Bedriftskultur som verktøy mot IT-inntrenging

Med økt digitalisering øker risikoen, men også de tekniske mulighetene til å forsvare seg. På Nordea tar de andre grep for å styrke IT-sikkerheten – de jobber med bedriftskulturen.

IT_Stralfors_875x580.jpg

Den største utgiftsposten i hele den europeiske finansbransjen i 2016 var digitaliseringen, ifølge Jacqueline Johnson, Nordeas sjef for IT-sikkerhet. Målet med digitaliseringen er å øke effektiviteten og redusere kostnadene. Det store spørsmålet er hvordan det påvirker sikkerheten.

– Ofte blir digitaliseringen fremskyndet fordi bedriftsledelsen ønsker å hente ut gevinsten fra forandringen. Hvis man påskynder programmeringen av digitale løsninger, kan det imidlertid bli for lite tid til sikkerhetstesting, særlig i finansbransjen. Tempoet som virksomheten blir digitalisert i blir derfor en stor del av problematikken, sier Jacqueline Johnson.

Kulturarbeid gir økt sikkerhet

For å motvirke forserte løsninger med mangelfull sikkerhet jobber Nordeas IT-avdeling med bedrifts-kulturen og medarbeidernes verdier.

– Hvis du som leder får et viktig mål som må være gjennomført innen to uker selv om sikkerhetsavdelingen sier at det ikke går, hva tror du skjer da? Du gjør selvsagt alt for å omgå hinderet. Sikkerhet må derfor ha gode incitamenter og inngå i alt, sier Jacqueline Johnson.

Om man ønsker å påvirke kulturen, holder det imidlertid ikke bare med å forklare reglene, understreker hun. Nordea innleder derfor ofte prosjektene med å utarbeide et par eksempelstudier der kollegaene selv forteller om det de har opplevd som privatperson.

Jacqueline Johnson, sjef for IT-sikkerhet i Nordea.– Det skaper et emosjonelt engasjement som gjør det lettere å ta til seg regelverket, sier Jacqueline Johnson.

Også samarbeid med andre banker i form av automatisert informasjonsutveksling er en viktig del av sikkerhets-arbeidet for å kunne hindre de angrepene banken kan bli utsatt for.

– Hvis noen setter i gang et phising-angrep klokken 13, når det toppen i løpet av et par timer før det raskt avtar. Da gjelder det å være utrolig rask for å kunne motvirke svindelen, for neste dag er det for sent. For å kunne gjøre noe må man ha et automatisert sikkerhetssystem som reagerer når sånt skjer. Vi legger svært stor vekt på dette, med egne prosesser for å stå imot truslene.

Trusler fra innsiden er vanligst

Finansbransjen blir påvirket av mange trusler utenfra – alt fra overbelastningsangrep til inntrenging. Faktum er at en enda større trussel kommer innenfra – både i form av menneskelige feil og systemfeil og i form av innsidelovbrudd.

– Rent statistisk handler over en fjerdedel av alle gjennomførte hendelser om innsidearbeid, så vi kan ikke bare beskytte oss mot ytre trusler. Derfor arbeider vi blant annet med vern mot informasjonslekkasjer. Det kan være en så enkel handling som at noen legger ut informasjon på Dropbox.

Omregnet til verdier er det svindel som er et av de største truslene mot finansbransjen – ofte handler det om to- til tresifrede millionbeløp. Svindel pleier imidlertid ikke ha noen dypere teknisk karakter. Det tekniske, for eksempel i e-postsvindler, kan være at e-postadressen er falsk og ser ut som den tilhører en administrerende direktør eller økonomisjef. Resten av svindelen består av klassisk informasjonsinnsamling, noe som gjør det vanskelig for
teknikere å oppdage den.

– Svindlerne sender e-post om en stor utbetaling som må gjøres umiddelbart, i en periode da den ekte direktøren eller økonomisjefen er på reise, og ikke kan nås. Svindlerne vet når de er på reise siden medarbeiderne i bedriften er hyggelige og ønsker å hjelpe og derfor svarer på spørsmål når noen ringer.

Løsningene for å hindre svindler er imidlertid mer tekniske. Nordea bruker blant annet flere godkjennings-nivåer for fakturaer og overføringer – pluss kontroll av leverandøren. De beskytter seg også mot svindel ved å flagge e-postmeldinger som kommer fra eksterne IP-adresser. Det gjør mottakeren oppmerksom på at meldingen ikke kommer fra en kollega, selv om den ser ut til å gjøre det.