MedMera Bank verkar i en bransch som präglas av ökade regulatoriska krav, fler cyberhot och snabbt skiftande teknologier. Teresia Willstedt, ansvarig för informationssäkerhet och kontinuitet, delar med sig av hur en mindre nischbank arbetar med att skapa säkerhet, resiliens och medvetenhet – trots begränsade resurser och ett komplext omvärldsläge.
Det viktigaste är ju alltid att identifiera sina “guldägg”..
Informationssäkerhet med begränsade resurser – att prioritera rätt i en nischbank
Att vara informationssäkerhetsansvarig på en nischbank med begränsade resurser kräver precision, prioritering och flexibilitet. På MedMera Bank vet man vikten av att fokusera på det som är mest kritiskt.
– Vi har ju inte samma resurser som de stora bankerna och därför behöver vi prioritera, förklarar Teresia. Det viktigaste är ju alltid att identifiera sina “guldägg”, det vill säga vad som är mest kritiskt för verksamheten – och det är ju ingenting som du som informationssäkerhetsansvarig kan bedöma själv, utan det måste verksamheten förmedla till dig. Därefter får man då fokusera på de bitarna, för att se till att det finns systemklassning och kontroller som motsvarar det du behöver kontrollera.
Teresia förklarar att mindre aktörer behöver tänka annorlunda än större såväl svenska som internationella banker som har helt andra resurser. Man behöver tänka på ett annat sätt och vara smartare. Eftersom banker är momsfria blir alla kostnader dessutom större än de ser ut att vara, och varje investering måste tänkas igenom noga.
– Vi måste alltid säkerställa att vi bara köper tjänster som vi faktiskt har behov av, och vi utvärderar alltid om vi kan göra något själva, utvecklar Teresia. Det kanske tar lite längre tid, men vi gör alltid en avvägning mellan kostnad och värde.
Många små och medelstora aktörer i finanssektorn ser utmaningar i att balansera affärskrav och regulatoriska krav kopplat till informationssäkerhet, och för MedMera Bank är den här balansgången ständigt närvarande. Teresia lyfter regelverket Dora som ett exempel som påverkar hela bankens verksamhet – med komplicerade krav som sällan är lätta att tolka behöver banken tänka till på hur dessa nya informationssäkerhetskrav ska balanseras med andra affärskrav.
[DORA] är ett så stort och viktigt regelverk att vi känner att vi behöver göra rätt från början för att få till en bra bas och något att bygga vidare på.
– Vi har valt att ta in en specialkompetens som klarar att tolka texterna på ett annat sätt än vi själva skulle kunna göra, berättar Teresia. Det är ett så stort och viktigt regelverk att vi känner att vi behöver göra rätt från början för att få till en bra bas och något att bygga vidare på.
För MedMera Bank är det tydligt att man ser utmaningen i att tolka regelverket från början, snarare än själva implementeringen. Det blir mycket tid till att tolka regler, men med stödet att såväl tolka reglerna som att bygga ett ramverk att arbeta efter underlättas mycket. Trots allt handlar det inte bara om att implementera nya regelverk, utan främst om att efterleva det löpande.
Hoten och kraven driver utvecklingen framåt
Bankväsendet befinner sig i ett stort skifte där kravbilden har förändrats över tid. Branschen är vana vid regulatoriska krav, men med ökande cyberhot, höga krav från bankkunder, och stora teknologiska genombrott befinner man sig i en annan miljö nu än för bara några år sedan. Teresia ser regelverken som en nödvändig struktur mitt i allt detta:
– Vår kravbild har förändrats en hel del, och jag tillhör de som faktiskt ser positivt på vissa regelverk. Med dem i ryggen får säkerhetsansvariga ett annat gehör från ledningen, särskilt när det gäller kostnader för nödvändiga åtgärder.
Teresia förklarar att man tidigare kunde behöva försvara varenda krona vid en investering, och vrida och vända på värdet det skulle ge.
Titta bara på händelser som Nordea som blev utsatta före jul – det är ju ingen hemlighet att det händer mycket.
– För några år sedan, om man ville införa exempelvis en sårbarhetsskanning, såg man kanske mest på kostnaden, men om det finns en compliance-risk blir investeringen mycket viktigare. När verksamheten redan har gjort sin riskanalys är det enklare att peka på den för att besluta om rätt vägval, så jag upplever helt enkelt att säkerhetsfrågor har kommit väldigt högt upp på agendan.
På frågan vad som driver utvecklingen svarar Teresia med ett skratt och utan att tveka:
– Hotbilden, helt klart! Titta bara på händelser som Nordea som blev utsatta före jul – det är ju ingen hemlighet att det händer mycket. Dessutom har vi, liksom många andra, fler tredjepartsleverantörer som även de har blivit utsatta för incidenter eller avbrott i tjänster vi är beroende av för att verksamheten ska fungera.
När även regelverken ställer andra krav på ledning och styrelse är Teresia återigen inne på att det blir ett helt annat gehör jämfört med för bara några år sedan. Dora och andra regelverk lägger ett större ansvar på styrelsens kompetens och förståelse för verksamhetens risker.
– Tidigare pratade vi säkerhetsansvariga mycket om att vi vill få vara med i ledningsgrupper och påverka, men nu är det snarare ett måste.
Ett nära partnerskap som svaret på hanteringen av leverantörsrelationer
I många branscher är tredjepartsfrågan en högaktuell snackis – flera är de diskussioner som finns om hur man bäst hanterar tredjepartsledet för att säkra informationssäkerheten i flera led. Teresia applicerar samma princip som tidigare när det kommer till att identifiera det som är mest kritiskt för banken. Alla kan inte hanteras med samma prioritet, utan man får identifiera de viktigaste.
– Det är inte rimligt eller görbart att gå lika djupt med alla med tanke på hur noggrant och grundligt det behöver göras för att det ska ge ett värde – det finns i alla fall inte på min karta, resonerar Teresia. Men om du ser att en viss tjänst är affärskritisk, att om den skulle gå ner så får man stora problem – ja då måste du göra en mycket grundligare analys av hur de själva arbetar med säkerhet.
En annan utmaning är att få leverantören att inse att de behöver dela med sig av information som de kanske inte gjort tidigare. Efter att ha identifierat de mest kritiska leverantörerna kanske man gör stickprov på övriga, men det gäller att veta hur man ställer krav i avtalet och hur man verifierar att de talar sanning och har rätt rutiner.
För MedMera Bank har det skett ett skifte där man nu ställer andra krav på leverantören från början. Teresia igen:
– I och med Dora har vi gått igenom alla våra viktiga avtal och ställer nu andra krav på våra leverantörer. Sen har vi inte riktigt sett hur det kommer utveckla sig – vissa leverantörer kommer vi nog få mer information från, andra kanske inte. Men jag tror att grundtanken är bra, för det är verkligen en helt annan värld vi lever i nu.
Teresia menar att även köparen av en tjänst har ett helt annat ansvar idag när det kommer till att leverantörsrelationerna. Skiftet vi befinner oss i innebär att många gör bedömningen att den bästa lösningen är att sätta sig på leverantörens sida av bordet och jobba tillsammans, snarare än bara ställa krav via avtal.
– Även som köpare har vi ett annat ansvar idag, att se till att vi inte bara får bekräftelser, utan på något sätt faktiskt se till att det är så på riktigt. Det är en utmaning.
Vi vill undvika att bara fokusera på vad som krävs här och nu, och i stället lyfta blicken mot vad som kan komma sen. Om vi på något vis kan förbereda oss på morgondagens krav så blir det lättare att ta sig an det.
Teresias tips för bättre leverantörshantering handlar om kommunikation – oavsett om det är en större eller mindre aktör. De stora leverantörerna kommer med sina bekymmer, men de mindre kan likväl ha problem med bland annat kompetens, tid eller resurser.
– Vår upplevelse är att det viktigaste är kommunikation så man inte bara hörs via en mailväxling utan verkligen pratar med dem. För de allra viktigaste försöker vi alltid få till ett partnerskap snarare än att bara köpa en tjänst. Då har man ett gemensamt ansvar, vilket underlättar när vi skickar frågebatterier om deras säkerhetsarbete.
Frågebatterierna förekommer i de allra flesta leverantöresrelationerna. Kunden vill veta hur leverantören arbetar, vilka policies som finns, hur de implementerar säkerhetsarbetet i företaget, osv. För MedMera Bank har man länge ställt sådana krav, med syfte att försöka förbereda sig för framtida krav.
– Vi vill undvika att bara fokusera på vad som krävs här och nu, och i stället lyfta blicken mot vad som kan komma sen. Om vi på något vis kan förbereda oss på morgondagens krav så blir det lättare att ta sig an det.
Hur man än vrider och vänder på det behöver hanteringen av leveranskedjan i ett mindre bolag med begränsade resurser vara effektiv och smart. Teresia och hennes kollegor har strategin klar för sig:
– Jag är tillbaka till det jag sa tidigare – det handlar om att identifiera vad som är mest väsentligt och att lägga fokus där. Är det en leverantör som är extra viktig, då måste vi få information om deras leverantörer också, alltså deras leveranskedja. Om en tredjepartsleverantör, även om den inte är den allra viktigaste, råkar ut för något så gör vi direkt en analys. Vi tittar på vad som skulle kunna påverkas, och om vi missat något vi borde ha tänkt på.
Teresia förklarar att de lägger stor vikt vid en löpande omvärldsbevakning för att hålla koll på såväl kommande regelverk, som hotaktörer, och generella snackisar i branschen. För Teresia och hennes kollegor är det viktigt att inte bara ha koll på vad som diskuteras inom EU utan även internationellt, specifikt i USA, osv – eftersom branschen inte sällan tar efter. För sin egen omvärldsbevakning förlitar hon sig på olika källor:
– Jag prenumererar på ett antal nyhetsbrev men oftast blir det ju att man bara skannar av rubriker. Teresia skrattar till och förklarar:
– Fördelen med att ha flera nyhetsbrev är att man märker om något stort händer – då skriver ju alla om det! Om det exempelvis handlar om någon sårbarhet så funderar jag på om det rör ett system eller en tjänst vi använder. Om inte så släpper jag det – jag kan inte lägga tid och energi på det som inte är direkt relevant.
Användarmedvetenhet som den eviga, ständigt aktuella, frågan
En fråga som ligger Teresia varmt om hjärtat, tillika ständigt aktuell är frågan om medvetenhet bland kollegorna. Eftersom användarna är en vanlig väg in i en organisation är det inte så konstigt att många väljer att lägga lite extra krut här, och lösningarna är många. Det finns flera verktyg på marknaden, utbildningar i olika format, och arbetssätt genom processer och rutiner som ska hjälpa användarna att göra rätt. En nyckel som Teresia vill trycka på är att göra sig själv synlig och kommunicera mycket och ofta med kollegorna, på ett sätt som känns intressant och relevant för dem.
– Jag är väldigt synlig och delar med mig av det mesta jag kommer över, även sådant som påverkar människor privat. Det kan ju finnas sådant so kan vara bra för dem att känna till privat och sånt tror jag hjälper för att bygga en stark säkerhetskultur. Det räcker ju inte att göra det på jobbet, utan det måste bli en del av ryggraden.
Teresia förklarar vidare:
– Vi har förstås också ett security awareness-program som går där vi bland annat genomför regelbundna phishing-tester. Jag tror att det är viktigt att upprätthålla sådana program – om man inte påminner människor om hur de ska agera glöms det bort snabbt. Självklart stämmer jag av med kollegorna om vad de tycker; vilka områden vill de lära sig mer om, vad funkar och vad funkra inte – allt för att identifiera eventuella kunskapsluckor som behöver fyllas.
Att lyckas eliminera alla risker tror inte Teresia är möjligt – människan gillar att klicka – men man ska kunna mitigera risken. Det handlar om att minska sannolikheten att bli utsatta för en incident för att någon har gjort något man inte borde.
Teknologin, cyberhoten, och bankernas framtid
De flesta inom banksektorn skulle nog skriva under på att DDos-hoten har varit högst upp på agendan ett tag. Fler än MedMera Bank känner förmodligen igen sig i oron kring att någon ska gå in med tillräckligt kraftfulla attacker för att skydden inte ska räcka.
– Vi hade en diskussion bara häromdagen om att blockera trafik från utlandet, men problemet med det är ju att dessa botnätverk använder infrastruktur även här i Norden. Man kan alltså inte bara blockera trafik från vissa andra länder som man upplever som osäkra, utan de hittar alltid andra vägar. Hotbilden har helt enkelt förändrats – aktörerna bygger upp hoten på ett annat sätt nu.
Vi ska ändå vara glada över vårt BankID i Sverige som gör att vi till viss del är mer skyddade – det är ju inte alla som har det över hela Europa.
Det nya sättet att operera som Teresia pratar om handlar om att göra tillvägagångssättet mer genomtänkt. Man förbereder sina offer för att underlätta tankeprocessen när något sen väl händer – offret kommer känna igen informationen som kommer, och troligare agera som angriparen vill.
– Vi ska ändå vara glada över vårt BankID i Sverige som gör att vi till viss del är mer skyddade – det är ju inte alla som har det över hela Europa. Sen kan man titta på annat, som att blockera telefonnummer som inte är svenska för att en angripare inte ska kunna utgöra sig för att vara du. Lösningarna finns, men för mindre bolag är det kostsamt än så länge.
En utmaning som allmänheten ständigt blir medvetandegjord om i såväl det stora som det lilla är bekvämligheten och användarvänligheten i banklösningar – en bank behöver balansera kunders önskemål mot rimliga åtgärder. Den här frågan har vi sett aktualiseras i samband med äldrebedrägerier, där de flesta förmodligen är överens om att åtgärder krävs – men inte så att det påverkar den egna vardagen.
För Teresia är användarvänligheten balanserat mot säkerheten en viktig faktor när hon blickar mot framtiden, men för henne är det ändå främst regelverken snarare än teknologin som sätter agendan för framtiden.
– Regelverken får ju en väldigt stor betydelse eftersom du helt enkelt inte får driva banken om du inte följer dem. Compliance blir därför väldigt betungande för hela verksamheten. Självklart är det dock alltid vad kunderna vill ha och behöver som får styra. Vi kan ju implementera massa säkerhetsfunktioner, men allt måste vara användarvänligt och ge en smidig banktjänst – inget får vara för svårt.
En annan faktor som såklart inte glöms bort är AI – som påverkar från flera håll i cybersäkerhetssfären – med AI implementerat i verktygen såväl på de kriminellas sida och i verktygen som ska skydda finns det mycket att tänka på. AI hittar avvikelser snabbare och med större precision än människor klarar av, så att försöka använda sig av det ser Teresia som en självklarhet. Även här påverkar regelverken, med AI Act som styr hur man får eller inte får använda AI-verktyg.
MedMera Banks arbete med informationssäkerhet visar att även mindre aktörer i finanssektorn kan skapa robusta och hållbara säkerhetslösningar genom rätt prioriteringar, tydliga processer och ett nära samarbete både internt och med leverantörer. Teresia Willstedt påminner om att nyckeln till framgång ligger i att arbeta proaktivt, att ha vara närvarande och kommunikativ internt för att bygga en säkerhetskultur, och att ständigt omvärdera sin riskbild. Med blicken mot framtiden ser banken både regelverk och teknologiska framsteg som drivkrafter för att fortsatt stärka sitt skydd och möta nya hot – utan att förlora fokus på användarvänlighet och affärsnytta.
