Antall cyberangrep er i sterk vekst. – Sikkerhetstruslene endrer seg hele tiden og det er viktig å følge utviklingen nøye. Vi har gode prosesser som sikrer at vi kontinuerlig forbedrer vårt forsvar og er i forkant av nye trusler, sier Formuesforvaltnings sikkerhetssjef Dayne Skolmen.
Ondsinnede aktører jakter konstant på svakheter i virksomheters it-systemer slik at de kan hacke seg inn for å stjele informasjon, be om løsepenger eller gjøre annen skade. Angrepene mot Stortinget, Amedia og Nordic Choice Hotels er bare noen av eksempler blant mange. Hver uke gjennomføres det 450 dataangrep mot norske bedrifter, ifølge tall fra digi.no.
Formuesforvaltnings spydspiss mot cyberangrep er selskapets nye Chief Information Security Officer (CISO) Dayne Skolmen. Hans hovedansvar er å sikre konfidensialitet, integritet og tilgjengelighet av selskapets og kundenes informasjon gjennom å etablere prosesser som reduserer selskapets sikkerhetsrisiko.
– Jeg har jobbet med sikkerhetsprosesser i flere selskaper og sektorer. Jeg har observert ulik tilnærming til håndtering av informasjonsrisiko. Denne erfaringen vil bli verdifull i min rolle i Formuesforvaltning der jeg kontinuerlig vil vurdere, implementere og forbedre selskapets håndtering av informasjonssikkerhet, sier Skolmen.
Vokste opp i Sør-Afrika
Skolmen kommer fra Sør-Afrika, men som etternavnet røper har han slekt i Norge. En livslang drøm om å bosette seg i Norge ble oppfylt da han i fjor fikk jobb her. Etter et knapt år i Norge har han funnet seg godt til rette.
– På fritiden driver jeg slektsgransking på min norske slekt, skriver artikler og spiller vannpolo for Vika Idrettsforening vannpoloklubb, forteller han.
– Min interesse for informasjonssikkerhet begynte på universitetet. Denne interessen har jeg fulgt og videreutviklet gjennom hele min karriere. Med meg inn i Formuesforvaltning har jeg erfaring fra ulike roller innenfor informasjonssikkerhet, blant annet i William Hill International og Signicat.
Opptatt av forsvar: Dayne Skolmen er ny sjef for it-sikkerhet i Formuesforvaltning.
Mest bekymret for det ukjente
– Hva er de største sikkerhetstruslene som holder deg våken om natten?
– Det er alt det ukjente. Jeg tenker på hvorvidt vi er nok forberedt på det som måtte komme og om vi har gjort nok for å oppdage og hindre et angrep i tide, sier Skolmen.
Han nevner fire punkter han har høyt på radaren:
- Overvåking: Man må kontinuerlig overvåke systemene slik at man oppdager et angrep før det får ødeleggende konsekvenser. I Formuesforvaltning brukes ledende systemer for cyber-sikkerhet for å oppdage ondsinnet aktivitet. Det følges nøye med på varsler og man går jevnlig gjennom systemene for å sikre at disse er riktig satt opp og dekker alle plattformer og nettverk.
- Forutse brukeradferd: Man må raskt oppdage avvik fra retningslinjene og være sikker på at forsvaret ikke er svekket. Man må sørge for at ansatte er i stand til å oppdage såkalte phishing-forsøk (der en angriper ved hjelp av sosial manipulasjon forsøker å lure noen til å utføre en handling for eksempel åpne et e-postvedlegg, klikke på en lenke eller betale en falsk regning). De må også vite hvordan de skal agere dersom de kommer i skade for å gjøre en handling de ikke burde ha gjort. Det er viktig å gjennomføre jevnlige sikkerhetsopplæringer og følge opp med tester for å se hvilken effekt opplæringen har hatt. I tillegg må det regelmessig sendes ut informasjon til de ansatte etter hvert som nye trusler oppdages.
- Forstå hvem som har informasjon og hvordan den er sikret: Man må ha full oversikt over hvordan alle våre leverandører, samarbeidspartnere og deres underleverandører håndterer selskapets informasjon. Formuesforvaltning har prosesser for risikovurdering av leverandører for å forstå og begrense sikkerhetsrisikoer som er på utsiden av selskapets direkte kontroll.
- Responstid ved hendelser: Man må ha en rask, effektiv og korrekt respons på hendelser som kan true it-sikkerheten. God sikkerhetsopplæring sikrer at ansatte rapporterer mistenkelige hendelser så raskt som mulig slik at man kan undersøke nærmere, begrense skadeomfanget og innføre tiltak.
Ser mer avansert phishing-svindel
– Er noen trusler fremover vi må være spesielt forberedt på?
– Jeg ser utfordringer med økt bruk av hjemmekontor og med mer sofistikerte phishing-angrep som blir vanskelig å skille fra vanlig kommunikasjon. Risikobildet utvikler seg konstant og vi følger tett nye trender og endringer. Våre prosesser er bygget på en fleksible og adaptiv måte for å sikre at vi har det nødvendige forsvaret og at vi ligger i forkant.
God kultur for sikkerhet er avgjørende
Avslutningsvis trekker Skolmen frem på at god forståelse og kultur for sikkerhet blant de ansatte er avgjørende for å lykkes.
– Det er utrolig viktig at ansatte forstår hvor mye de påvirker virksomhetens sikkerhet. De må forstå betydningen av sikkerhetstiltakene og implikasjonene dersom de ikke følger rutinene. Når dette blir riktig kommunisert, forstått og implementert kommer endringene lettere, sier han.
– I Formuesforvaltning er sikkerhet høyt prioritert i toppledelsen og det setter tonen for resten av selskapet. Et av de strategiske målene jeg har satt er å tilpasse selskapets sikkerhetsprosesser opp mot den globalt anerkjente og respekterte standarden for it-sikkerhet, kalt ISO27001. Målet er å oppnå denne sertifiseringen. Det vil gi en ytterligere bekreftelse på effektiviteten i Formuesforvaltnings styring av informasjonssikkerhet.