Publicerad 8 november 2022 | Av Natalie Westermark
Din roll är Resilience and Continuity Manager alla kanske inte riktigt vet vad det innebär. Vad är din hisspitch som svar på frågan vad du arbetar med?
Min korta hisspitch är att jag jobbar med att ta fram en Plan B.
Lite mer utförligt kan man kan säga att jag har en delad tjänst - dels jobbar jag som Resilience and Continuity Manager (RCM) på SPP, dels jobbar jag koncernövergripande med kris-, kontinuitet- och beredskapsfrågor i Storebrand Group Security.
I min roll som RCM arbetar jag beredskap- och kontinuitetsplanering för våra kritiska processer. Vidare jobbar jag med att utbilda och öva vår krisgrupp.
Koncernövergripande arbetar jag med beredskapsfrågor och ramverk för krishantering. Vi stöttar olika verksamhetsområden med hur de kan jobba med kris-, kontinuitets- och beredskapsfrågor inom sin verksamhet.
Vad avgjorde att du började jobba med det du gör idag?
Jag har i grunden en universitetsutbildning i Risk and Crisis Management. Efter utbildningen har jag jobbat med krishantering och planering för civilt försvar inom energi- och telekomsektorn. Att jag valde att gå till Storebrand/SPP var mer ett val av bolag än sektor. Jag fastnade för den satsning som Storebrand/SPP gör inom detta område, och det kändes kul att vara med på den resan!
Säkerhet inom finans, vilka är de tre mest essentiella områdena att ha kontroll över?
Det är svårt att peka ut tre områden, då vi inte blir starkare än vår svagaste länk. Så utifrån det skulle jag säga att det viktigaste alltid är att höja vår lägstanivå.
Men om jag ändå skulle försöka att prata om tre områden så skulle det nog vara:
Be security smart from the start – vi måste bygga in säkerhet från början. Exempelvis säkerhet när vi utvecklar nya applikationer, i förändringsarbetet, eller vid inköp. Det är oftast dyrt och krångligt att få med säkerhet sent i processen.
Människan – Många attacker börjar med någon form av social manipulation, så kallad social engineering. Det kan exempelvis vara att någon lurar dig att klicka på länkar som leder till skadlig kod eller att någon lurar dig att uppge dina uppgifter. Det är därför viktigt att alla är säkerhetsmedvetna och utbildade i att upptäcka om någonting är fel, och när någonting händer måste vi rapportera det snabbt och på rätt sätt så att våra säkerhetsteam kan agera på det.
Riskstyrning – det är oerhört viktigt att vi har koll på vår riskstyrningsprocess. Att vi vet vilka risker vi har, vilka konsekvenser dessa risker har och hur detta slår mot våra kritiska processer.
Hur påverkar omvärldsläget den digitala hotnivån för finansiella aktörer? Förstärks den också betydligt i samma takt, eller är den konstant för verksamheter inom bank och finans skulle du säga?
Omvärldsläget är definitivt en faktor som påverkar hotnivån för finansiella aktörer.
Bedömningen är dock att hotnivån för Storebrand/SPP inte har ökat i någon större utsträckning efter Rysslands invasion av Ukraina, men den har ökat vår vaksamhet. Omvärldsbevakning är en viktig del i säkerhetsarbetet för att upptäcka mönster och händelser som kan föranleda att vi behöver förändra vår bedömning av hotnivå.
I huvudsak finns det tre typer av hotaktörer: statliga aktörer, kriminella grupper och i viss omfattning även ideologisk motiverade aktörer såsom hacktivister.
Finanssektorn är en samhällsviktig sektor, som levererar tjänster som är viktiga för samhällets funktion. Detta innebär att för aktörer som har som mål att skapa instabilitet i samhället är finanssektorn en tänkbar måltavla.
Vilka nya hot ser vi idag jämfört med för 10 år sedan?
Jag skulle säga att hotaktörers spelplan är i ständig förändring och de utvecklar sina verktyg och metoder kontinuerligt i takt med teknikutvecklingen.
Ett hot som ökar i takt med samhällets digitalisering är hot mot digitala leveranskedjor. Allteftersom företag väljer att specialisera sig på sin kärnverksamhet och köpa in tjänster och system från tredjepartsleverantörer blir företagets infrastruktur alltmer sammanflätad i komplexa beroenden och värdekedjor. Detta ökar tillgängliga attackytor, och en angripare kan inrikta sig på den svagaste länken i kedjan. Detta innebär att vi kan drabbas av angrepp trots att vår egen infrastruktur är säkrad. Ett välkänt exempel på detta typ av angrepp är SolarWinds-attacken i mars 2020, där ett enskilt angrepp mot en leverantör av IT-system ledde till att över 18 000 företag och myndigheter utsattes för intrång.
Förr talade man om ensamma hackers som satt vid sin dator och kunde nästla sig in i olika system, har den bilden ändrats?
Ja en annan utveckling som har skett under de senaste åren är att ett helt ekosystem vuxit fram, där kriminella organisationer erbjuder breda portföljer av cyberattacker som tjänster till anonyma kunder. Tjänsterna betalas vanligtvis med kryptovaluta, men det finns även upplägg där kunden exempelvis erbjuds provision på eventuella lösensummor som betalas av offer för ransomware-attacker. De kriminella tjänsterna levereras i användarvänliga portaler där kunder utan någon egen teknisk kompetens med några få klick kan beställa angrepp mot sina tilltänkta offer.
De flesta finansaktörer har digitaliserat en allt större del av sin verksamhet. Det är en god utveckling för användarvänligheten för kunderna och skapar effektivisering och snabbhet. Men min undran, har just denna digitalisering med bland annat molntjänster medfört en högre sårbarhet mot angrepp, var det bättre förr? Är det lättare idag att attackera och slå ut större delar av en verksamhet än när det var en manuell hantering och pappersarbete? Eller är digitala system lättare att säkra?
Erfarenhet visar snarare på motsatsen - en migration av företagets infrastruktur till molnet kan göra det lättare för företag att implementera en heltäckande säkerhetspolicy och att övervaka kritiska system och upptäcka intrång. Som ett exempel kan nämnas Estland, som enligt analyser från Microsoft är det enda Natoland som inte drabbats av den våg av ryska cyberangrepp som påbörjades i och med Rysslands invasion av Ukraina. Microsofts analytiker kunde inte upptäcka ett enda intrång i estniska system sedan kriget började i februari, och tillskriver detta till landets satsning på molnbaserad infrastruktur som gör det lättare att upptäcka intrång.
Samtidigt kräver en digitaliserad verksamhet nya verktyg och nya kompetenser, en omställning som kan vara utmanande för många företag. Den digitala utvecklingen sker i snabb takt och nya angreppsvägar kan öppna sig snabbare än tidigare. Detta ställer krav på en flexibel säkerhetsorganisation som hela tiden håller sig uppdaterad med teknikutvecklingen och förändringar i den digitala miljön och hotlandskapet.
Attackerna blir väl alltmer sofistikerade vilket gör att kontinuerlig internutbildning och uppmärksammad hörsamhet inom organisationen är viktig. Hur arbetar ni internt med det?
Kunniga, motiverade och medvetna medarbetare är en viktig del i Storebrands förebyggande säkerhetsarbete. Vi har en strategi för att arbeta med säkerhetskultur och hantering av mänsklig risk. Den innehåller bland annat mätningar av mänsklig risk och säkerhetskultur, årliga kurser och signering av säkerhetsregler, phishing-simuleringar, kommunikation på intranät och Yammer, föreläsningar och workshops. För nionde året i rad genomförde vi Säkerhetsmånaden i oktober, med en rad aktiviteter och föreläsningar.
Finns det gemensamma forum för finansaktörer i Sverige och Europa där ni samlas och samarbetar i säkerhetsfrågor?
Det finns många olika samarbetsfora som vi deltar i. Några exempel är NFCERT och FSPOS. NFCERT står för Nordic Financial CERT och är en stor hjälp för oss. De ger oss information om vårt hotlandskap, hjälper oss respondera på incidenter, organiserar övningar och olika event. Vi använder också detta forum för att dela best practices med andra finansiella aktörer.
Ett annat exempel på forum som vi är deltar i är FSPOS, som är finanssektorns forum för privat-offentlig samverkan. Här ingår svenska aktörer som banker, försäkringsbolag, fondkommissionärer, finansiella infrastrukturbolag, och myndigheter. Via FSFOS deltar vi i kunskapsutbyten och seminarium, och vi ingår också i ett övningsprogram tillsammans med hela finanssektorn. FSPOS arrangerar årligen övningar för att utveckla sektorns förmåga att hantera kriser. Nu under oktober månad har vi deltagit i en krisövning som pågick under två veckor där vi tillsammans med 60 andra finansbolag övade på cyberangrepp och oro på finansmarknaden.
Hur vanligt är det att försök till angrepp avleds, är det på daglig basis med phishing mail/nätfiske och försök till intrång?
Vi ser den typen av attacker varje dag. De flesta är inte riktad phishing utan mer standardförsök där någon försöker efterlikna Microsoft, Netflix eller andra liknande tjänster. Riktad phishing mot Storebrand/SPP händer mer sällan, kanske några gånger i månaden.
Val av systemleverantörer måste vara väldigt omfattande och grundligt genomgången då det ligger utanför egen verksamhetskontroll. Hur går en sådan upphandling till, tittar man på vissa certifieringar, dessa leverantörer kan ju också i sin tur ha underleverantörer, vilken kontroll kan man då själv ha?
Inom Storebrand har vi en process där vi hanterar inköp och upphandlingar av nya leverantörer på ett strukturerat sätt. Varje ärende dokumenteras och hanteras vid ett gemensamt möte där resurser från Risk, Compliance, Dataskydd, IT, Legal och Säkerhet deltar. När det gäller krav på informationssäkerhet har vi omfattande säkerhetskrav som vi ställer på våra leverantörer. I stort sett är det samma krav som vi ställer på oss själva.
Vem bär ansvaret om ett system hackas, är det då systemleverantörens försäkring som faller ut om det skulle uppstå någon ekonomisk påverkan?
När det gäller ansvarsfrågan måste vi komma ihåg att vi aldrig kan outsourca ansvaret för att hantera våra kunders information. Det ansvaret kommer alltid ligga på oss. När det gäller ekonomiska konsekvenser och eventuell ersättning vid incidenter beror det på hur avtalet ser ut med systemleverantören.
Vilka krav ställer institutionella kunder gällande risk- och säkerhetsfrågor när det gäller kapitalförvaltningstjänster?
Om jag får generalisera ser vi att anglosaxiska kunder ställer högre krav på säkerhet jämfört med nordiska kunder. Själva innehållet och omfattningen i kraven varierar men vi ser ofta att kunderna ställer krav motsvarande det som hittas i säkerhetsstandarden ISO-27000. Här underlättar det givetvis att SPP och Storebrand Fonder sedan år 2020 är certifierade mot ISO-27001.
Hållbarhet är viktigt inom Storebrand - hur arbetar du med hållbarhet inom ditt område?
Utvecklingen mot ett mer hållbart samhälle går hand i hand med samhällets digitalisering. Människor blir mer och mer beroende av exempelvis en fungerade digital identitet och tillgång till elektronisk kommunikation för att kunna bruka många av samhällets tjänster såsom banktjänster, sjukvård.
En förutsättning för en hållbar utveckling är att digitala tjänster är säkra, tillgängliga och robusta. Våra kunder måste kunna ha förtroende för att de tillgångar vi förvaltar åt dem är skyddade och bidrar till ett mer hållbart samhälle, nu och i framtiden. Tillsammans med Storebrand Asset Management och andra delar i koncernen tittar vi på hur vi kan få cyberrisk som en integrerad del av hållbarhetsarbetet.
Kanske konstigt att tala om utveckling och innovation vad gäller attacker och nya metoder för angrepp men vad tror du är viktigast att hålla uppsikt över och skapa skydd mot framöver, för att ligga steget före?
Jag tror att vi kan komma att se tätare samarbete mellan statliga- och kriminella aktörer. Vi ser exempel på det i Ryssland nu, och det kanske kommer bli vanligare i framtiden.
Vi behöver också förstå det nya hotlandskap som den nya tekniken för med sig. Traditionella säkerhetsarkitekturer behöver ritas om för att vara relevanta i en molncentrisk miljö där arbetslaster kan skapas och flyttas dynamiskt. En robust identitetshantering mellan olika komponenter är en absolut nödvändighet, och brister i denna är det vanligaste hotet mot molnbaserade tjänster. Angripare inriktar sig alltså snarare på att utnyttja svagheter som uppstår i omställningen till molnet än på helt nya angreppsmetoder.
Vad krävs för att hantera omställningen till molnet?
Den flexibilitet som molnet ger oss ställer samtidigt krav på en noggrann resursstyrning för att tekniken ska kunna användas på ett säkert sätt, så att vi hela tiden har kontroll över vilken information som finns var och hur den är skyddad. Tekniska koncept som tillgänglighetszoner i kombination med regelverk som GDPR skapar komplexa situationer där vi behöver bygga robusta lösningar samtidigt som vi behöver veta exakt var informationen befinner sig.
Den ökade digitaliseringen och migrationen till molnbaserade lösningar förändrar spelplanen både för angripare och oss som företag. Samtidigt som denna utveckling ger oss tillgång till nya och effektivare verktyg för att övervaka och säkra våra lösningar ställer det helt nya krav på kompetenser och processer. Digitaliseringen är inte bara en teknikomställning, utan ställer även krav på nya arbetssätt i alla delar av organisationen. Där tror jag att det är mycket viktigt att ha en god framförhållning eftersom det tar tid att ställa om processer och kompetens.
Foto: Fredrik Hjerling