Det nylige ransomware-angreb på en anden leverandør af HR-systemer – som påvirkede hundredvis af svenske kommuner – er en tydelig påmindelse om, hvor alvorlige og skadelige sådanne hændelser kan være. Vores tanker går til alle, der er berørt, og som nu står midt i en udfordrende situation.
Det er naturligt, at mange HR-ledere nu stiller sig selv et svært, men vigtigt spørgsmål: Hvor sikre er vores data egentlig?
Datasikkerhed er et ansvar, vi alle deler – og et ansvar vi tager meget alvorligt hos CatalystOne. For at skabe klarhed og tryghed har vores CEO, Avtar Jasser, haft en åben samtale med vores Chief Information Security Officer, Christian Holthe. Sammen diskuterer de, hvad der skete, hvad det betyder for HR-ledere, og hvilke tiltag vi har på plads for at beskytte jeres HR-data.
Avtar: Hvad skete der egentlig i Sverige, og hvorfor er så mange organisationer bekymrede?
Christian: En IT-leverandør til svenske kommuner blev ramt af et ransomware-angreb, som skabte store forstyrrelser. Systemer, der understøtter alt fra sygefraværsstyring til HR-data, gik offline – og i nogle tilfælde blev persondata alvorligt kompromitteret. Det er derfor naturligt at det rejser spørgsmål hos enhver organisation, der benytter digitale HR-systemer.
Avtar: Kan noget lignende ske for CatalystOnes kunder?
Christian: Ingen leverandør kan påstå at være helt immun over for cyberkriminalitet. Men vi har opbygget CatalystOnes sikkerhedsmodel til at minimere både sandsynligheden for og konsekvenserne af et sådan angreb. Vores processer og metoder bygger på international best-practice og kontinuerlig forbedring. Hændelserne i Sverige ændrer ikke vores robusthed – men de understreger vigtigheden af gennemsigtighed og højt niveau af opmærksomhed på IT sikkerhed.
Avtar: Hvad gør CatalystOnes sikkerhed anderledes?
Christian: Vores sikkerhedsstrategi består af flere lag, som tilsammen giver både os og vores kunder tryghed for, at HR-data er beskyttet:
-
ISO 27001-certificering
Vi er certificeret efter den internationale ISO 27001-standard. Det betyder, at vores sikkerhedsprocesser ikke blot er designet til at beskytte dine data – det bliver også uafhængigt revideret regelmæssigt. For dig som kunde er det ikke bare et certifikat på væggen: Det er en garanti for, at vi følger gennemprøvede, globalt anerkendte best practices. Vi ser compliance som et minimum, ikke et maksimum, og vi inviterer vores kunder til at stille spørgsmål og holde os ansvarlige. -
Robusthed mod ransomware
Vi arbejder ud fra et “defence-in-depth”-princip, som betyder flere lag af beskyttelse: avanceret endpoint-sikkerhed, netværksovervågning og brug af permanente backups, som ikke kan ændres eller slettes af angribere. Hvis et system bliver kompromitteret, kan vi gendanne fra rene backups – hurtigt og sikkert. Det betyder i praksis, at du kan have ro i sindet, selv i et worst-case-scenarie. -
Kontinuerlig overvågning
Sikkerhed er ikke noget, vi kun tjekker én gang om året – det er noget, vi lever hver dag. Vores miljøer overvåges 24/7 af både interne specialister og et eksternt Security Operations Center. Det betyder, at eventuel unormal aktivitet bliver opdaget hurtigt, og vi kan reagere, inden det udvikler sig til en trussel. -
Zero trust-princip
Adgang til systemer og data styres stramt gennem Single Sign-On (SSO), Multi-Factor Authentication og rollebaserede rettigheder. Vi følger princippet om “least privilege”, hvilket betyder at ingen, heller ikke vores egne medarbejdere, har mere adgang end absolut nødvendigt. For kunderne betyder det, at følsomme HR-data kun er tilgængelige for de rette personer, på det rette tidspunkt og af den rette grund. -
Regelmæssige tests og træning
Teknologi alene er ikke nok – mennesker er lige så vigtige. Derfor gennemfører vi løbende penetrationstests og sikkerhedsvurderinger af vores systemer. Samtidig investerer vi massivt i træning af vores medarbejdere, fordi et veluddannet team er den bedste forsvarslinje.
Avtar: Hvordan sikrer I driftsstabilitet, hvis det uventede sker?
Christian: Vi arbejder altid med redundans og recovery i baghovedet. Vores disaster recovery-planer testes regelmæssigt, og vi har permanente backups, så vi hurtigt og sikkert kan gendanne driften – selv i et worst-case-scenarie. For kunder betyder det enkelt sagt: selv hvis det uventede sker, kan jeres HR-processer fortsætte med minimal afbrydelse.
Avtar: Hvad vil du sige til kunder, der er bekymrede lige nu?
Christian: Først og fremmest: Vi forstår jeres bekymring. Hændelser som denne minder os om, hvor afgørende tillid og sikkerhed er i vores branche. Hos CatalystOne er jeres data ikke bare tal i et system – de repræsenterer jeres ansatte. Derfor er beskyttelsen af dem vores højeste prioritet.
Vi ser os selv som mere end blot en leverandør. Vi er jeres partner – en nordisk partner, tæt på jer og underlagt de samme regler, krav og rammer som jer. Den nærhed betyder noget, fordi vi deler den samme kontekst, de samme bekymringer og det samme ansvar for at beskytte jeres organisation.
Avtar: Har du et afsluttende budskab?
Christian: Ja – digitale HR-systemer er afgørende for moderne organisationer, men de skal også være sikre. Vores løfte til kunderne er enkelt: CatalystOne er dedikeret til at være en sikker, robust og ansvarlig partner, I kan regne med – især i situationer som denne.
