Som ansat eller studerende på AAU, skal du anmelde sikkerhedshændelser med det samme du oplever dem. Dette gælder både, hvis du selv er involveret i sikkerhedshændelsen, men også hvis du opdager en sikkerhedshændelse, du ikke er involveret i. 

Hvis du oplever en sikkerhedshændelse udenfor IT Supports normale åbningstider, skal du vurdere, hvor alvorlig hændelsen er. Er sikkerhedshændelsen så alvorlig, at den ikke kan vente til næste arbejdsdag? Så skal du tage fat i din institutleder, eller leder i lignende rolle, som derefter viderebringer hændelsen til de rette personer. 

Husk at en sikkerhedshændelse, der indeholder personoplysninger, skal anmeldes til Datatilsynet inden for 72 timer fra den har fundet sted. Der er derfor en kritisk tidsfaktor på hændelser, der indeholder personoplysninger. 

Her er et eksempel på en kritisk tidsfaktor, når du skal anmelde en sikkerhedshændelse: 

• Du taber et USB-stik fyldt med følsomme personoplysninger fredag eftermiddag kl. 12.00, men du anmelder først hændelsen mandag morgen kl. 8.00. Fristen i forhold til at indsende en anmeldelse til Datatilsynet begynder at løbe fra det tidspunkt hændelsen er sket på. Derfor vil der nu kun være 4 timer til at reagere på sikkerhedshændelsen, hvilket er alt for kort tid. 

Når du har anmeldt en sikkerhedshændelse, sendes din anmeldelse straks videre til behandling og vurdering hos ITS. Hvis der mangler oplysninger i sagen kontaktes du direkte for uddybende afklaring. 

1. Der sørges for at bruddet stoppes, så det ikke udvikler sig yderligere. 
2. Der opklares hvad der er sket, herunder omfang og evt. type af personoplysning.
3. Der vurderes om sikkerhedshændelsen skal indberettes til Datatilsynet - og dette gøres, hvis det vurderes nødvendigt. 
4. Der vurderes om sikkerhedshændelsen kan have konsekvenser for den/de personer, hvis oplysninger er berørt heraf. Hvis ja, underrettes de berørte. 
5. Der afklares og undersøges om AAU kan forebygge tilsvarende hændelser i fremtiden, ved at lave organisatoriske eller tekniske sikkerhedsforanstaltninger. 

Phishing er en slags cyberangreb, hvor cyberkriminelle bruger vildledende e-mails til at lokke dig til at videregive følsomme oplysninger. Disse oplysninger bruges derefter til at få adgang til vigtige konti, som kan resultere i identitetstyveri og store økonomiske tab.

Smishing foregår med samme motiv som phishing, hvor du modtager SMS'er i stedet for mails. 

Spear phishing er den opgraderede version af phishing og smishing, hvor de cyberkriminelle går meget mere målrettet til værks. Personen bruger offentligt tilgængelige informationer, til at tilpasse sit angreb til specifikke personer eller organisationer. 

1) Afsenderen er ikke den, som det umiddelbart ser ud til at være.

Afsenderen af en phishing-mail skjuler altid sin identitet. Det kan ske ved, at afsenderen har hacket en eksisterende mailkonto og derigennem kan udgive sig for at være en anden. Eller afsenderen har oprettet en ny mailkonto via en af de mange services, der tilbyder oprettelse af mailkonti uden krav om id-bevis. I mailprogrammer kan afsenderfeltet udfyldes frit, så mailen umiddelbart ser ud til at komme fra en person eller virksomhed, du kender. Derfor skal du være på vagt, selv hvis mailen ser ud til at komme fra en du kender. 

Godt råd: Hvis du er i tvivl om det er den rigtige, der har sendt mailen, kan du kontakte personen via et opkald eller personligt. 

2) Du skal oplyse personlig information, klikke på et link eller åbne en fil. 

Formålet med en phishing-mail vil altid være at forsøge at få dig til at ”gøre” noget. Det kan være at din "chef" desperat har brug for at du køber nogle iTunes-gavekort og sender dem, eller at din netbank lige har brug for, at du logger ind for at se en besked via et link. Måske er der et link som du ”forventes” at klikke på, eller en vedhæftet fil du skal åbne. Du skal ikke gøre det, som du opfordres til. Hvis du overvejer om, det, der står i mailen, kan være rigtigt, så undersøg det uden at besvare mailen, uden at klikke på links i mailen og uden at åbne evt. vedhæftede filer.

Godt råd: Vær altid skeptisk og kontakt evt. IT Support, hvis du er i tvivl om den mail du har modtaget. 

3) Links fører til en falsk hjemmeside. 

Hvis du vælger at klikke på linket i beskeden, og hjemmesiden jo "ser rigtig nok ud", så kan der stadig være risiko for, at det ikke er den ægte vare. Cyberkriminelle er snu, og kan hurtigt opbygge en overbevisende hjemmeside, hvor du kan komme til at "logge ind". 

Godt råd: Hold din mus over linket uden at klikke på det, for at se om det fører det rigtige sted hen. Ellers kan du også selv søge f.eks. din netbank frem på internettet og logge ind via deres officielle hjemmeside. 

4) Det haster eller kan få store konsekvenser for dig.

Mange phishing-mails bærer præg af, at du skal gøre noget, fordi det haster eller kan få konsekvenser for dig, hvis du ikke gør noget. Bl.a. kan du blive truet med at din betaling ikke er gået igennem, at din konto er forældet og al din data vil blive slettet, eller at du har fået en virus på din computer. 

Godt råd: Vurder fra mail til mail, om der kan være en risiko for, at truslen er reel. Du skal IKKE gøre noget forhastet - kontakt altid IT Support, hvis du er i tvivl eller bekymret. 

5) Stavefejl og dårlig grammatik.

Phishing-mails bærer ofte præg af, at afsenderen ikke har dansk som modersmål. Derfor kan man ofte spotte phishing-mails på dårlige oversættelser, stavefejl og ukorrekt grammatik. Dog kan en phishing-mail sagtens være udført med perfekt sprogbrug - dels fordi de cyberkriminelle bliver dygtigere, og der nu er AI-værktøjer tilgængelige, men også fordi der også findes danske cyberkriminelle derude. 

Godt råd: Vær på vagt og brug de ovenstående kendetegn til at vurdere om der kan være tale om en phishing-mail. Kontakt altid IT Support, hvis du er i tvivl. 

Hvis du for eksempel er kommet til at:

• Videregive dit AAU-brugernavn og password
• Klikke ind på en usikker hjemmeside
• Åbne en vedhæftet fil fra en mulig phishing-mail

Anmeld sikkerhedshændelsen via linket her på siden, eller kontakt IT Support via serviceportalen. 

Det er også en god idé at skifte dit password - se regler og dine muligheder her.

Besøg FAQ-siden, for at læse mere om de oftest stillede spørgsmål ift. phishing. 

Forbrugerådet Tænk og TrygFonden har i fællesskab lavet appen "Mit digitale selvforsvar" som du med fordel kan hente på din telefon. Læs mere om appen og download her.