Kundernes tillid betyder alt for pensionsgiganten Alecta. Derfor er evnen til at beskytte kundernes informationer en af de vigtigste dele af deres forretning. Sammen med CGI har Alecta styrket deres cybersikkerhed væsentligt i de senere år. Samtidig har de skabt måder at arbejde mere proaktivt på for at håndtere aktuelle trusler.
Med næsten 2,5 mio. private kunder er Alecta Sveriges største pensionsselskab. Alecta administrerer en kapital på mere end 800 mia. SEK – et kæmpestort ansvar, som kræver it-sikkerhed på højeste niveau.
”I vores branche er troværdighed utrolig vigtigt. Kunden skal kunne stole på, at vi administrerer deres oplysninger på en sikker og ansvarlig måde. Det er vores topprioritet. Vi har ikke råd til at miste denne tillid,” siger Ulf Larsson, it-chef hos Alecta.
For at beskytte kundernes oplysninger og midler har Alecta valgt at outsource deres it-drift til CGI. Dette samarbejde startede tilbage i 1996 og er blevet betydeligt styrket i løbet af de seneste år i takt med, at sikkerhed er rykket højere op på ledelsens dagsorden.
”Vi har øget investeringerne i it-sikkerhed betydeligt på blot få år, og sammen med CGI har vi øget beskyttelsesniveauet. It-sikkerhed er nu en del af praktisk talt alle kommercielle forretninger og et emne, som man beskæftiger sig med på bestyrelsesniveau. Sådan var det ikke for 5-10 år siden. Der er en meget stor forskel,” siger Ulf Larsson.
Alecta tog bl.a. en strategisk beslutning om at følge den internationale standard ISO 27 000 for it-sikkerhed. De anvender også CGI’s sikkerhedsservice SOC (Security Operations Centers) for at bevare et totalt overblik over forskellige trusler.
OM ALECTA
ALECTA HÅNDTERER pensioner for 2,4 mio. mennesker og 34.000 virksomheder i Sverige. Selskabet er ejet af kunderne og håndterer kun kollektivt aftalte pensioner så som ITP. Alecta er en af de største ejere af Stockholms Børs og en af Sveriges største ejendomsejere. Selskabet blev grundlagt i 1917 og har p.t. omkring 350 medarbejdere.
”Den største trussel er, at man ikke tager det seriøst. Derfor føles det utroligt betryggende at have en stor og kompetent partner som CGI, der tager vores sikkerhed meget seriøst. Vi er gode til at udvikle forsikringssystemer, men vi er ikke lige så gode til it-sikkerhed,” siger Ulf Larsson.
Som alle større finansielle selskaber skal Alecta beskytte sig mod både interne og eksterne trusler. De skal også tage sig af løbende interne audits såvel som tilsyn fra det svenske Financial Supervisory Authority og andre organer.
”Der går trods alt mange penge igennem vores systemer, så vi skal både være beskyttet fra et systemperspektiv og gøre det rigtige internt. For os er det et spørgsmål om, at vi er sikre på at gøre det rigtige. Og alligevel kan der altid ske noget. Men vi har arbejdet seriøst og troværdigt med disse udfordringer og kan være sikre på, at vores niveau er højt,” siger Ulf Larsson.
Services såsom SOC hjælper også Alecta med at beskytte sig selv mod nye globale trusler, og Ulf Larsson tror, at den slags proaktive løsninger er en vigtig strategi at beskæftige sig med i en tid, hvor mere og mere af it-infrastrukturen er i skyen.
”SOC hjælper os med at gå fra reaktiv it-sikkerhed til proaktivitet og viser, at CGI har en stor ekspertise, som vi aldrig selv vil kunne opnå på dette område. I dag handler sikkerhed i høj grad om proaktiv overvågning, mønstergenkendelse o. lign. Vi må være med på toget,” siger Ulf Larsson.
3 tips til it-sikkerhed
- Tro ikke, du kan gøre det hele selv. Det er et stort, komplekst område, som hele tiden vokser. Du må alliere dig med eksperter og opbygge et omfattende samarbejde med dem.
- Sæt en klar standard, som du arbejder efter, og som hjælper alle ansatte med at fokusere på at overholde denne standard. Hvis I ikke kan blive enige om, hvor I skal hen, vil der ikke ske noget.
- Sikr dig, at hele ledelsesteamet er med og har fokus på dette område. Hvis det ikke allerede er på bestyrelsens agenda, skal det komme det. Ellers skal du kæmpe for hvert eneste initiativ. Der skal være bevidsthed på ledelsesniveau om, at dette er vigtigt.
Hos Alecta er it-sikkerhed nu en del af stort set alle kommercielle forretninger og et emne, som man beskæftiger sig med på bestyrelsesniveau.
Det er værd at beskytte informationssikkerheden
Når cyberrisici dukker op, kan de true hele virksomhedens eksistens. En cyberforsikring rettet mod SME’er dækker i tilfælde af cyberskader.
Hvad er de mest typiske udfordringer, som virksomheder står over for på dette område?
Især mindre virksomheder har udfordringer med at genkende cyberrisici relateret til deres forretning og driftsnetværk. Det kan også være svært at forstå, hvordan forskellige digitale løsninger er forbundet med virksomhedens forretning, og hvordan de påvirker dens økonomiske resultater. Derudover kan den nye GDPR-lovgivning, dens krav og implementering være en udfordring.
Hvordan skal jeg forberede mig på informationssikkerhedsrisici?
En informationssikkerhedspolitik eller instruktioner, der beskriver vigtigheden af informationssikkerhed og databeskyttelse af virksomhedens forretning, skal udarbejdes, og alle medarbejdere skal trænes i overholdelse af denne. Mht. informationssikkerhed er minimumskravet at beskytte virksomhedens ICT-enheder og netværk med up to date-antivirussoftware, firewalls og backup.
Hvorfor skal jeg have en cyberforsikring?
I værste fald kan et cyberangreb afbryde virksomhedens forretning i lang tid og forårsage betydelige økonomiske tab for virksomheden, dens samarbejdspartnere og kunder. Traditionelle forsikringer dækker ikke omkostninger til sikkerhedsbrud, datatab eller omkostninger opstået som resultat af andre lignende cyberrisici. Information ejet af anden part, såsom kundedata, er ofte i fare. Data kan mistes eller falde i de forkerte hænder. En cyberforsikring gør det muligt for virksomheden delvist at forberede sig på de forpligtelser, de står over for efter et cyberangreb eller et brud på sikkerheden.
Hvad dækker en cyberforsikring?
Den dækker direkte krisestyringsomkostninger op til det aftalte forsikrede beløb, efterfølgende tab forvoldt af indehaveren af forsikringen samt økonomisk skade forvoldt af anden part som et resultat af sikkerhedsbruddet. Krisestyringsomkostninger inkluderer omkostninger til eksperthjælp. De dækker også omkostninger til gendannelse af filer og software samt omkostninger, der er opstået som et resultat af de kommunikationsforpligtelser, der er fastlagt i GDPR. Cyberforsikringen dækker ikke personskade, lidelser, beskadigelse af ejendom eller bøder. Derudover dækker forsikringen ikke skader forvoldt pga. utilstrækkelige firewalls eller antivirussoftware, eller hvis man ikke har taget daglig backup.