“Vid ett granskning i oktober skickades testmejl ut till 2 327 medarbetare i Lunds kommun. En av tre lurades att klicka på en länk.
Lunds kommundirektör, Christoffer Nilsson, har inte hunnit läsa rapporten när Sydsvenskan berättar om resultatet.
– Jag är förtvivlad om det är de siffrorna. Det är inte bra om vi är så lättlurade. Sedan vet jag inte om vi är sämre än andra kommuner, men vi har en stor utvecklingsresa att göra, säger han.
Enligt revisionsföretaget EY, som genomfört granskningen, lämnade kommunanställda ifrån sig personliga lösenord och hade alldeles för dålig koll på informationssäkerheten.
”Lunds kommun ligger på en nivå markant under det man bör förvänta sig av en kommun av denna storlek och karaktär”, konstaterar EY.
– Det är skrämmande många klick och skrämmande att väldigt många fyller i sina uppgifter. It-säkerheten bland medarbetarna måste helt klart stärkas, säger Lars Trägen (L) är ordförande i kommunrevisionen i Lund, som beställt rapporten.
Testmejlet som skickades ut var inte avancerat i phishing-sammanhang. Det var ett meddelande om att medarbetarens inkorg var full och att nya meddelanden inte kunde skickas eller tas emot. ”Vänligen klicka här för att lägga till mer utrymme till ditt konto”, stod det sedan.
En av tre följde lydigt instruktionerna och klickade sig vidare. Sämst var de anställda på stadsbyggnadskontoret som klickade på över hälften av de falska e-postmeddelandena. På tekniska förvaltningen klickades 45 procent av mejlen och på övriga förvaltningar runt var tredje mejl.
Miljöförvaltningen var ett lysande undantag. Där klickade ingen på länken, men dit skickades å andra sidan endast 7 mejl.
De som klickade i mejlet kom till en förfalskad kopia av kommunens inloggningssida där de uppmanades att logga in med sin mejladress och sitt lösenord.
Nästan var femte mottagare lät sig luras hela vägen. Av 2 327 mottagare fyllde 436 i alla uppgifter. Deras lösenord hade kunnat användas av hackare för att skada kommunens it-system.
En fullbordad phishing-attack kan få stora konsekvenser. Kalix kommun är det senaste exemplet. Där började den 16 december med att en driftsstörning upptäcktes i kommunens it-system. Det visade sig sedan att hackare låst systemet och krävde en lösensumma för att låsa upp det.
Attacken ledde till stora problem, bland annat påverkades löneutbetalningar. Det fanns också akuta problem för hemtjänsten som inte kom åt medicinlistor och journaler. Att bygga upp alla system på nytt kan ta flera månader.”
Med tanke på att folk som jobbar på it-avdelningar går på liknande mail är det kanske inte så förvånande, men visar tydligt på vilka säkerhetshål som finns.
Vi hade en obligatorisk IT kurs som kom i delar via webben, men då vi på min avdelning inte direkt jobbar med något IT så orkade jag inte bry mig. Störde mig mest på det hela (gjorde inget obligatoriskt men ingen har hört av sig).
De skickade också ut ett phising test, vilket var uppenbart. Men passade ändå på att klicka på länken delvis för att statstiken skulle visa det.
​
Vi är en avdelning som använder enbart våran mail till att få inbjudan till brandövningar och skiftmöten (så 2-3 ggr per år), men vart tvungen att byta lösenord var 3:e månad för säkerhetens skull. Så var skapligt irriterad på vår IT då
Lol, boomers?
Shit, jag gick på detta och klickade på länken i OP och kom till en sida som frågade om mina betaluppgifter och nu har det dragits pengar från mitt konto! Är det kört nu??
Jag jobbar på en IT avd för en kommun och så här hade det nog garanterat sett ut för oss också. Det är skrämmande vad man stöter på dagligen, förstår inte hur folk inte blir ID kapade konstant privat
det e fan inte okunskap som gör detta, det är ren jävla lathet och ovilja att tänka efter
dom borde alla få en varning från arbetsgivaren likt för ordervägran
Varför försöka hacka jobbiga system när man kan använda den svagaste länken.
8 comments
“Vid ett granskning i oktober skickades testmejl ut till 2 327 medarbetare i Lunds kommun. En av tre lurades att klicka på en länk.
Lunds kommundirektör, Christoffer Nilsson, har inte hunnit läsa rapporten när Sydsvenskan berättar om resultatet.
– Jag är förtvivlad om det är de siffrorna. Det är inte bra om vi är så lättlurade. Sedan vet jag inte om vi är sämre än andra kommuner, men vi har en stor utvecklingsresa att göra, säger han.
Enligt revisionsföretaget EY, som genomfört granskningen, lämnade kommunanställda ifrån sig personliga lösenord och hade alldeles för dålig koll på informationssäkerheten.
”Lunds kommun ligger på en nivå markant under det man bör förvänta sig av en kommun av denna storlek och karaktär”, konstaterar EY.
– Det är skrämmande många klick och skrämmande att väldigt många fyller i sina uppgifter. It-säkerheten bland medarbetarna måste helt klart stärkas, säger Lars Trägen (L) är ordförande i kommunrevisionen i Lund, som beställt rapporten.
Testmejlet som skickades ut var inte avancerat i phishing-sammanhang. Det var ett meddelande om att medarbetarens inkorg var full och att nya meddelanden inte kunde skickas eller tas emot. ”Vänligen klicka här för att lägga till mer utrymme till ditt konto”, stod det sedan.
En av tre följde lydigt instruktionerna och klickade sig vidare. Sämst var de anställda på stadsbyggnadskontoret som klickade på över hälften av de falska e-postmeddelandena. På tekniska förvaltningen klickades 45 procent av mejlen och på övriga förvaltningar runt var tredje mejl.
Miljöförvaltningen var ett lysande undantag. Där klickade ingen på länken, men dit skickades å andra sidan endast 7 mejl.
De som klickade i mejlet kom till en förfalskad kopia av kommunens inloggningssida där de uppmanades att logga in med sin mejladress och sitt lösenord.
Nästan var femte mottagare lät sig luras hela vägen. Av 2 327 mottagare fyllde 436 i alla uppgifter. Deras lösenord hade kunnat användas av hackare för att skada kommunens it-system.
En fullbordad phishing-attack kan få stora konsekvenser. Kalix kommun är det senaste exemplet. Där började den 16 december med att en driftsstörning upptäcktes i kommunens it-system. Det visade sig sedan att hackare låst systemet och krävde en lösensumma för att låsa upp det.
Attacken ledde till stora problem, bland annat påverkades löneutbetalningar. Det fanns också akuta problem för hemtjänsten som inte kom åt medicinlistor och journaler. Att bygga upp alla system på nytt kan ta flera månader.”
Med tanke på att folk som jobbar på it-avdelningar går på liknande mail är det kanske inte så förvånande, men visar tydligt på vilka säkerhetshål som finns.
Vi hade en obligatorisk IT kurs som kom i delar via webben, men då vi på min avdelning inte direkt jobbar med något IT så orkade jag inte bry mig. Störde mig mest på det hela (gjorde inget obligatoriskt men ingen har hört av sig).
De skickade också ut ett phising test, vilket var uppenbart. Men passade ändå på att klicka på länken delvis för att statstiken skulle visa det.
​
Vi är en avdelning som använder enbart våran mail till att få inbjudan till brandövningar och skiftmöten (så 2-3 ggr per år), men vart tvungen att byta lösenord var 3:e månad för säkerhetens skull. Så var skapligt irriterad på vår IT då
Lol, boomers?
Shit, jag gick på detta och klickade på länken i OP och kom till en sida som frågade om mina betaluppgifter och nu har det dragits pengar från mitt konto! Är det kört nu??
Jag jobbar på en IT avd för en kommun och så här hade det nog garanterat sett ut för oss också. Det är skrämmande vad man stöter på dagligen, förstår inte hur folk inte blir ID kapade konstant privat
det e fan inte okunskap som gör detta, det är ren jävla lathet och ovilja att tänka efter
dom borde alla få en varning från arbetsgivaren likt för ordervägran
Varför försöka hacka jobbiga system när man kan använda den svagaste länken.