CFCS opdager fejl i phishing-test: Halvt så mange myndigheder som først antaget gik i fælden
Det var ikke korrekt, da Center For Cybersikkerhed (CFCS) konkluderede, at hver anden modtager blandt omkring 30 danske myndigheder og virksomheder var hoppet i phishing-fælden under en national kriseøvelse tidligere i september.
Det fremgår af et mailsvar fra CFCS’s pressefunktion, efter at Version2 har spurgt ind til flere detaljer i undersøgelsens resultater.
CFCS afholdt en phishing-øvelse i forbindelse med den nationale krisehåndteringsøvelse, som fandt sted i september, og resultaterne blev meldt ud i sidste uge.
Under øvelsen sendte CFCS fingerede phishing-mails ud til en række myndigheder og organisationer, som frivilligt havde meldt sig til øvelsen.
Efter øvelsen konkluderede CFCS oprindeligt, at »omkring halvdelen« af de »omtrent 30 myndigheder og virksomheder«, som deltog i øvelsen, havde klikket på phishing-linket, og de var dermed hoppet på limpinden.
Men de resultater viser sig nu at være forkerte.
I en mail til Version2 oplyser CFCS, at man har »revideret succesraten for phishing-forsøgene i nedadgående retning til en succes på lidt over 25 procent mod det tidligere tal på knap 50 procent.«
»I alt 8 organisationer blev dirigeret over på 'malware'-siden,« skriver efterretningstjenestens pressevagt i mailen til Version2.
Dubletter i datamateriale
Årsagen til, at efterretningstjenesten i første omgang meldte forkerte resultater ud, er ifølge presseafdelingen hos CFCS, at der var fejl i datamaterialet fra øvelsen.
»Revisionen skyldes, at der var dubletter i det første talsæt,« lyder det i mailen til Version2.
Version2 har også spurgt ind til, hvilke myndigheder og virksomheder der deltog i øvelsen, hvor mange modtagere CFCS havde regnet med ville klikke på linket i øvelsen, og hvad CFCS har opfordret deltagerne til at gøre fremover.
Hertil oplyser CFCS, at de ikke har yderligere kommentarer til phishingøvelsen.
Stadig høj succesrate
Cyber-øvelsen fandt sted i forbindelse med den nationale krisestyringsøvelse ved navn KRISØV, som skal teste, hvordan centrale virksomheder og myndigheder i Danmark bedst muligt formår at holde samfundsvigtige funktioner i gang i nødsituationer.
Dette års kriseøvelse fandt sted den 12. september, hvor en simuleret kemisk togulykke i nærheden af Fredericia var anledning til en øvelse af det nationale beredskab.
Under kriseøvelsen modtog de myndigheder og virksomheder, der frivilligt deltog i CFCS phishing-øvelse, en simpelt konstrueret phishing-mail, der lignede officielle henvendelser med information om den kemiske ulykke.
Øvelses-mailen indeholdt fingeret malware i form af et link til en øvelseshjemmeside, og hvis modtagerne klikkede på linket, blev de ført til en hjemmeside, som fortalte, at de var blevet udsat for et vellykket phishing-angreb.
Ifølge CFCS udnyttede svindel-forsøget ingen tekniske sårbarheder og havde ikke til formål at teste deltagernes tekniske modstandskraft mod phishing-mails.
I kølvandet på, at der er blevet fundet fejl i konklusionerne, er den oprindelige pressemeddelelse fra CFCS nu blevet ændret, så den indeholder de rigtige resultater.
Men på trods af den rettede konklusion, påpeger CFCS stadig i pressemeddelelsen, at forsøget har haft en »høj succesrate«.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.