Virksomhedskultur som værktøj mod it-hacking

Med øget digitalisering øges risiciene, men også de tekniske muligheder for at kunne forsvare sig. Hos Nordea griber man til andre midler for at øge it-sikkerheden – man arbejder med virksomhedskulturen.

IT_Stralfors_875x580.jpg

Den største omkostning i hele den europæiske finanssektor i 2016 står digitaliseringen for, ifølge Jacqueline Johnson, chef for it-sikkerhed hos Nordea. Målet med digitaliseringen er at øge effektiviteten og nedbringe udgifterne. Det store spørgsmål er, hvordan det påvirker sikkerheden.

– Digitaliseringen bliver tit fremskyndet, fordi virksomhedsledelsen ønsker at indkassere gevinsten ved ændringen. Men hvis man vil fremskynde programmeringen af digitale løsninger, kan tiden til sikkerhedstest forsvinde, særlig i finanssektoren. Den hastighed, som virksomheden digitaliseres med, er derfor en stor del af problematikken, siger Jacqueline Johnson.

Kulturbearbejdning for øget sikkerhed

For at modvirke fremskyndede løsninger med manglende sikkerhed arbejder Nordeas it-afdeling med virksomhedskulturen og medarbejdernes vurderinger.

– Hvis du som chef får et nøglemål, som skal være klar i løbet af to uger, til trods for at sikkerhedsfolkene siger, at det ikke kan lade sig gøre, hvad tror du så der sker? Du gør naturligvis alt for at omgå forhindringen. Incitamentet for sikkerhed skal derfor være højt og indeholdes i alt, siger Jacqueline Johnson.

Hvis man vil påvirke kulturen, er det dog ikke nok bare at beskrive reglerne, understreger hun. Derfor indleder Nordea tit et projektarbejde med at fremlægge et par forskellige casestudies, hvor kollegerne selv fortælle om det, de har oplevet som privatpersoner.

– Det skaber et emotionelt engagement, som gør det lettere at tage et regelsæt til sig, siger Jacqueline Johnson.

Også samarbejdet med andre banker med automatiserede informationsudvekslinger er vigtige dele i sikkerhedsarbejdet omkring at modvirke de angreb, som banken kan blive udsat for.

– Hvis der er nogen, der starter en netfishing-kampagne klokken 13, så kulminerer den i løbet af et par timer og ebber derefter hurtigt ud. I en sådan situation gælder det om at være utrolig hurtig for at kunne modvirke bedrageriet. Næste dag er det for sent. For at kunne følge med skal man have en automatiseret sikkerhed, som reagerer, når noget sådant sker. Vi har meget stort fokus på dette, med processer til at modvirke truslen.

Jacqueline Johnson, chef for it-sikkerhed hos Nordea.Trusler indefra mest almindelige

Finanssektoren påvirkes af mange ydre trusler lige fra overbelastningsangreb til hacking. Men faktum er, at en endnu større trussel kommer indefra – både i form af menneskelige fejl og systemfejl og i form af insidersvindel.

– Statistisk set handler over en fjerdedel af al fuldbyrdet svindel om insiderarbejde, så vi kan ikke bare arbejde rettet mod ydre trusler. Derfor arbejder vi blandt andet med beskyttelse mod informationslækage, hvilket kan være en så enkel handling, som at nogen lægger information ud på Dropbox.

Omregnet til tal er det bedragerier, som er en af de største trusler mod finanssektoren – ofte handler det om to- til trecifrede millionbeløb. Bedragerier plejer dog som regel ikke at være af større teknisk karakter. Det tekniske kan, som i direktørsvindel, handle om en falsk e-mailadresse, som ser ud til at tilhøre en adm. dir. eller økonomichef. Resten af svindlen består af klassisk efterretningsindsamling, hvilket gør det svært for en tekniker at opdage.

– Bedragerne sender en mail om en stor udbetaling, som skal udføres straks, mens den ægte direktør eller økonomichef er ude at rejse og ikke til at få fat i. Bedragerne ved, når de er ude at rejse, fordi folk i virksomheden er venlige og vil gøre deres bedste for at hjælpe, så de svarer på spørgsmål, når folk ringer.

Løsningerne til at modvirke bedragerier er derimod så meget mere tekniske. Nordea benytter blandt andet flere niveauer af godkendelse af fakturaer og overførelser – plus kontrol af leverandøren. De beskytter sig også mod bedragerier ved at flagmarkere de e-mailmeddelelser, som kommer fra eksterne IP-adresser. Det gør opmærksom på, at en mail ikke kommer fra en kollega, selvom det ser sådan ud.