Vi hälsar Erik van Woerkens välkommen till CAG

Varför valde du att börja på CAG Engvall Security?

Jag har varit IT-säkerhetskonsult tidigare men valde att ta anställning under några år. Efter att ha varit på resande fot, i hela Sverige, under en längre tid och bott på hotell i många år så ville jag hem och få tillhöra en kontext. Jag saknade att ha kollegor inom samma nisch med olika branscherfarenheter, att få diskutera med de som har liknande kompetens och att ha en gemensam utvecklingsförmåga – där jag både kan få bidra och också få utvecklas genom andra kollegor. När jag träffade konsultchefen Jonas Axelson så funkade vi fint ihop, mycket tack vare våra tidigare erfarenheter inom polisen och militären. Här fann jag det lilla bolaget med tung kompetens och som finns i ett större sammanhang. För mig är det viktigt att få verka i ett bolag där fler funderar över hur vi ser på samhället, att vi försöker förbättra det och göra skillnad.

Du har ju verkligen arbetat i hetluften, berätta mer om förra årets Kaseya ransomware attacker? Vad lärde du dig och vad kan vi ta med oss?

Jag arbetade på Coop som IT-säkerhetsansvarig när vi utsattes för en ransomware attack, precis när semestern hade startat, sommaren 2021. Jag hade observerat att det började komma inloggningar från olika håll och sedan stod vi inför fullbordat faktum. Jag förstod tidigt att detta kan vi inte lösa själva utan vi behövde hjälp med IT-forensik och återställning av 800 butiker inom hela Sverige. Det blev ett par hektiska veckor men vi tog oss igenom det på bästa sätt.

Med facit i handen så rekommenderar jag fyra saker för att skydda sig mot en IT-attack:

1. • 
   Asset management – Du kan inte försvara det du inte vet finns!

Vi måste känna till vilka system, servrar, molntjänster, brandväggar, datorer och användare som finns i organisationen, var de finns och hur de är skyddade. Vi ska känna till alla vägar in och ha 100% täckning av dem. Vi behöver även veta vem som ansvarar för systemen, datat, och även patchning.. Det handlar om att stänga ute kända (eller okända) sårbarheter. Nya patchar ska installeras inom max 48 timmar för hackarna sitter och skannar efter sårbarheter.

2. • 
   Think like an attacker – Lär känna din organisation!

Vi måste sätta oss in och kartlägga vilka svagheter och skyddsvärda objekt vi har i vår organisation. De kriminella söker ju efter svagheter där de kan tjäna pengar! Så vi måste förstå att skydda våra framgångsrika affärsområden, där vi lagrar strategisk eller finansiell information. Finns känslig information i internet-anslutna system så ska informationen krypteras . Helt enkelt måste vi ställa oss frågan om vilka delar i vår verksamhet är intressanta att angripa och i så fall var och varför? Dessa delar är värda att skydda!

3. • 
   Do your homework – Var proaktiv och förberedd innan!

Vi behöver stärka upp vår infrastruktur och se till att exempelvis molntjänsterna är skyddade mot DDoS attacker och att nätverket är segmenterad. Ställ dig frågan om alla behöver ha alla behörigheter eller om vi ska täppa till hål genom att ge rätt behörigheter i systemen (least privilege + zero trust princip). Här är det också viktigt att skapa policys över hur vi hanterar vår infrastruktur och följa dem.

4. • 
   Protection is necessary but detection is a must – Övervaka!

Vi måste bygga upp vår skyddsförmåga. Det kan ta 82 dagar att upptäcka en hackare i våra system eller i nätverk. Därför måste vi övervaka våra loggar och sätta rätt loggnivåer. Det räcker inte med att sätta olika larm och larmnivåer utan bedömning av larm och händelser (som t.ex. lateral movement och privilege escalation) är en uppgift för människor.

Vad kan Sveriges företagsledare lära sig och hur säkerhetsmedvetna är de utifrån ett IT-perspektiv?

Vi som arbetar inom IT-säkerhet måste bli bättre på att prata klarspråk dvs näringslivets vokabulär och inte gräva ned oss i teknikaliteter i samtal med företagsledningen.  Vi måste få dem att förstå att IT-säkerhet just nu är affärskritiskt och att cybersäkerhet har syftet att bidra i företags framgång.

Vi behöver kunna prata deras språk – vilken är affärsnyttan och vilka affärsvärden ska vi skydda? Vilka risker och sårbarheter finns inom dessa områden? Får vi upp affärsrisker, sannolikheten att den inträffar, vad det kommer att kosta om den inträffar och hur mycket det kostar att minimera risken – då kan vi skapa en medvetenhet så att de kan fatta rätt beslut.

Jag har själv varit CIO och IT-ledare i över 15 år i stora internationella bolag i Europa och USA. Så jag hoppas jag har förmågan att visa mervärdet av cybersäkerhet på företagslednings nivå. Jag brinner verkligen för IT-säkerhet. På CAG har vi verkligen förmågan att hjälpa våra kunder inom området, både på strategisk och operationell nivå. Tillsammans kan vi skapare ett säkrare Sverige.