igenom mailtvätt), eller så är det ett äkta konto för någon som är kapad som används för att länka till något som ser ut som en teams-länk etc. Även länk-tvätt typ Vipres funktioner fungerar inte så bra utan det är bra mfa som behövs.

För att det du är utbildad inom är inom statlig/kommunal verksamhet. Typ Stadsplanering, Lärare/Skolledning, Sjukvård/MAS, Ekonomer/Jurister (lärde mig att i Jönköping heter/hette ekonomichefen "Generaldirektör" för att det var så sjukt omfattande på den gamla tiden - och var allt annat än lågutbildad).

Det är rätt många som har bra lön dessutom, det är en myt att du inte tjänar bra... speciellt inom större kommuner.

Det är jag fullt medveten ut och ändå får du inte samma resultat i andra verksamheter (under 10% där jag är nu t.ex.) som detta gav i malmö stad, så slutsatsen är den samma om kompetensnivå.

Håller med @evil penguin att det är ett realistiskt test och det är det man är ute efter.

Det finns många olika fishingkampanjer men att börja med falska lönebesked och förvänta sig nåt annat än katastrof visar på stor inkompetens. Att höja medarbetares medvetenhet kring fishing är ett mångårigt arbete och inget som sker över en natt. Huruvida det är realistiskt eller inte är orelevant om målet är en positiv utveckling över tid. Det här handlar om att öka medvetenhet och ändra på folks beteende. Det är svårt i de bästa av fall men extra svårt när det kan röra sig om människor under hård arbetspress och med en stor mängd mejl på daglig basis.

Malmö stad borde ha börjat med nåt enklare phishingmejl, utbildat de som klickar på länken och successivt ökat svårighetsgraden. Falska besked om bonus på lönen är att testa Elden Ring och börja med Malenia.

Praxis. Ordet du söker är praxis. Legio betyder stort antal.

Malmö <3 detta under av kommun

Jag håller med såtillvida att det är en problematisk strategi OM man verkligen börjat i den änden. Jag har ingen aning om vad de eventuellt gjort tidigare för att (i teorin) förbereda de anställda.

Problemet är ju att verkligheten alltmer strävar åt Malenia-svårighetsgrad (i din liknelse), så det är ju vad man behöver klara att hantera på ett eller annat sätt.

Det kan spela väldigt mycket roll för den enskilde. Tänk dig att du är HR-chef och klickar på länken i mailet och anger dina kontouppgifter. Den andra parten har nu i värsta fall tillgång till ALLT som du som HR-cher har tillgång till: personuppgifter, lönelistor osv.

Man bör inte få sparken vid ett sånt här tillfälle, men en fet reprimand första gången. Gör man det igen vid en riktig attack, ja då bör man få gå från sin roll.

Oftast, så används kontouppgifterna till att skicka ut spam (jobbade inom IT på ett bolag med 6500 anställda och det hände då och då att någons konto blev fiskat och användes i egenskap av spamutskick).

Det första jag lärde mig i JavaScript var att ändra texten för länkar i statusfältet

Tycker tyvärr även att många epostklienter (speciellt i mobilerna) är värdelösa på att skydda oss som användare.

Värst av allt är förhandsgranskningen som läser in dolda trackers och annat utan vidare.

10% är precis kass det med, total inkompetens.

Från Sydsvenskan:

"För att rusta de anställda mot kommande it-attacker har Malmö stad låtit en av världens största revisionsfirmor, KPMG, genomföra en fejkad it-attack. Testet är en phishing-attack där ett falskt e-postmeddelande skickas ut för att komma åt inloggningsuppgifter."

Jag tycker det låter som att detta är en engångsgrej och att simulerade phisingattacker inte är något man genomför regelbundet. Förmodligen för att det är dyrt och man har inte kompetensen att genomföra dem internt. Genomför man ett sånt här test utan att IT-avdelning är informerade är det ett tydligt tecken att IT inte är prioriterat och att IT-avdelningen har låg status.

Jag håller med att företag och myndigheter måste sträva efter att hantera avancerade attacker och inte bara "Du har vunnit en iPhone! Klicka här." Men du genomför inte simulationer för att veta om personalen behöver utbildning eller ej. Personal SKA ha regelbunden utbildning och simulationer ska genomföras som en del av detta. T.ex. att simulera en attack som använder QR-koder och sen ha obligatoriska onlinekurser redo för dem som misslyckas med testet. Det ska vara tydligt att alla förväntas avsätta arbetstid för dessa utbildningar och det ska gälla på alla nivåer hela vägen genom organisationen.

Jag vet inte vad Malmö stad sysslar med men för mig är tydligt att hela deras strategi kring IT-säkerhet är bristfällig.

låter nästan som vi jobbar på samma ställe.. xD

Jag är 58 och skaffade min första burk 1982, modemuppkopplad 1988. De som kommer ut idag i arbetslivet har sämre koll för de är vana med att allt bara funkar och nån annan ser till att det gör det när det skulle strula. Sen är det alldeles för få som har egen dator med egen kontroll idag. Idag får man en laptop i skolan som är rätt nedlåsta och när det strular går man till nån IT-tekniker på skolan som löser problemet. När de sen kommer ut i arbetslivet så får de en laptop där som jobbets IT-avdelning tar hand om när det strular. Så idag behöver man inte kunna mer än använda de program man förväntas använda och de flesta idag har inte dator hemma då de använder jobbet/skolans laptop privat och de spelintresserade kidsen sen lång tid tillbaka sitter på en ps/kryssbox men mest spelas det på mobilen... de är duktiga konsumenter inom IT men kunskaperna är låga. De som är i min ålder och inte har samma bakgrund har ändå varit med om dator som varit mer meckiga och har en viss skeptisk inställning som är nyttig.

Sen finns det förstås individuella skillnader inom respektive kategori men generellt saknas mycket grundläggande hos de yngre inklusive en nyttig misstänksamhet.

Haha, samma här.
Jag mailade HR direkt och skrev att så kan dom inte göra.
Sen började dom förvarna att det kommer ett mail som man ska trycka på