Under mars månad 2025 satte sig Jonas Stewén ner med Christian Bengtsson, CSO och chef för Säkerhet på Bankgirot, för att prata om de ökande geopolitiska riskerna, det förändrade hotlandskapet och hur Bankgirot arbetar strategiskt för att skydda Sveriges betalinfrastruktur. Samtalet gav en inblick i hur organisationen kombinerar teknisk motståndskraft med en stark säkerhetskultur, samtidigt som de rustar sig för regelverk såsom DORA och NIS2.
Bankgirots strategi för att bedöma och hantera de största geopolitiska riskerna idag
”De geopolitiska riskerna har inte bara intensifierats utan också blivit alltmer komplexa i en tid av internationella maktkamper, ekonomiska sanktioner och cyberkrigföring”, säger Christian. ”För Bankgirot, som bedriver en verksamhet som alltid måste fungera, jobbar vi ständigt med att hålla oss uppdaterade kring hotbild, risker, och vilka åtgärder vi tar för att mitigera dessa. Den senaste tiden har vi också sett att förändringarna på dessa områden kan gå väldigt fort och det är därför viktigt att arbeta med detta kontinuerligt och inte bara en gång om året”.
Bankgirot jobbar nära kollegorna i branschen och med berörda myndigheter för att hålla sig uppdaterade – det har hänt mycket på området sedan 2022, exempelvis genom etableringen av Nationellt Cybersäkerhetscenter (NCSC) och samverkan utvecklas hela tiden. Eftersom Bankgirot precis som samhället i stort hela tiden höjer ambitionerna på säkerhetsområdet, tittar man också på hur man som central aktör kan ta en större roll och i större utsträckning bidra till att driva säkerhetsfrågorna i sektorn.
”Vi verkar enbart på den svenska marknaden, men även här så påverkas vi av geopolitiska förändringar”, förklarar Christian. ”Vi har under de senaste åren sett ett antal omvärldshändelser som gått emot vad vi i Sverige kanske naivt trodde skulle kunna hända, och vi behöver kunna förhålla oss till dessa ändringar och anpassa oss. Under ständigt föränderliga förutsättningar gäller det t.ex. alltid att fundera på vem man kan lita på.”
Christian menar att alla behöver göra egna bedömningar kring vilka hot som ens egen verksamhet är utsatt för och vilka incitament som kan finnas hos en hotaktör för att angripa verksamheten. Därefter vidtas åtgärder, både tekniska men även kring arbetssätt och motståndskraft och hur man bygger vidare på detta. Verksamheten behöver heller inte alltid vara det primära målet, utan är kanske endast en bricka i ett större spel.
Han avslutar: ”Vi tror på en öppen dialog och samarbete där vi regelbundet diskuterar aktuella risker med intressenter och myndigheter för att säkerställa att vi tillsammans är förberedda på att hantera de utmaningar vi ställs inför.”
De mest kritiska cyberrelaterade hoten mot den skandinaviska finanssektorn kräver en strategi
Här måste vi som beställare också kräva mer av våra leverantörer, säkerhet måste prioriteras och inte bara vara något som finns i teorin.
Som många andra aktörer i den finansiella sektorn ser Bankgirot fortsatt hot som överbelastningsattacker, skadlig kod, ransomware och leverantörskedjeattacker som de mest sannolika att ställas inför. Dessa hot utvecklas snabbt och kan få betydande påverkan såväl direkt som indirekt på många, beroende på vem som utsätts för angreppen.
”Koncentrationsrisken hos ett antal stora leverantörer ska inte underskattas – vi har sett flera exempel i samhället på hur många som kan bli påverkade av angrepp mot leverantörskedjan”, konstaterar Christian. ”Här måste vi som beställare också kräva mer av våra leverantörer, säkerhet måste prioriteras och inte bara vara något som finns i teorin.”
Han menar att flera aktörer i samhället behöver ta höjd för statsstödda hotaktörer och hybridangrepp – cyberattacker med en geopolitisk agenda som inte bara syftar till ekonomisk vinning utan också till att destabilisera samhället. Gråzons-problematiken där fysiska angrepp eller sabotage på viktiga samhällsfunktioner som kan påverkas, direkt eller indirekt, är också något som man bevakar och kontinuerligt bedömer.
Överlag är det viktigt att kunna möta hoten med en utvecklad threat intelligence (hotunderrättelse), teknisk motståndskraft och en inarbetad säkerhetskultur.
Som erfaren CSO har Christian upplevt hur tekniken förändras – även på hotsidan. ”Tittar vi på evolutionen av mer klassiska hot så ser vi att alltmer sofistikerade phishing-kampanjer och identitetsbedrägerier genomförs med AI-stöd och deepfakes nu. Vi kan se exempel på även mycket säkerhetsmedvetna organisationer som drabbas, vilket visar på hur viktigt det är att bygga en stark säkerhetskultur som sitter i ryggmärgen hos alla medarbetare – man ska inte dra sig för att rapportera när något verkar fel”, betonar Christian med eftertryck.” Han tillägger: ”Den här säkerhetskulturen omfattar våra gemensamma attityder, beteenden och vanor kring säkerhet – både individuellt och som organisation”.
Den nyligen presenterade nationella svenska cybersäkerhetsstrategin sätter tydligt fokus på att stärka Sveriges förmåga att hantera och förebygga cyberhot genom ökad samverkan mellan myndigheter, privata aktörer och andra intressenter. Strategin betonar vikten av att arbeta proaktivt tillsammans – något Christian och hans kollegor på Bankgirot välkomnar.
Kort och tydligt sammanfattar han: ”Överlag är det viktigt att kunna möta hoten med en utvecklad threat intelligence (hotunderrättelse), teknisk motståndskraft och en inarbetad säkerhetskultur.”
rea
En vision och en målbild kring hur man vill jobba med säkerhet
Vårt mål är att tillsammans med bankerna skapa ett robust och framtidssäkrat ekosystem
Den svenska betalinfrastrukturen moderniseras och framtidssäkras och i det arbetet spelar Bankgirot en viktig roll – det är organisationens uppgift att se till att dagens betalsystem fortsätter att fungera som det ska, samtidigt som man fortsätter att utveckla morgondagens stabila och säkra system som följer internationella standarder och svenska regelverk.
Christian konstaterar att säkerhetsarbetet är avgörande i varje del av utvecklingen. ”Vårt mål är att erbjuda ett motståndskraftigt betalsystem som möjliggör innovation, regelefterlevnad och utveckling för våra kunder, och i alla delar av det här spelar säkerhetsarbetet en avgörande roll.” Han vidareutvecklar: ”Vårt mål är att tillsammans med bankerna skapa ett robust och framtidssäkrat ekosystem. Tillvägagångssättet kan låta enkelt – genom att arbeta proaktivt och ligga i framkant med avancerade tekniska säkerhetslösningar, nyttja ny teknik som effektiviserar vårt arbetssätt och förankra en säkerhetskultur i alla delar av verksamhet möter vi dagens och morgondagens utmaningar.”
Som chef för Säkerhet har Christian ett tydligt uppdrag; att säkerställa att säkerhet inte är ett sidospår, utan en integrerad och drivande kraft i hela verksamheten. ”Genom att arbeta målmedvetet och proaktivt bygger vi inte bara en säkerhetslösning – vi skapar en trygg och hållbar miljö där innovativa teknologiska lösningar möter ett robust försvar. Vår ambition om att vara en ledande aktör i sektorn inom säkerhetsområdet innebär att vi ständigt strävar efter förbättring och innovation, med ett helhjärtat engagemang för att skydda och främja en säker framtid för hela den finansiella sektorn.”
Organisation och stöd från ledningen – nyckeln till en hållbar säkerhetsstrategi
Christian poängterar vikten av att det finns en koppling till ledningen och att ledningsgruppen förstår förutsättningarna och varför vi alla behöver tänka och jobba med säkerhet. En del i Bankgirots arbete med Säkerhet har därför varit att se över hur man är organiserade.
”Den 1 januari i år etablerades ett nytt affärsområde som rapporterar till VD, ’Säkerhet & Beredskap’, med vilket Bankgirot vill ge dessa områden ett större fokus”, säger Christian. Han vidareutvecklar: ”Vi behöver belysa vikten av hur centrala dessa frågor är och ge dem mer utrymme för diskussion i Bankgirots ledningsgrupp, där vi är representerade av affärsområdeschefen för Säkerhet & Beredskap, Mikael Nyman, som anslöt till Bankgirot i början av året. Som företag anser vi att det är viktigt att hålla samman beredskapsarbetet med Säkerhet för att uppnå en hög motståndskraft i allt vi gör och kunna hantera allt från en vanlig incident till ett läge i samhället med höjd beredskap ”.
Efter att under en längre tid ha arbetat målmedvetet med att skapa en kultur där säkerhet är en affärskritisk fråga, vill Bankgirot fortsätta utveckla vad detta innebär och hur man agerar.
Han förklarar organisationsförändringen såhär: ”Vi har redan sen många år tillbaka ett stort engagemang för säkerhet, säkerhetsskydd, civilt försvar och beredskap i organisationen, men med utvecklingen i omvärlden behöver vi fortsätta arbeta in detta i ryggraden hos medarbetare och leverantörer. Alla inblandade vet att de produkter vi levererar är en viktig pusselbit för att betal-Sverige ska kunna fungera och detta ska genomsyra beslut och agerande, från styrelse ner till enskilda medarbetare.”
Regelefterlevnad i praktiken: förberedelser inför EU:s nya cybersäkerhetslagar
Nya regelverk som DORA och NIS2 ställer allt högre krav på operativ motståndskraft, rapportering och transparens. Bankgirot regleras under annat regelverk men behöver ändå som leverantör säkra sin efterlevnad liksom alla andra som träffas av regelverken, och tar samtidigt generell inspiration från de nya regelverken för att höja sin egen standard och bygga ett ännu starkare försvar.
”Vi är hårt reglerade och påverkas av många regelverk på flera områden, bland annat vad gäller säkerhet”, förklarar Christian. ”För oss innebär detta ett kontinuerligt arbete med att anpassa våra processer i takt med att regelverken utvecklas”. Han menar att en proaktiv och fokuserad ansats är avgörande för att identifiera de områden som behöver hanteras, eftersom regelverken oftast endast sätter en lägsta nivå; det är genom en gedigen risk- och hotbedömning som man kan fastställa vilka säkerhetsåtgärder som verkligen behövs i verksamheten. Det kan vara annat än vad som uttryckligen står i regelverken och dessutom förändras verkligheten snabbare än vad regelverken hinner uppdateras.
Organisationer som träffas av många regelverk kan dra nytta av att hitta flexibla och anpassningsbara arbetssätt med fokus på de högsta riskerna. Man behöver helt enkelt förstå sin verksamhet och dess processer för att kunna implementera regelverk och säkerhet på ett smart och effektivt sätt.
Christian beskriver utmaningen: ”Liksom många andra utmanas även vi av ständiga förändringar i regelverken, som ibland även kan upplevas vara motstridiga, såväl som i verkligheten runt om oss. Men jag tror att de som lyckas med detta kommer bygga en mer dynamisk och motståndskraftig verksamhet, som bättre möter kommande utmaningar.”
Han resonerar vidare: ”Något vi arbetar med är att integrera de nya kraven tillsammans i hela verksamheten – med det tror vi att vi snabbare kan anpassa oss till de allt högre krav som ställs. Genom att ha en ambition långt över miniminivån och arbeta strategiskt med riskbedömning, har vi bättre förutsättningar att på ett affärsmässigt och ansvarsfullt sätt möta de utmaningar vi alla står inför.”
Hotunderrättelser för att hjälpa organisationen att fatta rätt beslut
Threat Intelligence, eller hotunderrättelse, är en central del av Bankgirots säkerhetsarbete, något som Christian menar borde utföras i många verksamheter.
”Vi arbetar med att kontinuerligt samla in och analysera data från både interna och externa källor samt i samverkan med andra aktörer, för att proaktivt identifiera förändringar i hotlandskapet. Det här omvandlar vi sen till affärsrelevant information för att möjliggöra snabba, välgrundade beslut på strategisk nivå. Genom att arbeta på det sättet kan vi adressera och prioritera inriktningen på åtgärder och resurser till de områden där riskerna och hoten är som högst.”
Christian uppmanar organisationer att inte se threat intelligence som enbart en teknisk funktion inom säkerhetsarbetet, utan väva ihop detta med annan omvärlds- och marknadsinformation, och se det som en strategisk resurs som kan omvandlas till konkreta konkurrensfördelar och möjliggöra för organisationen att ligga steget före.
Han tipsar organisationer som vill arbeta mer med hotunderrättelser: ”Om du vill få värde ur att arbeta med threat intelligence så behöver du först förstå vad det är för informationsbehov du har och hur du vill använda det underlag du får ut. Du behöver också identifiera vilka målgrupperna för informationsinhämtningen är internt och vad dessa faktiskt har för behov. Målgruppernas behov kan variera i allt från operationellt i det dagliga arbetet i SOC och CISRT, till din verksamhets strategiska styrning.”
Realistiska scenarion med threat-led penetration testing
Vi skapar scenarion utifrån vår hotunderrättelseprocess för att förankra testningen så nära verkligheten som möjligt.
Threat-Led Penetration Testing (förkortas TLPT) förekommer som krav i regelverk såsom DORA och genom ramverk som TIBER. Dessa går längre än traditionella penetrationstester genom att utgå från verkliga hot och simulera realistiska attackscenarier. Testen kan även inkludera social engineering och fysiska intrång. Genom detta utmanas system och processer på ett sätt som speglar hela attackkedjan – från initial åtkomst till dataexfiltration – vilket ger organisationen en holistisk bild av sin motståndskraft. Vidare får man också möjlighet att verifiera att de beslut och åtgärder man har tagit faktiskt fungerar som tänkt – och om inte, justera och förbättra dessa.
Christian beskriver arbetet på Bankgirot: ”Vi skapar scenarion utifrån vår hotunderrättelseprocess för att förankra testningen så nära verkligheten som möjligt. Här är det viktigt att förstå sin motståndare, vilka tekniker och förmågor de faktiskt har, och utifrån detta bygga scenarierna som genomförs och på så sätt maximera värdet, då det är omöjligt att testa allt.” Här betonar Christian att det förstås är tätt sammankopplat med samma val du behöver göra när du väljer säkerhetsåtgärder, men menar att den som testar med förutsättningarna att angriparen har en för låg nivå av sofistikering kanske faktiskt inte kan upptäcka de mest relevanta svagheterna och bristerna i sina åtgärder.
”Jag menar att tester måste vara en integrerad del av vår förbättringscykel. Här jobbar Bankgirot på ett eget koncept som vi kallar ”Testdriven Säkerhet” – baserat på våra lärdomar och erfarenheter på området.”
Att skapa ett säkert och motståndskraftigt finansiellt ekosystem kräver mer än tekniska lösningar och regelefterlevnad – det kräver långsiktigt engagemang, samverkan och en djup förståelse för det föränderliga hotlandskapet.
På Bankgirot är säkerhet inte bara en teknisk fråga, utan en strategisk grundpelare som genomsyrar hela organisationen. Genom att kombinera proaktivt arbete med hög ambitionsnivå, en stark säkerhetskultur och avancerade metoder för hotanalys och testning, tar man ett tydligt ansvar för både sin egen roll och genom att bidra i det större ekosystemet. Med blicken framåt och fötterna stadigt i verkligheten fortsätter Christian Bengtsson och hans kollegor att stärka Sveriges digitala betalningsinfrastruktur.
