Malmös lärdomar från det sofistikerade nätfisketestet
Malmö stad fick stoppa ett internt nätfisketest efter att nästan en tredjedel av mottagarna av mejlet klickat sig vidare. Jessica Hülse, chef på it- och digitaliseringsenheten, understryker betydelsen av att fortsätta satsa på utbildningsinsatser. Att händelsen blev en stor sak i media hoppas hon ska bidra till att höja medvetenheten hos andra verksamheter runtom i Sverige.
– De digitala hoten försvinner inte. Därför måste vi våga testa och dra lärdomar av dessa testar för att kunna bli bättre. Att media rapporterade om utfallet av just vårt test får inte skapa en rädsla, utan det är tvärtom bra att diskussionen förs så att vi höjer medvetenheten, säger Jessica Hülse, chef på it- och digitaliseringsenheten, Malmö Stad.
En tredjedel klickade
Malmö stad genomförde under hösten 2024 tillsammans med KPMG ett nätfisketest för 3 500 av kommunens nästan 30 000 anställda, men som Sydsvenskan rapporterade fick kommunen avbryta testet när nästan en tredjedel av medarbetarna – 1 121 personer – hade klickat på den fejkade länken efter ett drygt dygn.
Testet utfördes utan vetskap från stadens it-support, som i sin tur gick ut med en varning på intranätet.
Enligt Sydsvenskan ligger genomsnittet för att gå i nätfiskefällan på runt 15 procent när svenska kommuner har gjort liknande test, men Jessica Hülse tycker att det är vanskligt att jämföra nätfiskeförsök på det sättet.
– Jag såg att man skrev om det, men tycker inte att man kan jämföra rakt av. Det handlar mycket om hur själva mejlet är utformat, hur språket är, och vem som är avsändare. I vårt fall handlade det om ett så kallat sofistikerat nätfiskemejl som var välgjort och skickat från våra interna verksamhetssystem. Generellt i samhället ser man att betydligt fler personer klickar på länkar i sofistikerade nätfiskemejl, vilket är en utmaning för alla verksamheter i Sverige i både offentlig sektor och i näringslivet, säger Jessica Hülse.
Åtgärder och nästa steg
Nätfisketestet bekräftade att Malmö Stad fortsatt behöver lägga ett stort fokus på den ”mänskliga sidan” av it-säkerhetsarbetet. Revisorskollegiet i kommunen rekommenderar bland annat att man genomför återkommande utbildningar för medarbetare och säkerställer uppföljning av informationssäkerhetsarbetet.
För Jessica Hülse kan det exempelvis handla om att man skapar en trygghet hos medarbetare att rapportera in misstänka mejl – mejl som ofta bygger på känslor och som ber användaren att göra något skyndsamt. Samtidigt krävs det att de rent tekniska it-säkerhetsdelarna hålls uppdaterade, med filtrering som gör att nätfiskemejl aldrig når användaren.
– Som för alla andra handlar det för oss om att hitta en bra balans mellan teknik och mänsklig kunskap. Det är en kombination av dessa båda som stärker vår motståndskraft.
Vad har nätfisketestet lärt er?
– Att den här typen av tester kan vara ett verktyg för att höja medvetenheten och kunskapen. Det måste finnas ett sammanhang runt dem, med ordentliga förberedelser och med en transparens om att sådana här tester förekommer. Därefter är det viktigt att man följer upp med insatser. Då fyller de en funktion, säger Jessica Hülse.
Läs mer om ämnet: