För upp IT-säkerheten till ledning och styrelse – uppmanar Basefarms VD

Banker har koll och kan driva utveckling.

Tidigare i år blev arbetet med att upprätthålla säkerheten på webbsidor extra uppmärksammat efter att några stora mediehus som Schibsted och Bonnier råkat ut för ddos-attacker som innebar att deras sidor låg nere under en kort tid. Nu när många fler fått upp ögonen för betydelsen av IT-säkerhet passade Basefarm nyligen på att anordna ett frukostmöte om just säkerhet på sitt kontor i Stockholm.

2016-06-01 09.03.36-1-2_low
Höger Basefarms VD Leif Engdahl och Vänster Fredrik Ohlsson, säkerhets- och operativ riskchef på SBAB

Basefarms VD Leif Engdahl sa att ddos bara är ett slags hot av många; och med tanke på att frågan blir allt mer viktig ville han slå ett slag för att fler bolag lyfter upp säkerhetsfrågan på styrelse- och ledningsnivå. Och kanske blir det mer aktuellt att diskutera säkerhet där när problematiken blir mer känd.

-Att gemene man drabbades var tråkigt men om man vill säga något positivt om saken så var det att vi fick upp ämnet på bordet, säger Leif.

Använd affärstänk

Man måste bestämma sig för hur hotbilden ser ut, fortsätter Leif, och man måste avgöra säkerhetsnivån utifrån ett affärstänk. Frågan att ställa sig är helt enkelt vad som är ekonomiskt försvarbart att lägga på det här. Leif säger också att många av Basefarms kunder är väl insatta i de här frågorna. De har redan en affärsmässig och sund syn på sin säkerhet.

Det kostar för mycket att sträva efter ett totalt skydd, fortsatte Leif. Man måste ha rätt nivå. Och 100-procentigt skydd kan vi aldrig uppnå.

Leif informerade vidare om att Arbor Networks, som deltog på eventet, är en viktig leverantör till Basefarm.

-Vi har deras utrustning installerad hos oss. Det betyder att vi kan avvärja även stora attacker. Arbor har de jättemuskler som vi behöver. Vi har visserligen inte skydd mot allt men nu har vi har skydd mot mycket, sammanfattar Leif.

Tomas Sundström är Consulting Engineer på Arbor Networks i Norden och Baltikum. Han berättade att han ägnar sig åt utbildning och är expert på tillgänglighet. Kunderna är ofta intresserade av att ha en god visibilitet – alltså en god överblick. Tomas jobbar med tillgänglighet ur just ett visibilitetsperspektiv.

Kan inte skydda sig mot allt

Han berättar att det går att lära sig mer om attacker genom att söka på nätet. Den som läser på om det här området kan hitta en hel del – och det finns även exempelvis en sida där det går att beställa attacker mot företag.

Attacker på 500 gig är problematiskt för de flesta om det händer men kanske inte något man vill lägga resurser på att försvara sig emot. De är för stora. Samtidigt ökar antalet attacker på över 10 gig, sammanfattar Tomas. Man får fråga sig hur viktigt det är att hålla tjänsten uppe. En annan fråga är om skyddet ska vara på hela tiden eller om det ska vara ”on demand”. Det går att skydda sig – men du måste först veta vad du vill göra!

För att ha en god säkerhet måste man ha rätt processer, bra partners och man måste automatisera så mycket som möjligt. Tomas brukar prata med kunderna om vilka system (applikationer) de använder och höra vilket skydd  de vill ha. Det går att skräddarsy en lösning.

Fredrik Ohlsson som är säkerhets- och operativ riskchef på SBAB medverkade också på eventet. SBAB och andra banker jobbar så mycket med de här frågorna att han tror att bankerna kommer att driva utvecklingen inom IT-säkerhet om några år. Den bank där han jobbar, SBAB, är Sveriges femte största bank.

-Lagstiftningen gör att vi i bankvärlden utvecklas hela tiden, säger han. Det driver utvecklingen och mognaden i bolagen höjs.

Hittills har det varit ovanligt med ett helt digitalt flöde inom bankvärlden. Det har exempelvis inte gått att använda digitala signaturer när man tecknar bolån på SBAB – och bolån är en huvudmarknad för dem. Nu blir det ändring på det. SBAB kommer att kunna använda sig av digitala signaturer till bolånen vilket i sin tur kommer att innebära en mängd nyheter som kommer att höja nivån.

SBAB låg nere en gång

Fredrik berättar att SBAB får ddoS-attacker hela tiden men att de alla gånger utom en stått emot dem.  Det har alltså bara hänt en enda gång att de blev påverkade av attacken och det skedde för ungefär en månad sedan. Alla drabbas av ddos-attacker, säger han, men stora och välkända företag drabbas mer än andra. Det viktiga, om attacken skulle lyckas, är att kommunicera problemet till användarna.

Man måste också se till så att inte någon försöker smyga in andra IT-problem medan alla IT-tekniker fokuserar på attacken.

Fredrik möter styrelsen ungefär en gång i kvartalet och redovisar säkerheten till dem. Han har ett månadsmöte med ledningen och han möter också myndigheter som Finansinspektionen regelbundet.

Utmaningen är att skapa IT-tjänster som är relevanta över tid – den utmaningen är också rolig, sammanfattar han.

Använd bondförnuft

När det handlar om säkerhet är det bra om man använder bondförnuft, fortsätter Fredrik. Omvärldsbevakning är superviktigt!

Fredrik säger också att det kommer två till tre nya regelverk i veckan som påverkar SBAB. Han använder mycket tid till att följa med och läsa på.

En annan del av utvecklingen är att vi håller på att få ett samhälle utan mynt och sedlar, säger Fredrik. Man får komma ihåg att de som ägnar sig åt bedrägerier också håller på att anpassa sig till en cash-lös omvärld. I Sverige finns det nu bara 63 miljarder i mynt och sedlar enligt färsk statistik som Fredrik nyligen läst. För ett år sedan var det åtminstone tre gånger så mycket. Och om man jämför med andra länder så ligger Sverige väldigt långt framme när det gäller att minska användningen av kontanter.

[slideshow_deploy id=’721′]