28

THE KANSAS LIFELINE

July 2018

1.  Just like every new employee has to go through some sort of

orientation when. starting a new job, cities and water district

employees need cyber-orientation. There are many websites that

offer free resources for phishing awareness. Google a few and take

advantage of them. I like these: The Amazing) Security Awareness

Playbook or The Phishing Field Guide: How to Keep Your Users Off

the Hook ). But you also need to remind existing employees, the

same way you remind them of worker’s comp issues. There are

even free signs that can be posted. Or you can have a contest to

make your own. Practice Safe Cyber. Think Before You Click.

Hackers Want YOU. Have You Logged Out Today? But you have to

educate employees about what phishing is. The majority of today’s

phishing emails are much more subtle than a badly written

message from a fake Nigerian prince. Hackers now do their

homework, utilizing information they find on company websites

and employees’ social networks to create highly believable,

customized attacks.

2.  Cities and water district should also have some basic office

protocols in place. Make it an employee policy, e.g, that employees

do not use work computers to check Facebook at the office. Period.

Employees do not use work computers to check personal email at

the office. Period. These two simple steps can go a long way to

preventing infection through phishing attacks. Remember. The

phishing attack introduces the malware or virus into the computer

being used. It doesn’t care if that computer is a personal or work

computer. Employees should not be surfing the Internet at work

either. That is a tough one, because most small utility systems need

to have employee Internet access for daily tasks like web-based

billing systems or online banking.

3.  Have a process and even reward employees who report

suspicious emails. It isn’t enough to just delete them. (Of course,

you should definitely have a simple procedure in place in case for

phishing attacks: Don’t click on any links or forward the email to a

co-worker. Forward the entire email to IT, then delete it.) But

human beings respond well to positive reinforcement. So have a

shout out for the employee who finds the most phishing emails.

Enter them in a monthly drawing for a prize. The goal is to keep

folks motivated. You can also use some accountability techniques.

If your IT department traces a phishing attack to a click by an

employee, then require some on the spot training or an online

class or a verbal warning. Let them know that someone is tracking

their behavior. If you had an employee who left their keys in the

door or left the utility truck unlocked, you would say something.

Cybersecurity is no different.

4.  Do some testing. We test water samples. We test sewer lines.

Do some cyber testing. KnowBe4 is a website created by world

famous hacker Kevin Mitnik, with some free testing tools that you

can use. Gophish is another one. You can create your own

simulated phishing campaigns and see who bites! One small

company did something as simple as have a third party send a

mass email out to all employees with a link that said “FREE

SUPERBOWL TICKETS. to the first 10 employees who click here.”

After clicking, they were told to come to the lunch room at noon to

pick up their tickets. When far more than 10 employees arrived,

they were given a surprise pizza party and told that they had been

pranked and were now eligible for some special cyber training

session. BUT, the underlying message was that is this had been a

real phishing scam, the company could have been held up by

ransom ware.

Simple steps to improve cybersecurity