Företagskultur som verktyg mot IT-intrång

Med ökad digitalisering ökar riskerna, men även de tekniska möjligheterna till att försvara sig. På Nordea tar man till andra grepp för att öka IT-säkerheten
– man arbetar med företagskulturen.

IT_Stralfors_875x580.jpg

Den största omkostnaden i hela den europeiska finansbranschen under 2016 står digitaliseringen för, enligt Jacqueline Johnson, chef för IT-säkerhet på Nordea. Målet med digitaliseringen är att öka effektiviteten och minska kostnaderna. Den stora frågan är hur det påverkar säkerheten.

– Ofta påskyndas digitaliseringen för att företagsledningen vill få ut vinsterna från förändringen. Men om man stressar på programmeringen av digitala lösningar kan tiden till säkerhetstester försvinna, särskilt i finansbranschen. Hastigheten som verksamheten digitaliseras är därför en stor del av problematiken, säger Jacqueline Johnson.

– Man måste skydda sin  information. För om den kommer ut så är den ute.  Du kan få tillbaka uppkopplingen efter en DDOS-attack, men konfidentialiteten kan du inte få tillbaka om data läckt ut, säger  Jacqueline Johnson, chef för IT-säkerhet på Nordea.Kulturarbete för 
ökad säkerhet

För att motverka framstressade lösningar med bristande säkerhet arbetar Nordeas IT-avdelning med företagskulturen och medarbetarnas värderingar.

– Om du som chef får ett nyckelmål som måste vara klart inom två veckor trots att säkerhetsfolket säger att det inte går, vad tror du händer då? Du gör såklart allt för att kringgå hindret. Incitamenten för säkerhet måste därför vara högt och inkluderas i allt, säger Jacqueline Johnson.

Om man vill påverka kulturen räcker det dock inte med att enbart förklara reglerna, understryker hon. Därför inleder Nordea ofta ett projekt med att ta fram ett par olika fallstudier där kollegerna själva berättar om det de upplevt som privatperson.

– Det skapar ett emotionellt engagemang som gör det lättare att ta till sig ett regelverk, säger Jacqueline Johnson.

Även samarbeten med andra banker med automatiserade informationsutbyten är viktiga delar i säkerhetsarbetet för att motverka de attacker som banken kan utsättas för.

– Om någon sätter igång en nätfiske-kampanj klockan 13 så når den kulmen inom ett par timmar och går sedan snabbt ner. Då gäller det att man är otroligt snabb för att kunna motverka bedrägeriet, nästa dag är det för sent. För att hinna med måste man ha en automatiserad säkerhet som reagerar när sådant händer. Vi har ett mycket starkt fokus på detta, med processer för att motverka hotet.

Hot från insidan 
vanligast

Finansbranschen påverkas av många yttre hot, allt från överbelastningsattacker till intrång. Men faktum är att ett ännu större hot kommer inifrån – både i form av mänskliga misstag och systemfel och i form av insiderbrott.

– Statistiskt sett handlar över en fjärdedel av alla fullbordade incidenter om insiderarbete, så vi kan inte bara arbeta mot yttre hot. Därför arbetar vi bland annat med skydd mot informationsläckage, vilket kan vara en så enkel handling som att någon lägger ut information på Dropbox.

Räknat till värdet är det bedrägerier som är ett av de största hoten mot finansbranschen – ofta handlar det om två- till tresiffriga miljonbelopp. Bedrägerier brukar dock oftast inte vara av djupare teknisk karaktär. Det tekniska, som i ett vd-bedrägeri, kan handla om en falsk e-postadress som ser ut att tillhör en vd eller ekonomichef. Resten av bedrägeriet består av klassisk underrättelseinsamling, vilket gör det svårt för en tekniker att upptäcka.

– Bedragarna skickar ett mejl om en stor utbetalning som måste göras omgående under tiden som den riktige vd:n eller ekonomichefen är på resa och inte går att nå. Bedragarna vet när de är på resa eftersom folk på företaget är snälla och vill göra sitt bästa för att hjälpa till, så de svarar på frågor när någon ringer.

Lösningarna till att motverka bedrägerier är däremot desto mer tekniska. Nordea använder bland annat flera nivåer av godkännande för fakturor och överföringar – plus kontroll av leverantören. De skyddar sig även mot bedrägerier genom att flagga de e-postmeddelande som kommer från externa IP-adresser. Det uppmärksammar att ett mejl inte kommer från en kollega, även om det ser ut att göra det.