Det nylige ransomware-angrepet på en annen leverandør av HR-systemer – som lammet hundrevis av svenske kommuner – er en tydelig påminnelse om hvor alvorlige og skadelige slike hendelser kan være. Våre tanker går til alle som er berørt og nå står midt i en krevende situasjon.
Det er naturlig at mange HR-ledere nå stiller seg selv et vanskelig, men viktig spørsmål: Hvor trygge er egentlig våre data?
Datasikkerhet er et ansvar vi alle deler – og et ansvar vi tar svært alvorlig i CatalystOne. For å gi klarhet og trygghet rundt tematikken har vår CEO, Avtar Jasser, hatt en åpen samtale med vår Chief Information Security Officer, Christian Holthe. Sammen diskuterer de hva som skjedde, hva det betyr for HR-ledere, og hvilke tiltak vi har på plass for å beskytte dine HR-data.
Avtar: Hva var det egentlig som skjedde i Sverige, og hvorfor er så mange organisasjoner bekymret?
Christian: En IT-leverandør til svenske kommuner ble utsatt for et ransomware-angrep som skapte store forstyrrelser. Systemer som håndterte alt fra sykefraværsstyring til HR-data ble slått ut – og i noen tilfeller ble personopplysninger alvorlig kompromittert. Det er klart at dette reiser spørsmål hos enhver organisasjon som er avhengig av digitale HR-systemer.
Avtar: Kan noe lignende ramme CatalystOnes kunder?
Christian: Ingen leverandør kan påstå å være helt immun mot cyberkriminalitet. Men vi har bygget CatalystOnes sikkerhetsmodell for å minimere både sannsynligheten for og konsekvensene av et slikt angrep. Vår tilnærming bygger på internasjonal best practice og kontinuerlig forbedring. Hendelsene i Sverige endrer ikke vår robusthet – men de understreker viktigheten av åpenhet og årvåkenhet.
Avtar: Hva gjør CatalystOnes sikkerhet annerledes?
Christian: Vår sikkerhetsstrategi består av flere lag, som samlet gir både oss og våre kunder trygghet for at HR-dataene er godt beskyttet:
-
ISO 27001-sertifisering
Vi er sertifisert etter den internasjonale ISO 27001-standarden. Det betyr at vårt Information Security Management System ikke bare er designet for å beskytte dine data – det blir også jevnlig revidert av uavhengige aktører. For deg som kunde er dette ikke bare et diplom på veggen: Det er en garanti for at vi følger anerkjente, globale standarder. Vi ser compliance som et minimum, ikke et maksimum, og vi oppfordrer våre kunder til å stille spørsmål og holde oss ansvarlige. -
Motstandsdyktighet mot ransomware
Vi benytter en “defence-in-depth”-tilnærming – flere lag med beskyttelse: avansert endepunkt-sikkerhet, nettverksovervåkning og uforanderlige sikkerhetskopier som ikke kan slettes eller manipuleres. Hvis et system blir kompromittert, kan vi raskt og sikkert gjenopprette fra rene backups. Det gir deg trygghet for at selv i et worst-case-scenario kan virksomheten fortsette. -
Kontinuerlig overvåkning
Sikkerhet er ikke noe vi sjekker én gang i året – det er en del av hverdagen vår. Våre miljøer overvåkes døgnet rundt, både av interne spesialister og av et eksternt Security Operations Center. Det betyr at uvanlig aktivitet oppdages tidlig, og vi kan reagere før det blir en reell trussel for deg. -
Zero trust-tilnærming
Tilgang til systemer og data er strengt kontrollert gjennom Single Sign-On, Multi-Factor Authentication og rollebaserte rettigheter. Vi følger prinsippet om “least privilege” – ingen, heller ikke våre egne ansatte, har mer tilgang enn det som er helt nødvendig. For kundene våre betyr det at sensitive HR-data kun er tilgjengelige for de rette personene, på rett tidspunkt og av rett grunn. -
Regelmessig testing og opplæring
Teknologi alene er ikke nok – mennesker er avgjørende. Derfor gjennomfører vi jevnlig penetrasjonstester og sikkerhetsgjennomganger. I tillegg investerer vi tungt i opplæring av våre ansatte, fordi et godt trent team er den beste forsvarslinjen.
Avtar: Hvordan sikrer dere forretningskontinuitet dersom det uventede skjer?
Christian: Vi jobber alltid med redundans (backup) og gjenoppretting i tankene. Våre disaster recovery-planer testes regelmessig, og vi har uforanderlige backups som gjør at vi kan gjenopprette driften raskt og sikkert – selv i et worst-case-scenario. For kundene betyr det enkelt sagt: selv om det uventede skjer, kan HR-prosessene deres fortsette med minimale avbrudd.
Avtar: Hva vil du si til kunder som er bekymret akkurat nå?
Christian: Først og fremst: Vi forstår bekymringen. Hendelser som dette minner oss alle på hvor kritisk tillit og sikkerhet er i vår bransje. For oss i CatalystOne er dataene deres ikke bare tall i et system – de representerer menneskene i organisasjonen. Derfor er det vår høyeste prioritet å beskytte dem.
Vi ser oss selv som mer enn bare en leverandør. Vi er deres partner – en nordisk partner, tett på dere og underlagt de samme reguleringene som dere. Denne nærheten betyr noe, fordi den gjør at vi deler samme kontekst, samme bekymringer og samme ansvar for å beskytte organisasjonen deres.
Avtar: Har du noen avsluttende tanker?
Christian: Ja – digitale HR-systemer er avgjørende for moderne organisasjoner, men de må også være sikre. Vårt løfte er enkelt: CatalystOne er dedikert til å være en trygg, robust og ansvarlig partner dere kan stole på – spesielt i situasjoner som denne.
