Universitetet bekämpar nätfisket proaktivt och reaktivt

Idag vet de flesta vad bedrägeriförsök via e-post, så kallat nätfiske (phishing eller whaling på engelska), är. Bedragaren utger sig för att vara någon annan och ber om hjälp eller meddelar att du måste göra något för att få behålla din mejl, lagringsutrymme eller dylikt genom att klicka på en länk, logga in och bekräfta din användning eller existens. Det de vill ha och samlar in är ditt användarnamn och lösenord.

– Dessa bedrägerier är oftast mycket välformulerade och svåra att avslöja. Om det är svårt att avgöra kan du alltid kontakta ITsupport@uu.se för hjälp att avgöra om det är ett korrekt brev eller begäran, säger Pelle Lindé, förvaltningsledare vid universitetsgemensam IT (UIT).

Vissa dagar är det lugnt på nätfiskefronten. Andra dagar är det många som drabbas och universitetet tvingas spärra många konton per dag.

– Om vi tittar på vad andra universitet, organisationer och företag drabbats av och de följderna, ser vi att riskerna är mer än höga arbetskostnader och avbrott i IT-tjänster. Det kan innebära att betala mycket stora lösensummor. Att tvingas betala bedragarna upp till flera hundra miljoner kronor för att få tillbaka våra data och IT-tjänster är inte en önskvärd situation. Vi vill göra väldigt mycket för att förhindra detta hos oss.

Svåra avvägningar om åtgärder

Vid den senaste större nätfiskeattacken mot Uppsala universitet, under veckan inför Kristi himmelsfärdshelgen i maj, var utmaningarna många. Med fyra dagar ledigt och utan personal på plats för reaktiva åtgärder behövde UIT dels planera inför eventuella allvarliga incidenter, dels noggrant planera proaktiva åtgärder för att minska risken att drabbas. Dessutom behövde UIT försöka begränsa riskerna om universitetet faktiskt skulle bli drabbat.

– Det var en svår avvägning att göra, att inte påverka våra användare negativt i onödan, men samtidigt skapa reaktionstid och förmåga i fall att något större skulle hända. Alla åtgärder har tyvärr en baksida.

Pelle Lindé förklarar att UIT då beslutade om att flytta upp varningsmeddelandet som visas i inkommande e-post. Meddelandet bytte även färg för att synas bättre.

– Vi satte också en begränsning att enskilda användare fick skicka max 100 e-postbrev per dygn under dessa lediga dagar. Detta för att skapa oss en större reaktionstid ifall något konto skulle bli kapat och användas för att skicka ut ännu mer skadlig e-post.

Det förbereddes också en så kallad aktionskedja, utifall personal skulle behövas beordras in.

– Vi säkerställde tillgång till rätt kompetens med rätt behörigheter och mandat att verkställa. Resultatet som jag kunde sammanställa efter den helgen var att vi hade lyckats mota bedrägerier och minska risker väldigt bra.

Att möta framtida risker

Det är stora utmaningar att planera för bemanning under ledig tid, vilket leder till frågan om hur universitetets förberedelser ser ut inför framtida liknande attacker, till exempel inför de stundande sommarsemestrarna.

– Vår IT-säkerhet är till stor del är reaktiv, men proaktiva automatiska åtgärder används där möjligheterna finns. Som e-koordinator IT för e-posttjänsten gör jag, inför såväl vanliga helger som långhelger samt semesterperioder, avvägningar om åtgärder. I bästa fall lyckas vi förhindra bedrägerier som i sin tur kunde ha inneburit stora konsekvenser för universitetet.

Även om vissa åtgärder ibland kanske kan innebära en lite omständligare vardag för universitetets medarbetare är det värt att tänka på att alternativen förmodligen är både jobbigare och, framförallt, dyrare.

– Vi försöker alltid att få ut information om åtgärder i förväg via medarbetaringången eller via IT-supporten. Ibland hinner vi inte i tillräckligt bra tid, men tillsammans tror jag att vi kommer att lyckas hålla bedragarna borta, säger Pelle Lindé.

Johan Ahlenius