Granskning av universitetets IT-säkerhetskultur

Av jean [dot] odgaard [at] irev [dot] lu [dot] se (Jean Odgaard) - publicerad 23 november 2023

E#n kvinna och en man som sitter framför en datorskärm.

1100 medarbetare och utvalda prefekter vid Lund universitet har i dagarna blivit föremål för ett iscensatt nätfiske och försök till bedrägeri via telefonsamtal. Aktiviteterna är en del av internrevisionens granskning av universitetets informations- och IT-säkerhetskultur.

En viktig pusselbit i en organisations informations- och IT-säkerhetsarbete är medarbetarnas agerande.

– Tekniska åtgärder är inte tillräckliga utan det är ofta den mänskliga faktorn som blir ”dörröppnare” för cyberbrottslingar och skapar informations- och IT-säkerhetsrisker. Därför granskar Lunds universitets internrevision under 2023 universitetets informations- och IT-säkerhetskultur, Jean Odgaard, revisionschef på internrevisionen.

Granskningen görs genom ett antal olika aktiviteter under hösten 2023. Ett par av aktiviteterna är inriktade på att få en bild av hur säkerhetsmedvetna universitetets anställda är. Därför har internrevisionen anlitat en extern IT-säkerhetsexpert som i gemensamt arbete med internrevisionen har iscensatt ett nätfiske (så kallat phishing) via e-post den 15 november samt försökt till bedrägeri via telefonsamtal (så kallad vishing) den 20 till 22 november.

Resultatet ska analyseras

Aktiviteterna är nu avslutade och internrevisionen kommer att ta del av och analysera resultatet. Resultatet och analysen av den, samt rekommendationer om förbättringar, kommer att redovisas i internrevisionens samlade rapport från granskningen till universitetsstyrelsen. I nästa steg tar förbättringsarbetet vid.

– Syftet med de iscensatta aktiviteterna har inte varit att peka ut enskilda medarbetare, chefer eller funktioner utan vi ville få ett resultat för hela Lunds universitet. Vi kommer inte titta på hur enskilda personer eller delar av organisationen har agerat, säger Jean Odgaard.

– Vi såg att det var många inom universitetet, både chefer och medarbetare, som var vaksamma och direkt både reagerade och agerade på aktiviteterna. Det är mycket positivt.

– De stora kontaktytorna som ett universitet har utnyttjas i allt högre utsträckning av fientliga intressen som är ute efter att stjäla, förvanska eller förstöra till exempel forskningsdata. Det är ofta den mänskliga faktorn som avgör om dessa intressen får åtkomst till data. En god IT-säkerhetskultur förutsätter att samtliga användare är medvetna om risken att de kan bli utsatta för bedräglig kommunikation, säger Therese Kropp, internrevisor och ansvarig granskningsledare.

Granskningsrapporten kommer att publiceras när den är färdig.

Läs mer:

Var uppmärksam på cyberattacker | Medarbetarwebben (lu.se)

Information om aktiviteterna

Den 15 november skickades ett e-postmeddelande ut till 1100 medarbetare på Lunds universitet. Avsändare var en för ändamålet skapad adress och i meddelandet fanns information kopplad till universitetets nyligen genomförda byte av bank för löneutbetalningar. I meddelandet fanns en länk som medarbetarna ombads klicka på för att komma till en webbsida där de ombads fylla i användarnamn och lösenord. Såväl e-postmeddelandet som webbsidan var riggad av den externa IT-säkerhetsexperten.

Den 20–22 november fick utvalda prefekter inom Lunds universitet ett telefonsamtal från någon som uppgav sig komma från ekonomiavdelningen på universitetet. Samtalet följdes upp av ett e-postmeddelande med en länk som de ombads klicka på och fylla i sina uppgifter på webbsidan. Såväl e-postmeddelandet som webbsidan var riggad av den externa IT-säkerhetsexperten.