Petra Klein, CISO Swedbank:
”Att skapa en säkerhetskultur internt är A och O”

När säkerhetsriskerna ökar, behöver skyddet mot dem göra detsamma. Med en större hotbild mot företags digitala infrastrukturer och med mer avancerade dataintrång, är det förebyggande arbetet viktigare än någonsin. Idag börjar 90 procent av alla cyberattacker med människor, som nu blir en alltmer central aktör i arbetet mot en säkrare vardag. Petra Klein, CISO på Swedbank, berättar här om individens ansvar i säkerhetsarbetet och hur anställda är företagets första linjens försvar.

Petra Klein har en lång erfarenhet inom teknik och säkerhet, och har tidigare arbetat hos både FRA och Polisen. Idag ansvarar hon för informationssäkerheten på Swedbank, ett arbete som blir alltmer angeläget i takt med ett försämrat säkerhetsläge och ökade cyberhot. Stora säkerhetsinsatser sker redan från både statligt håll liksom inom näringslivet, men en faktor som Petra Klein anser behöva större fokus är medvetenheten kring den mänskliga faktorn och hur vi alla bär ett ansvar för att hålla våra digitala kanaler säkra.

– Vi människor är den mest drabbade attackytan när det kommer till dessa säkerhetsrisker, vår påverkan är otroligt viktig att vara medveten om. Jag vill ändra hur vi ser på människor inom organisationen, vi måste se tillgången framför risken. De som bäst kan skydda en arbetsplats är dess anställda, så med större kunskap och insikter kan vi alla vara en del av lösningen i stället för problemet.

Vilka är de största säkerhetsriskerna för svenska företag idag?
– Ransomware är den i särklass största risken. Kort innebär det att skadlig kod vill få fäste på en arbetsstation. I dessa fall är människan jätteviktig för att minska sårbarheten vid den här typen av attacker. Vi ser också ökade fall av DDoS, vilket är en typ av tillgänglighetsattack. De är inte lika skadliga sett till åtkomsten av information, men självklart viktiga att vara medvetna om och arbeta mot proaktivt.

Vad bör företag göra med tanke på dessa risker?
– Att skapa en säkerhetskultur, där alla medarbetare är medvetna om hotbilden och att de kan utgöra en måltavla, är A och O. Det krävs ett långsiktigt arbete som inte handlar om enskilda insatser, utan ett särskilt synsätt på sitt arbete och ansvar. Cyberkriminella bryr sig inte om vilka de angriper, de vill bara få fäste i en organisation. Med den insikten kan företag arbeta mer proaktivt med utbildningar, följa upp processer och se till att denna säkerhetskultur blir en given del av arbetsplatsen.

– Jag tror också på att jobba riskbaserat kring säkerhet, att ha samma nivå på alla delar i organisationen blir inte heller effektivt. Utvärdera vilka områden som kräver störst säkerhet, och prioritera insatserna därefter.

Var har man kommit längst i säkerhetsarbetet? Finns det några bra exempel att inspireras av?
– Finansbranschen har kommit väldigt långt inom detta område, där exempelvis Swedbank har ett samarbete med SEB och Handelsbanken som skapar starka synergier för vår industri. Tillsammans delar vi hotbildsinformation och hur vi exempelvis skyddar oss mot DDoS-attacker. I andra branscher är Volvo IT ett bolag som är framträdande i sitt säkerhetsarbete, och på ett internationellt plan driver NCSC (National Cyber Security Center) i UK ett säkerhetsarbete man verkligen kan se upp till.

Hur kan vi lära mer av varandra? Vilka samarbeten hade varit önskvärda mellan olika samhällsaktörer: företag, branscher och myndigheter?
– De geopolitiska konflikterna som pågår nu har medfört ett jättekliv i denna fråga, nu arbetar alla aktörer mer konkret mot samma målbild och därför i bättre sampel. Dock sker stora delar av säkerhetsarbetet fortfarande i silos med alltför fragmenterade lösningar. Jag tror att vi behöver lägga undan prestigen och samarbeta ännu mer för att lyckas långsiktigt. Ett mer konkret exempel på detta är den samverkan som finns mellan finans-, energi- och telekom-branscherna, som vi är en del av här i Sverige. Fler branschöverskridande initiativ kommer krävas för att vi ska hålla en tillräcklig säkerhetsnivå.

Hur bör man som individ förhålla sig säkerhetsriskerna? Några tips eller vanor som man kan ha med sig i sin vardag?
– Det finns en viss cyberhygien som är lika viktig som enkel att upprätthålla som individ. Se till att uppdatera dina enheter så fort det krävs, de kommer av en anledning. Var alltid lite sunt paranoid, reagera på avvikelser och klicka inte på länkar som känns misstänksamma. Jag tror också på vikten av att intressera sig för området, att vara nyfiken på vilka trender som finns nu och vilka risker som är aktuella. Det är genom dessa vanor och insikter som man ser till att inte vara personen som blir utsatt.

Petra Klein om säkerhetsläget 2024:
Tre områden att hålla ögonen på


1. AI - en otrolig möjliggörare men också en stor risk

Det är något vi inte kan blunda för, utan måste i stället se hur det hanteras på bästa sätt. När det blir svårare att veta vilka bilder, texter och ljud som går att lita på, så blir det också viktigare att utbilda och förklara hur man arbetar säkert med dessa nya AI-verktyg.

2. Implementering av DORA (Digital Operational Resilience Act)
Under 2024 kommer ett stort fokus för många bolag och organisationer vara att bli compliant med EU-direktivet DORA. Detta kommer innebära en högre prioritering av säkerhetsarbetet och tydligare, mer genomgående insatser som kommer leda till högre motståndskraft till dessa risker.

3. Investering i det mänskliga försvaret
Idag har vi på Swedbank tre heltidsanställda som jobbar med just den mänskliga faktorn i säkerhetsarbetet. Att inte underskatta den interna säkerhetskulturen, och i stället aktivt bygga upp den, kommer ge stor effekt för de bolag som väljer att investera i detta.