Den senaste ransomware-attacken mot en HR-systemleverantör som påverkat hundratals svenska kommuner är en allvarlig påminnelse om hur sårbara vi kan vara och hur avgörande det är att ha rätt skydd på plats. Våra tankar går till alla som drabbats och som just nu hanterar de allvarliga konsekvenserna.
I kölvattnet av det som hänt är det många HR-ledare som ställer sig en helt rimlig fråga:
Hur säkra är egentligen våra data?
På CatalystOne ser vi informationssäkerhet som ett gemensamt ansvar och som något vi tar på allra största allvar. För att ge en inblick i hur vi arbetar med säkerhet har vår CEO, Avtar Jasser, satt sig ner för ett öppet samtal med vår Chief Information Security Officer, Christian Holthe.
De pratar om vad som hände, varför det påverkar hela branschen och hur vi på CatalystOne arbetar för att skydda era HR-data.
Avtar: Christian, vad var det egentligen som hände i Sverige och varför har det skakat om så många organisationer?
Christian: En IT-leverantör till flera svenska kommuner utsattes för en ransomware-attack. Det orsakade stora störningar och slog ut viktiga system, som hanterar allt från HR-data till sjukfrånvaro. I vissa fall läckte känsliga personuppgifter. Det här påverkar förstås alla som är beroende av digitala HR-system, det blir väldigt påtagligt hur mycket som står på spel.
Avtar: Skulle något liknande kunna drabba CatalystOnes kunder?
Christian: Det är viktigt att vara ärlig här: det finns inga garantier i dagens digitala landskap. Ingen aktör är helt immun. Men vi har byggt CatalystOnes säkerhetsmodell för att minimera både sannolikheten för och konsekvenserna av en sådan attack. Vår strategi bygger på internationell best practice och ett ständigt förbättringsarbete. Händelserna i Sverige förändrar inte vår motståndskraft men de förstärker vikten av transparens och vaksamhet.
Avtar: Vad skiljer CatalystOnes säkerhetsarbete från andra?
Christian: Vår säkerhetsstrategi består av flera lager, som tillsammans ger både oss och våra kunder trygghet om att HR-data är skyddade:
ISO 27001-certifiering
Vi är certifierade enligt den internationella ISO 27001-standarden. Det innebär att vårt Information Security Management System inte bara är utformat för att skydda era data, det granskas också regelbundet av oberoende revisorer. För dig som kund är det inte bara ett certifikat vi har på väggen: Det är en garanti för att vi följer beprövade, globalt erkända metoder. Vi ser efterlevnad som en lägstanivå, inte en högstanivå, och vi välkomnar våra kunder att ställa frågor och hålla oss ansvariga.
Skydd mot ransomware
Vi använder en “defence-in-depth”-strategi. Det innebär flera lager av skydd: avancerat endpoint-skydd, nätverksövervakning och oföränderliga säkerhetskopior som inte kan raderas eller manipuleras av angripare. Om ett system skulle komprometteras kan vi återställa från rena backups snabbt och säkert. Det betyder i praktiken att ni kan känna er trygga även i ett worst-case-scenario.
Kontinuerlig övervakning
Säkerhet är inget vi bara kontrollerar en gång per år, det är en del av vår vardag. Våra miljöer övervakas dygnet runt, både av interna specialister och av ett externt Security Operations Center. Det innebär att avvikande aktiviteter upptäcks snabbt, och vi kan agera innan det blir ett hot mot er.
Zero trust-princip
Tillgång till system och data styrs strikt via Single Sign-On, Multi-Factor Authentication och rollbaserade behörigheter. Vi följer principen om “least privilege”. Det innebär att ingen, inte ens våra egna medarbetare, har mer åtkomst än absolut nödvändigt. För våra kunder innebär det att känsliga HR-data endast är tillgängliga för rätt personer, vid rätt tidpunkt och av rätt anledning.
Regelbundna tester och utbildning
Teknik räcker inte i sig själv, människor är lika viktiga. Därför genomför vi regelbundna penetrationstester och säkerhetsgranskningar av våra system. Samtidigt satsar vi stort på utbildning av våra medarbetare, eftersom ett välinformerat team är den bästa försvarslinjen.
Avtar: Och om det värsta ändå skulle hända, hur ser vår beredskap ut?
Christian: Vi har både redundans och tydliga återställningsplaner som testas regelbundet. Vi har disaster recovery-planer och vi har oföränderliga backups så att vi kan återställa driften snabbt och säkert, även i ett worst-case-scenario. Kort sagt: ni ska kunna lita på att era HR-processer fungerar, även om något oväntat inträffar.
Avtar: Vad vill du säga till våra kunder som kanske känner oro just nu?
Christian: Först och främst vill jag säga att vi förstår er oro. Det som har hänt visar hur viktigt det är med förtroende och transparens i vår bransch. För oss på CatalystOne handlar det inte bara om teknik, det handlar om människor. Era data representerar era medarbetare och vi ser det som vårt viktigaste uppdrag att skydda dem.
Vi ser oss själva som mer än bara en leverantör. Vi är er partner, en nordisk partner, nära er och vi följer samma regelverk som ni själva. Den närheten är viktig, eftersom den innebär att vi delar samma kontext, samma utmaningar och samma ansvar för att skydda er organisation.
Avtar: Har du några sista ord?
Christian: Digitala HR-system är hjärtat i många organisationer idag. Vårt löfte är enkelt: vi på CatalystOne är dedikerade till att vara en säker, robust och ansvarsfull partner som ni kan lita på. Även i situationer som denna. Vi är här och vi tar ansvar.