Så stärkte ett säkerhetstest Taigas satsning på digital säkerhet
Med flera offentliga organ som kunder är cybersäkerheten av största vikt för företaget Taiga. Genom att bli ”hackade” på låtsas i ett projekt via HighFive i Halmstad, kunde de ta reda på hur stark deras säkerhet var. Insatsen har stärkt det fortsatta arbetet och höjt kunskapen internt.
Taiga tar fram arbetskläder till professioner som polis, militär, ambulans, fjällräddning och kustbevakning – yrken som kräver bra utrustning. De är drygt 30 personer i Varberg och satsar mycket på digital säkerhet, bland annat med säkra påsar för mobiler som skärmar av all radiokommunikation under möten, både för anställda och gäster. Dessa används dels för att mötena ska bli mer fokuserade, dels för att ingen avlyssning ska ske när känslig information diskuteras.
– Vi tänker säkerhet och kvalitet i allt vi gör, och det gäller även vår digitala struktur. Med våra kunder på myndighetssidan blir digital säkerhet en naturlig del i vårt arbete och där anlitar vi en extern partner som har stor kompetens inom cybersäkerhet, berättar vd Martin Lindblad.
Experter och studenter testade säkerheten
Via projektet Säker digitalisering Halland 2.0 fick de möjlighet att göra ett pentest (penetrationstest), med stöd av cybersäkerhetsexperter och studenter från Högskolan i Halmstad. Pentest är en simulerad cyberattack på ett datorsystem, med syftet att testa systemets säkerhet och hitta eventuella sårbarheter.
I Taigas fall testades utöver den digitala säkerheten även den fysiska säkerheten. På så sätt fick de reda på hur lätt det var för en utomstående att ta sig in i deras lokaler och komma åt deras system, genom att placera till exempel en usb-sticka i ett nätverksuttag.
– För den fysiska säkerheten fick vi bra betyg. Vem som helst kan inte komma in här utan att identifiera sig och vi har även kameraövervakning utanför kontorstid. Det är därmed rätt svårt att komma in. Vi verkar även ligga på en bra nivå med det digitala där alla anställda har tvåfaktorsautentisering – något som verkar vara ganska ovanligt bland mindre företag, säger Martin Lindblad.
Låg kunskap bland många företag idag
Enligt Martin Lindblad har många företag låg kunskap om digital säkerhet och öppna miljöer, även om det finns ganska enkla metoder för att förbättra den – som med identifiering. Har man inte drabbats av en attack kanske man inte ser hotet på allvar, något som på sikt kan leda till negativa konsekvenser då kunder vill ha leverantörer med koll.
– Ur ett samhällsperspektiv måste företag ta cybersäkerhet på större allvar, för system hackas och stängs ner hela tiden och här finns den stora kriminaliteten idag. Det är också viktigt att statliga organisationer stöttar företag i detta, för alla har inte tiden, pengarna eller kunskapen som krävs. Få företag vet vad de ska satsa på, eller vad de behöver lära sig, säger Martin Lindblad.
Ett stärkande utifrånperspektiv
För Taigas del blev pentestet en lyckad satsning som har stärkt deras arbete med cybersäkerhet. Framför allt beskriver Martin Lindblad att frågan får en annan tyngd när företaget beslutat att göra testet samt när experter utifrån pekar på vad som är viktigt att tänka på.
– Det är en stor vinst att kunskapen och faktan kommer utifrån, så jag inte bara står själv och tjatar om de här frågorna internt. När vi också får svart på vitt hur sårbara vi är gör det sammantaget att vi faktiskt förflyttar oss och gör de förändringar som behövs, säger Martin Lindblad.
En annan vinst är att det även blir lättare att svara på frågor som varför företaget behöver tvåfaktorsautentisering och kameraövervakning, genom att hänvisa till testet och peka på vilka risker som experter lyfter.
Vilka åtgärder har ni vidtagit och hur fortsätter ni framåt?
– Vi har bland annat hört av oss till vår webbyrå och pekat på saker de måste åtgärda samt fokuserar ännu mer på att köpa Europaproducerad teknik, för att minska risken för avlyssning från till exempel Kina, säger Martin Lindblad och fortsätter:
– Nu försöker vi utbilda oss ännu mer, där vår it-utvecklare och ett antal medarbetare är särskilt insatta i frågan. Att vara med i projekt med tester och utbildningar är ett bra sätt att lära sig mer och hålla sig uppdaterad, så det välkomnar vi. Ett annat konkret steg är också att ansöka om ISO 27001, för cyber- och informationssäkerhet. Då får vi gräva djupt i dessa frågor, avslutar Martin Lindblad.