Hvor god er du til å identifisere phishing?
Helse Sør-Øst tar i bruk spillifisering (gamification) for øke bevisstheten rundt phishingangrep ved helseforetakene.
Angrep via e-post forekommer hyppig både i offentlige og private virksomheter, også mot privatpersoner. Angrepene blir mer og mer sofistikerte, og i en travel hverdag er det fort gjort å åpne et vedlegg eller trykke på en lenke man ikke burde trykket på.
Gjennom verktøyet Hoxhunt skal sikkerhetskompetansen i helseforetakene økes gjennom simulerte e-postangrep. Verktøyet sender ut e-poster til ansatte som tar i bruk kjente metoder fra phishingangrep. De ansatte kan enkelt rapportere mistenkelig mail via en egen knapp i Outlook og score poeng. Dersom man klikker på noe man ikke skulle gjort, vil man komme til et nettsted som forteller hvordan man skal avsløre akkurat den typen e-postsvindel.
Dersom ansatte rapporterer reelle phishingangrep med den dedikerte knappen, vil e-posten bli videresendt til en mailboks som blir fortløpende gjennomgått.
Eksempel på mail fra Hoxhunt.
– Mer effektivt enn årlige kurs
Verktøyet har allerede vært i bruk hos Sykehuspartner HF siden høsten 2020 og hos Helse Sør-Øst RHF siden høsten 2021 med svært gode tilbakemeldinger.
– Opplæring og arbeid med informasjonssikkerhetskultur er et viktig område for å etterleve krav i mål og strategi for informasjonssikkerhet, sier informasjonssikkerhetsleder i Helse Sør-Øst, Øyvind Grinde, og fortsetter:
– Hovedmålet er å unngå at ansatte blir lurt av falske e-poster. Kort og hyppig trening som dette er mer effektivt enn årlige kurs. Ansatte har gitt gode tilbakemeldinger på at opplæringen har et element av spill og konkurranse, påpeker Grinde.
Skjermdump av dashboardet i Hoxhunt hvor ansatte kan se hvordan de ligger an i den interne konkurransen.