Hur Mads skapade medvetenhet om cybersäkerhet i DTU Biosustain

Cybersäkerhet, Kundcase

För DTU Biosustain är det avgörande att ha en stark cybersäkerhet. De gör forskning som potentiellt kommer förändra världen; därmed är de en stor måltavla när det kommer till hacking. Mads är personen som bär denna börda på sina axlar. Han måste se till att de som en organisation är skyddade. Vi har pratat med honom för att höra om hans tankar om cybersäkerhet, medvetenhet och hur han skapade en stopmotion video med en dansande Donald Trump för att skapa medvetenhet om nätfiske. Om du främst är intresserad av hur Mads och DTU Biosustain använder vår medvetenhetsträning, kan du klicka här för att hoppa rakt på sak. 

Vilka är DTU Biosustain?

    • Ett forskningscenter vid Danmarks tekniska universitet
    • 300 anställda från 40 olika länder 
    • Forskning: Hållbara kemikalier, naturprodukter & mikrobiell mat

Vem är Mads? 

Mads är IT-ansvarig vid DTU Biosustain.

A picture of Mads from DTU Biosustain

  • Mads Gleerup Christensen 
  • IT-ansvarig 
  • Bachelor of Science (BSc) från Roskilde universitet

Innehållsförteckning

Vilka är DTU Biosustain?

DTU är Danmarks tekniska universitet. De har mer än 6000 anställda som tillhör olika forskningscenter och forskningsinstitutioner. Vi has pratat med Mads som är IT-ansvarig vid DTU Biosustain, som är en av dessa forskningscenter. DTU Biosustain är ett team med 300 anställda. De finansieras av Novo Nordisk och forskar på hur man gör hållbara kemikalier med genetisk modifiering. De har deras egen cybersäkerhet men samarbetar självklart även med DTU i överlag.

IT-teamet vid DTU Biosustain 

Mads är den huvudsakliga IT-ansvarige vid DTU Biosustain. Mads har en kandidatexamen i bolagsstyrning och datavetenskap. Han gillade inte att programmera särskilt mycket, med det gav honom kunskap inom IT, vilket han nu kombinerar med den kunskap han har om de mänskliga aspekterna av företagskultur. Han ansvarar för ett litet team på fyra personer, inkluderat han själv. De är tre heltidsanställda och en studentmedarbetare. Mads är också IT-ansvarig för ytterligare en institution vid DTU som har ett liknande upplägg. Men i den här artikeln kommer vi endast fokusera på hans arbete vid DTU Biosustain, där han försöker skapa medvetenhet om vikten av cybersäkerhet.

Varför är cybersäkerhet viktigt?

Cybersäkerhet är viktigt för alla företag, men för ett center som DTU Biosustain är det avgörande. Mads säger att de förmodligen inte skulle kunna existera som de gör idag utan det.

 “Om vi inte arbetade med IT-säkerhet skulle allt vara annorlunda. Vi skulle förmodligen inte existera. Vi ser hur universitet och bioteknikföretag ständigt blir attackerade. Nyligen blev även vi attackerade, och det var endast tack vare våra vaksamma anställda som saker inte gick utför.”

Universitet har mycket uppgifter de måste skydda.

“Vi är ett forskningscenter som kan anlita forskare som är några av de bästa i världen. Deras forskning och den teknologi de använder sig av är banbrytande. Om deras arbete blir stulet eller om vi slösar bort forskarnas tid eftersom vår säkerhet inte var bra nog, det skulle vara riktigt illa.”

Eftersom DTU Sustain arbetar med de senaste forskningsstudierna, blir de en måltavla för många cyberattacker. De uppgifterna och kunskap de besitter har ett stort värde. Därför är det naturligt att de fokuserar på cybersäkerhet.

Var kommer hotet från?

Eftersom många cyberattacker är automatiserade och inte riktar sig mot något specifikt företag, är idag alla företag i riskzon för attacker. Vi ser däremot även många riktade attacker när det finns ett motiv för cyberkriminella. Detta är fallet för DTU Biosustain. Som Mads säger, de fruktar regeringar, hackers och många andra.

“Verkligheten är att vi är särskilt uppmärksamma på internationella IT-kriminella. Verkligheten är att efter varje gång våra medarbetare kommer hem från en konferens, måste vi rensa deras datorer och formatera de datorerna i en sandlåda. Vi vet att vi får skadlig programvara vart vi än går. Det är hemskt att tänka på.”

Vid DTU Biosustain måste de skydda varenda dator.

“I den utsträckningen behöver vi ha koll på vilka som går på konferenser och liknande. Det är viktigt att våra anställda vet att det här är verkligheten som de är en del av.”

På grund av dessa sortens hot är det uppenbart att cybersäkerhet inte endast är ett tekniskt problem vid DTU Biosustain, det är en fråga som likaväl handlar om anställda och deras beteende.

Att vara ett universitet är en stor utmaning

Eftersom DTU är ett universitet, har Mads som IT-ansvarig stora utmaningar som många andra företag inte står inför.  Att vara ett universitet innebär nämligen att många människor går in och ut ur byggnader varje dag.

“Till exempel har Novo Nordisk en otroligt hög säkerhetsnivå, där anställda inte kan göra något själva på sina datorer eller har tillgång till något annat än vad de behöver. Men här är vi ett universitet med fri tillgång till byggnaderna från gatan. Under dagtid behöver man inte ens ett nyckelkort. Och det är det samma med stora delar av vår IT-infrastruktur.”

DTU Biosustain har många användare som behöver tillgång till många saker. Det här gör det svårt att skydda centrets system, och därmed är det ännu viktigare att användare och anställda är uppmärksamma.

Tekniska lösningar och medvetenhetsträning går hand i hand

Traditionellt sett anses cybersäkerhet vara en uppgift för IT-avdelningen. Förr i tiden handlade cybersäkerhet om att ha en god IT-infrastruktur, starka brandväggar, anti-virussystem och alla slags tekniska skydd du kunde hitta. På många sätt stämmer detta fortfarande, men inte fullständigt. Med den ständigt ökade användningen av digitala redskap i våra dagliga liv, har vi alla blivit en stor del av cybersäkerheten. Det här är något som även Mads bekräftar.

“Vi köper alla de bästa systemen. Därmed är det alltså sällsynt att nätfiske- och hackerattacker lyckas med sina försök. Men...när något slinkar sig igenom det här försvaret är allt som krävs en person som klickar på en ZIP-fil och sedan sprider sig den skadliga programvaran. Eller kanske ger någon ut deras användarnamn och lösenord till någon, vem vet vem.”

DTU Biosustain spenderar mycket pengar på tekniska lösningar, men det räcker inte. De måste utbilda sina anställda.

“Vi har så många bra system som det finns, men om inte alla av oss har samma grundnivå och kan skilja mellan det bra från det dåliga, då kommer de inte hjälpa.”

Låt oss därmed ta en närmare titt på medvetenheten hos DTU Biosustain.

Hur DTU Biosustain använder medvetenhetsträning

DTU Biosustain har olika initiativ för att skapa medvetenhet i företaget. De använder CyberPilots medvetenhetsträning, de har en del fysisk medvetenhet och Mads har skapat en medvetenhetsvideo om nätfiske. Vi kommer att beröra alla tre initiativ.

CyberPilots medvetenhetsträning 

Den första delen av medvetenhetsträningen i DTU Biosustain utgörs av vår medvetenhetsträning. De anställda i DTU Biosustain tar del av våra kurser om GDPR och cybersäkerhet ungefär var annan månad för att sprida medvetenhet om ämnen såsom nätfiske, lösenord, personuppgifter och mycket mer. För att komma ikapp, tar nya anställda även del av en mängd kursen som en del av deras onboarding.

En kvinna testar gratis kurser i medvetenhet på sin dator

Medvetenhetsträningen är inkluderande och icke-dömandehe  

Mads tycker att medvetenhetsträningen fungerar bra.

“Generellt tycker jag att medvetenhetsträning som koncept är briljant. Jag tror att många av våra medarbetares IT-kunskaper är under den nivå som vi förväntar oss. För mig är det kul att se att vi i IT-avdelningen kan öka kunskapsnivån.”

Mads tror att konceptet fungerar bra, men det finns många leverantörer som erbjuder medvetenhetsträning. Så varför valde han CyberPilot?

“Jag tycker att det ni gör är väldigt bra. För det första, det berättar en historia. Det är inte nedlåtande. Det värsta är när människor känner att IT-avdelningen talar nedlåtande till dem. Det är när de säger: ’Jag känner mig korkad när jag kommer till ditt kontor och ställer frågor, och du sitter bara sitter där med ditt World of Warcraft-hår.’ Jag vill att alla ska känna sig välkomna."

Mads nämner däremot också att nivåerna på kurserna är såklart för låg för vissa människor, men att det inte är ett problem:

“Självklart kan vissa människor redan svaren och för dem är kurserna lite för enkla. Man kanske förlorar deras intresse, men de har redan en hög nog kunskapsnivå om cybersäkerhet. För de som inte har lika hög kunskapsnivå tycker jag att eran medvetenhetsträning är precis rätt. Jag har aldrig fått någon negativ feedback från någon av dem.”

Vår medvetenhetsträning går ut på att skapa medvetenhet och förbättra den grundläggande kunskapsnivån om cybersäkerhet i företag.

Medvetenhetsträning leder till synbara förändringar

En svår del av medvetenhetsträning är hur man mäter dess effekt. Vi älskar alltid data för att bevisa påverkan, men det är svårt att samla in när det gäller något så abstrakt som cybersäkerhetskultur och kunskap. Mads är däremot säker på att träningen hjälper.

“Medvetenhet funkar! Det vet jag utan att jag har några siffror som stödjer det och utan att alls ha någon slags bas för att säga det förutom min magkänsla.”

Senare i vår konversation visade det sig att Mads faktiskt har några mätningar som kan stödja det, det är bara det att de är mer kvalitativa än kvantitativa.

“Jag brukade få ett mejl från kanske en person som sa ’Jag har fått det här e-postmeddelandet, och min medarbetare har också fått det. Är det ett riktigt mejl eller är det ett nätfiskemejl?’ Nu får jag flera mejl varje gång ett mejl är i cirkulation. Även om det är ett mejl som verkar äkta som om det kom från en person från DTU, skriver folk till mig ’Saken som den här personen är lite konstig. Är det en av de mejlen som vi blev varnade för av CyberPilot?’”

Upplevelser som dessa visar på effekten av medvetenhetsträning. Mads hade ytterligare ett exempel på hur hans arbetsliv till och med har blivit enklare, eftersom han inte behöver kommunicera till alla när ett nätfiskemejl är i cirkulation.

“Jag brukade skriva: ’Det här mejlet är i cirkulation.’ Det behöver jag inte göra längre. Människor är medvetna.”

Det verkar som medvetenhetsträning fungerar.

Hur är det med nätfisketräning?  

Efter att ha tagit del av medvetenhetsträningen ett tag, genomförde DTU Biosustain även en nätfiskekampanj som en del av nätfisketräning. Kampanjen var användbar, men Mads önskade faktiskt att de hade genomfört en innan träningen började för att ha det som baseline.

“Jag fick snabbt mejl om att ägaren till avsändardomänen var CyberPilot. Så de var snabba på att genomskåda det. Jag hade önskat att vi hade gjort en innan träningen, för att ha det som grund till våra insatser. Men det är ett bra tecken att de genomskådade det. Jag tror det är på grund av medvetenhetsträningen.”

Det här visar hur nätfisketräning kan användas för att komplettera träningen och också användas som baseline för medvetenhetsträningens inverkan. Av att genomföra nätfisketräning får du konkreta siffror på hur du som företag utvecklas när det kommer till att upptäcka nätfiskemejl.

Den kanske behöver något lite extra

Mads hade faktiskt ingen negativ återkoppling att ge om medvetenhetsträningen, förutom att han personligen tyckte att den skulle tjäna på att vara lite mer vass eller trendig, men samtidigt förstår han att träningen är utformad för den stora massan.

“Det är en personlig preferens. 98% av människor kanske inte vill att den ska vara mer vass, men jag tycker att ni skulle kunna ge den något lite extra. Men samtidigt har jag själv inget att förlora. Jag kan bara bli sparkad eller utskälld lite. Ni har ett företag att bedriva där ni måste säkerställa att ni inte förolämpar någon.”

Som tur är kan du alltid ta saken i egna händer, vilket är precis vad Mads gjorde. Han skapade sin egen medvetenhetsvideo om nätfiske och i den kunde han göra innehållet så vasst och trendigt som han önskade. Men innan vi går närmare in på det vill jag prata om hur Mads skapade lite fysisk medvetenhet för att stödja medvetenhetsträningen.

Fyskisk medvetenhet för att öka träningsnärvaron

Utöver CyberPilots medvetenhetsträning har Mads också startat andra initiativ för att skapa medvetenhet. Till exempel har han hängt upp posters på väggen.

 “Jag började med några stora posters. De hade någon slags halvt provocerande text, inget ont, men slående och med fin grafik.”

Mads skapar också medvetenhet när medarbetare glömmer bort att genomföra kurser. Han vidtar åtgärder om han märker att närvaron minskar något.

“När jag ser att närvaron är lite låg, då ber jag medarbetare att sprida lite flygblad om det faktum att de måste komma ihåg att genomföra kurserna. Eftersom de inte vill läsa en massa e-mejl från mig, måste jag göra något annat. Till exempel skapade jag ett flygblad om det faktum att Mærsk förlorade 2 miljarder (d.kr.) när de hade driftstopp eftersom någon klickade på en länk i ett mejl. Den här typen av exempel är bra för att påminna människor om hur viktigt det är. De kan förlora sin forskning och sina patent. Jag gör dem bara medvetna, och det fungerar. Under en tid ser jag ett uppsving i att folk tar kurserna, och sedan är det dags för ett nytt flygblad.”

Få vill frivilligt gå kurser i cybersäkerhet, de vill bara fortsätta med sina dagliga arbetsuppgifter. Så ibland måste man påminna folk om varför de bör gå kurserna.

IT-avdelningen borde vara en trygg plats – inga dumma frågor

Den sista delen av fysisk medvetenhet är att vara närvarande och prata med anställda. Människor måste känna att de alltid kan ställa frågor.

 “Det har varit enormt viktigt för oss att säga till folk: ’Du borde inte vara rädd ifall du klickar på något. Det är bara att komma ner och prata med oss, vi kommer lista ut vad vi ska göra.’ De känner sig bekväma eftersom det nu har blivit en del av deras liv. Det är inte en okänd sak där de tänker att de kanske blir avskedade eller tillrättavisade av deras chef. Cybersäkerhet är nu en del av deras vardag.”

Poängen som Mads gör är avgörande för att skapa en stark cybersäkerhet. Om dina anställda är bekväma med att vända sig till dig ifall något har hänt, har du en större chans till att snabbt och effektivt vidta åtgärder. Såklart är det också bättre att ha en arbetsmiljö där alla känner sig trygga. Det är var cybersäkerhet i grunden handlar om.

Se DTU Biosustains egna medvetenhetsvideo 

Som tidigare nämnt ansåg Mads att medvetenhet om cybersäkerhet kan bli lite trendigare, så vad gjorde han? Han skapade sin egen video tillsammans med en skicklig stopmotion animatör vid namn Rolf. Men varför gjorde han det? Vad krävs det för att göra din egen video, och hur fungerar det?

Innan vi svarar på dem frågorna, låt oss först kolla på videon:

Ett svar på ökning av nätfiskeattacker 

Nätfiskeattacker är ett verkligt hot för DTU Biosustain. Framförallt några år tillbaka, när spamfilter inte var lika bra som de är idag, attackerades centrets personal ofta. Det här var huvudanledningen till att skapa videon:

“Vi utsattes för många nätfiskemejl. VÄLDIGT många. Det var en stor utmaning och inte alla anställda var medvetna om hur de skulle reagera på det stora internet och de hot som medföljer.”

Videon ska vara en snabb påminnelse, en fix, en adrenalinshot för att få människor att komma ihåg faran med nätfiskemejl.

“Det är som när man ger sin flickvän rosor. Efter några dagar börjar de vissna och hänga lite. Då ger man dem lite varmt vatten och de höjer upp sina nackar en än gång. Det här projektet var tänkt att väcka människor och säga ’HEJ!’”

Det här var inte den enda anledningen till att göra videon, då Mads erkänner att det var också för skoj skull.

“Kanske var det också lite av ett själviskt projekt eftersom jag tyckte att det var roligt att göra. Men det var främst för att skapa en väckarklocka och att ha en chans till att leka med stereotyper som finns där ute. Det borde vara lite kul medvetenhet.”

Och varför inte ha kul medan man skapar medvetenhet?

Hur Mads skapade videon 

Mads började med att fråga en massa reklambyråer, men de ville alla ha 500 000 d.kr. för en video plus 250 000 d.kr. för enkäten som i efterhand skulle mäta effekterna. Man kan säkert säga att det här inte var den omfattning som speglade Mads arbete. Han hade 300 anställda som han hoppades skulle knacka på hans dörr och säga, “vilken rolig video” och att de i efterhand skulle prata om den medan de stod vid kaffemaskinen. Du förstår, inget stort.

Mads träffade Rolf och då föddes idén

Så, vad gör du om du inte vill spendera en halv miljon? Mads kom att tänka på en kille han tidigare hade träffat som hette Rolf.

“Jag hittade den här killen som gjorde videos. Jag tycker han är totalt galen och extremt kreativ. Han använder många prylar och små saker som han hittar överallt. Han gjorde medvetenhetsvideor åt DTU om byggarbetsplatser och farorna med att vara på sådana, så jag ringde honom.”

Mads kom att tänka på honom och visste vad som behövde hända härnäst. Rolf skulle göra videon om nätfiske.

Det kräver mycket arbete 

Därefter skapade Mads en storyboard och skickade den till Rolf, som bidrog med sin personliga touch. Idén var att göra den rolig, provocerande och fokuserad på ämnen som DTU Biosustain kommer i kontakt med i deras dagliga cybersäkerhetsliv.

“Vi skapade en storyboard med alla de saker vi oftast ser. Sedan förenklade Rolf den eftersom ingen vill se på en 15 minuter lång video med pratande huvuden. Men i grund och botten var det vår tanke, att beröra de saker som vi är mest utsätta för och att åtminstone få några personer att skratta.”

Men de hade en bra bit kvar. Rolf jobbade på filmen under sin fritid, eftersom han hade ett annat heltidsjobb. I slutändan tog det ett helt år att skapa video.

“Det han håller på med är stopmotion. Han sitter i ett kallt garage nära den tyska gränsen och gör sin grej. Det tar mycket tid, och min chef skällde ut mig för att jag inte drev på honom, men jag är rätt säker på att folk inte heller drev på Michelangelo när han målade Sixtinska kapellet. Kreativitet tar tid.”

Även om du inte betalar reklambyråer en halv miljon, kostar det pengar och tid att skapa dina egna videor.

Videon kom till liv 

Efter ett år var videon redo för att ses av andra. Den publicerades på DTU Biosustains intranät och när de märker en ökning av nätfiskeattacker, skickas den återigen ut i deras veckonyhetsbrev. Den används däremot inte lika mycket som Mads skulle önska. Kanske beror det på hur provokativt slutresultatet blev. Han är lite rädd för reaktionen hos högsta ledningen.

“De kanske tänker: ‘Mads din idiot... Spenderade du pengar på det där?‘”

Mads är inte orolig för att förlora sitt jobb, men han är medveten om att videon kanske skapar en stark reaktion.

Den har fått positiv feedback

Även om Mads var lite nervös över att visa videon för alla, har feedbacken endast varit positiv. 

Mads tillägger:

“De kanske säger, ‘Jävlar, det är dumt’, men samtidigt pratar de om nätfiske. En annan kanske säger ‘Jag från Östeuropa, varför ska jag bli porträtterar på det här sättet?’, men då kan jag säga ‘Förlåt’, men i slutändan blir ingen riktigt förolämpad eftersom de förstår hur verkligheten ser ut. Sanningen är att vi fruktar internationella IT-kriminella.”

Om videon får människor att prata är nätfiske, kan man se det som en vinst. Det skapar medvetenhet om hotet och höjer chansen för att människor kommer upptäcka nästa nätfiskemejl i deras inkorg. Så pengarna är väl använda. 

Kanske borde ditt företag också göra sin egen nätfiskevideo.

3 tips för andra företag 

Jag frågade Mads om han hade 3 tips för andra företag som han kunde dela med sig av. Han kunde mer eller mindre göra det, men nämnde att det mer troligt är ett enda stort råd istället. Som han själv uttryckte det: 

“Om du kan klämma ur 3 olika råd från det, då är det det.”

Så jag antar att jag kommer försöka.

Tips 1: Ha en stark teknisk grund 

Det första rådet är att du måste ha tekniska lösningar som hjälper din cybersäkerhet.

Den tekniska delen är viktig, men Mads säger även att det inte är tillräckligt, eftersom om 2-3% kommer igenom kan det vara farligt, vilket tar oss vidare till nästa råd.

Tips 2: Din säkerhet är inte starkare än din svagaste användare 

Dina tekniska lösningar kan inte leva utan medvetna anställda

“Din säkerhet är inte starkare än din svagaste användare eller någon som har haft en stressig dag och därmed klickade på en länk eller loggade in på fel hemsida.”

Mads budskap är lätt att förstå. Du måste få dina anställda medvetna om hoten så att de kan undvika att göra misstag. Det tredje rådet är en del av det här, men för att få ihop 3 tips måste jag fuska lite.

Tips 3: Skapa en hälsosam cybersäkerhetskultur 

Det tredje rådet från Mads är att skapa en atmosfär där anställda inte är rädda för att erkänna potentiella misstag. Det är en sak att ha medvetna anställda, men en helt annan sak när dessa anställda litar på att de kan komma till IT-avdelningen om något går fel utan att vara rädda eller bli straffade.

“Du behöver ha en omfamnande kultur för allas olika IT-kunskapsnivåer eftersom det värsta är när någon är rädd för att komma till dig, och försöker istället gömma att de har delat någon slags information eftersom de skäms.”

Alla de här 3 råden är saker som vi på CyberPilot kan stödja, eftersom vi 100% håller med om allt.

Säkerhetsarbetet om 5 år

Hur ser Mads att säkerhetsarbetet kommer se ut om 5 år? Eller hur hoppas han att det kommer se ut? Det var min sista fråga, och det är tydligt att Mads uppfattar användarna som en avgörande del av cybersäkerhet. Hans önskan för framtiden är att se mer användarengagemang i arbetet med cybersäkerhet, precis som designers är en del av designprocesser. Han vill sätta sig ner med användarna och ta del av hur de använder olika program och system. Det kommer det möjligt för honom att kommunicera och skapa cybersäkerhetsstrategier som passar medarbetarnas vardag. 

“Vi måste tänka på den mänskliga aspekten i allt vi gör. Jag hoppas att vi gör det i mycket större utsträckning om 5 år, så att vi verkligen förstår behoven och kan anpassa vår cybersäkerhet och medvetenhet efter de behoven.”

Låt oss bara säga att vi har samma förhoppningar. Cybersäkerhet borde inte göra det svårare för människor att utföra sitt arbete, utan vara något som är enkelt att implementera i det dagliga arbetslivet.

Skapa medvetenhet i ditt företag 

En stark cybersäkerhetskultur är viktigt. Precis som DTU Biosustain och Mads visade oss finns det många sätt att skapa detta på. Du kan till exempel skapa videos eller posters, prata med anställda eller skapa ett träningsprogram i medvetenhet. Om du vill prova vår medvetenhetsträning gratis, kan du göra det redan nu.  

En kvinna testar gratis kurser i medvetenhet på sin dator