Protect and Detect

HENSOLDT combines its combat-proven TRML-4D multi-function air defence radar system with its world-leading Twinvis passive radar to form the unique TwinSense solution. Additionally, the Spexer 2000 radars can be mounted on any vehicle and provide full, on-the-move operations as well as permanent surveillance to protect borders, convoys and air zones. All radar systems can be networked and integrated to support the air defence and surveillance mission.

CIO Frode Vatne i Pelagia er nådeløs når det gjelder IT-sikkerhet og «stiller vanvittig høye krav til leverandøren». Han har brukt Advania siden 2014.

Pelagia er en av verdens ledende produsenter av pelagisk fisk med fokus på å bruke hele fisken i forskjellige produkter, med virksomhet i fem land og mer en 1500 ansatte. Det er helt essensielt for driften å ha fokus på sikkerhet, og CIO Frode Vatne er nådeløs:

– Når det gjelder sikkerhet stoler jeg ikke på noen, inkludert meg selv. Som alle andre ansatte må jeg som øverste leder for teknologi be om tilganger til ulike programmer og systemer. Ingen hos oss har tilgang til alt, heller ikke Advania.

Advania har hatt ansvaret for IT-sikkerheten hos Pelagia siden 2014. Det er et krevende oppdrag.

– Jeg stiller vanvittig høye krav til leverandøren, dersom Advania ikke hadde gjort en god jobb, hadde vi sluttet å bruke dem. Jeg er totalt avhengig av at Advania forstår hvordan jeg tenker og kan håndtere det som oppstår. Derfor håndplukker jeg konsulenter og prosjektledere er dyktige og vet hva de skal levere.

Tester sikkerheten hele tiden

Hvert år inviterer Frode Vatne og Pelagia inn et dyktig IT-miljø i Norge for å teste sikkerheten. De blir plassert på en lokasjon, får en jobb-PC, brukernavn og passord, og klar beskjed: Installer det dere trenger, og bruk de neste månedene på å bryte dere inn hos oss.

– Det er like spennende hvert år både for oss og Advania når den rapporten presenteres. Det er alltid noen funn, og hvis ikke, må IT-miljøet bruke lenger tid på å finne noe. Det dukker alltid opp noe. Og da må vi sette inn tiltak, på samme måte som vi evaluerer og setter inn tiltak gjennom året. Det er en rivende utvikling og det som var godt nok i 2022 er ikke godt nok i 2023. Advania presenterer nye tiltak hver eneste måned, sier Vatne.

Så ofte som hver tredje eller fjerde dag kommer det meldinger om hendelser fra overvåkningssystemet; SOC-en. Vatne selv sitter ikke og følger med, selv om

SOC-en er «en viktig del av livet». Advania sin SOCtjeneste er nettopp det, en sikkerhetsfunksjon som skal beskytte Pelagia utenifra, og som stadig utvikles i samarbeid med sentrale sikkerhetsmyndigheter i Norge.

– Jeg lar meg ikke stresse av antallet hendelser. Ansvaret er mitt; når ting ikke funker er det mitt ansvar, men det er ikke min jobb å få det til å funke. Jeg regner med at de som er ansatt til å følge med og håndtere hendelsene, gjør det, og at de informerer meg når det er nødvendig. Det må jeg ha full tillit til.

– Den største faren kommer innenfra

Det Vatne ikke har tillit til, er seg selv og alle som jobber eller leverer tjenester, når det gjelder sikkerhet. Hver måned har alle ansatte opplæring i sikkerhetstiltak, som for eksempel hvordan man skal avsløre forsøk på phishing. Arbeidsstokken er godt informert, likevel vet Vatne at det ikke er nok.

– Den største faren er våre egne ansatte og leverandører av IT tjenester, som slipper inn tredjepartsaktører. Idet man åpner opp for en tredjepart, åpner man samtidig opp for denne partens nettverk av kunder og leverandører. Det skal ikke mer til enn at noen er litt uforsiktige, derfor må vi jobbe mye med rutiner og holdninger. Det er for eksempel ikke lov å bruke USBstick eller privat utstyr i forbindelse med jobb. I tillegg har vi ansatte fra mange land som bruker vårt nettverk til å kontakte familien i hjemlandet. Vi nekter ikke våre ansatte kontakten med familien, men det stiller svært høye krav til sikkerhetsløsningene.

For Vatne er det ikke et spørsmål OM noen kommer til å bryte seg inn, spørsmålet er hva som skjer NÅR de bryter seg inn.

– Det som er viktig da, er at de ikke får tilgang til informasjon. Det er det vi jobber med hele tiden. Vi er totalt avhengige av å ha kontroll på infrastrukturen vår, at kontornettverket er sikkert og at produksjonsnettverket er sikkert. Det er blitt bra. Men det er aldri godt nok.

CIO Frode Vatnes tre leveregler når det gjelder IT-sikkerhet:

1. Det som er godt nok i dag, er ikke godt nok i morgen.

2. Du skal aldri ha tillit til noen, inkludert deg selv.

3. Angrep kommer innenfra.

I en verden i rask endring er evnen til raskt å kunne omstille seg avgjørende for hvor godt virksomheter lykkes. En smidig organisasjon har et mer komplekst IT-landskap da det oppstår økt avhengighet mellom ulike aktører og tjenesteleverandører. I takt med en mer ustabil verden og økt forekomst av dataangrep, har cybersikkerhet havnet høyt på agendaen til de fleste virksomheter. Men hvordan påvirker den digitale transformasjonen bedrifters sårbarhet? Og innebærer en smidig organisasjon større sikkerhetsrisiko?

I praksis kan man si at digital transformasjon er den endringsprosessen som skjer i de virksomheter som benytter ny teknologi til å forbedre betjeningen av sine kunder eller for å effektivisere egne arbeidsmetoder for å oppnå større verdi.

De siste årene har mye handlet om å migrere til skyen for å legge til rette for et fleksibelt arbeidsmiljø, skape konkurransekraft og redusere kostnader. Organisasjoners evne til å være smidige og tilpasse seg er helt avgjørende. Men hvordan har den høye endringstakten påvirket virksomhetenes sårbarhet?

Stefan Lager, SVP Information and Cyber Security i Iver, mener at transformasjonen var uunngåelig, men at endringstakten har vært så høy at mange organisasjoner lever med en stor teknisk gjeld og manglende helhetsbilde over de faktiske sikkerhetsrisikoene

– En smidig organisasjon betyr ikke nødvendigvis økt sårbarhet, men et smidig miljø uten sikkerhetsarkitektur gjør det i aller høyeste grad. Vi opplever at mange organisasjoner har en høy endringstakt der sikkerhet ikke alltid prioriteres i prosjektene, men er noe som skal legges til i etterkant.

Transformere uten å øke sårbarheten

Det er ikke lenger mulig å jobbe statisk med sikkerhet fordelt på server, applikasjon og nettverk. I dag henger dette sammen i integrerte miljøer der alt er dynamisk og der kunder, samarbeidspartnere og ansatte ofte har tilgang til ditt IT-miljø. Det nye ITlandskapet stiller nye krav til sikkerhetsarbeidet.

Tidligere hadde man perimeterbeskyttelse som kunne redusere risiko dersom man gjorde en feil i et internt miljø. I dag jobber mange i integrerte skymiljøer hvor en feil eller en sårbarhet kan få betydelig større konsekvenser. Det er derfor viktig å bygge inn sikkerhet fra starten av i alt man gjør, slik at man kan transformere uten å øke sårbarheten.

Når smidige prinsipper er avgjørende for bedrifters konkurranseevne, må sikkerhetsarbeidet utformes smart slik at sikkerheten ikke bremser farten i virksomheten.

– Til en viss grad vil sikkerhetsarbeid alltid ha innvirkning på smidigheten da det går raskere å utelate kontroller. Det er imidlertid mulig å bygge svært effektive sikkerhetsarkitekturer som utnytter automatisering og moderne verktøy for å oppnå balansen du trenger mellom risiko og smidighet.

”Smidige arbeidsmetoder handler ikke bare om teknologiendring, men også om mennesker, kultur og prosesser.”

For å vite hvor du er sårbar må du forstå alle delene og hvordan de henger sammen. Man bør gjennomføre en risikoanalyse for virksomheten der man avdekker risikoer og utformer en tiltaksplan.

Du bør stille følgende spørsmål; Hva skjer hvis vi flytter alle våre sensitive data til skyen? Hva er det verste som kan skje og hvordan kan vi beskytte oss? Videre bør man finne ut av hvordan man avdekker sårbarheter man ikke kan beskytte seg mot. Hvordan verifiserer vi kontinuerlig at vi har det nivået av beskyttelse og deteksjonsevne som vi tror vi har, og ikke minst som vi trenger?

Enkelt beskrevet finnes det fire hovedkomponen- ter å ta hensyn til; infrastruktur, applikasjoner, tilgang og data.

Man må bygge inn sikkerhet i infrastrukturen, sørge for at applikasjonene er sikre og overvåke tilgangskontrollen detaljert. Til slutt må må man sørge for at dataene er beskyttet gjennom hele levetiden; at rest, in transit and at work.

– Smidige arbeidsmetoder handler ikke bare om teknologiendring, men også om mennesker, kultur og prosesser. Ved å ha en helhetlig tilnærming til sikkerhet og en tett dialog mellom interne funksjoner, kan organisasjonen redusere sin sårbarhet i det nye IT-landskapet og samtidig fortsatt sikre smidighet og fremtidig konkurranseevne.

Iver er en ledende nordisk leverandør av skybaserte IT-tjenester. Iver bistår noen av Nordens mest kritiske virksomheter med IT og informasjonssikkerhet fra kartleggingsstadiet til gjennomføring og etablering av styresystemer, sikkerhetstjenester og sikkerhetskultur. Iver har en omsetning på litt over 3,2 milliarder kroner og har ca. 1700 ansatte som jobber fordelt på våre 25 kontorer. I Norge har Iver kontor i Oslo, Bergen, Trondheim og Stavanger.