FINNS STÖRSTA SÄKERHETSHOTET HOS CHEFEN? KAMPEN MELLAN DE ONDA OCH DE GODA

Transkript

1 En tidning om det som du inte vill ska hända ditt företag FINNS STÖRSTA SÄKERHETSHOTET HOS CHEFEN? KAMPEN MELLAN DE ONDA OCH DE GODA

2 SunGards VD Thomas Enmark: Det största säkerhetshotet kan finnas hos cheferna Är det möjligt, skulle cheferna i svenska företag vara det största hotet mot företagens i IT-säkerhet? Cheferna som är de som sätter nivån på säkerheten, och som också, just i egenskap av chefer, ska vara föredömen för hur man uppför sig på det här området. Men SunGards vd Thomas Enmark tvekar inte. Han talar om bekvämlighet, nonchalans och en chefskultur som är både farlig och fullständigt omodern. Du tvekar inte att ge cheferna som grupp en riktig reprimand? ENMARK: Nej, det gör jag inte. Jag grundar mitt påstående på vad jag och mina medarbetare ser och hör när vi är ute SunGard Availability Services startade redan 1978 och är pionjär inom sitt område IT-säkerhet. Koncernen har sitt säte i Philadelphia, USA och finns noterat på New York-börsen. Sammanlagt ansvarar moderbolag och dotterbolag för över kundföretags datasäkerhet i såväl USA som Europa, Sydafrika och Asien. Det svenska dotterbolaget, SunGard Availability Services (Nordic) AB, har en 20-årig branscherfarenhet under namnet Backupcentralen/Guardian it. SunGard i Sverige tillhandahåller tjänster och lösningar inom området IT-säkerhet, som bland annat omfattar att på vår utrustning återstarta kunders IT-verksamhet, förvaring av säkerhetsbackuper och system. Vi erbjuder även reservarbetsplatser samt tjänster i form av säkerhetskonsulting, informationssäkerhet och tekniska utredningar med inriktning på att ta fram fungerande reservlösningar. I svenska SunGard finns även en för hela Norden betydelsefull och ledande kunskap inom områdena nätverkssäkerhet och penetrationstester. Hoten mot datasäkerheten tar sig uttryck i många former: allt från olagligt hackande till enkla angrepp av typen DoS, där den aktuella servern helt enkelt överbelastas. Och av erfarenhet vet vi att hoten inte bara kommer utifrån, utan även inifrån inte nödvändigtvis med uppsåt, utan av slarv eller brist på rutiner. Vår verksamhet bygger på att ditt företags verksamhet inte upphör. Inte av en oförutsedd händelse. SUNGARD: THOMAS ENMARK, TEL VX: TEXT: BENGT DANIELSSON, TEXT KEITH TILLY: ANDERS LUNDIN FOTO: LARS EKDAHL, FOTO KEITH TILLY: ANJA CALLIUS LAYOUT & PRODUKTION: FABRIC REPRO/TRYCK: ALFAPRINT AB Never 2 Never 3

3 i verkligheten. Praktiskt taget dagligen får vi bevis för att just cheferna, på både mellannivå och högsta nivå, utsätter sina egna företag för fara. Men jag vill naturligtvis inte peka ut vare sig personer eller företag. Vad är det ni ser? ENMARK: Vi ser chefer som varit drivande i att skapa en säkerhetspolicy, som de sedan själva struntar i. Och då faller den ju. Då finns det ingen anledning för de anställda heller att följa den. Det här är nonchalant, det avslöjar en chefskultur som man skulle tro var borta för länge sedan. Men tyvärr. Kan du ge konkreta exempel? ENMARK: Det finns flera exempel på chefer som köpt in och börjat använda nya tekniska prylar, utan att IT-avdelningen godkänt det. Nya smarta telefoner är ett sådant exempel. Mobiltelefonen närmar sig ju mer och mer datorn och är så mycket mer än bara en telefon. Exempelvis tar den emot mejl, och det innebär att det kan ligga för företaget otroligt viktig information i en telefon som chefen bär med sig ute på stan. Fler exempel? ENMARK: Vi har sett chefer ta emot besök utan att några passerkort delats ut. Vad ska personalen tänka om det? Det finns chefer som begärt att få slippa att byta lösenord i sin dator varje månad för det är så krångligt. Och på IT-avdelningen vågar man inte säga emot chefen. Där finns chefen som tog med sig sin bärbara dator från jobbet, glömde den i bilen och datorn blev stulen. Det finns många exempel på chefer som struntar i säkerhetspolicyn som finns, och därmed äventyrar det egna företagets hälsa. Never 4 Förlorad konfidentiell information eller driftstopp är två konsekvenser som årligen kostar företag miljonbelopp. Vad krävs enligt din mening för att få ordning på det här? ENMARK: Tydliga och enkla säkerhetsregler som alla måste följa. Regler som kontinuerligt uppdateras i takt med teknikutvecklingen. Och särskilt observant ska man vara på teknik som används utanför kontoret. Den kan ge upphov till stor säkerhetsrisk. Kan man inte själv upprätta regler får man ta hjälp av utomstående expert, exempelvis SunGard. Företaget bestämmer själv nivån på säkerheten och vi hjälper till att formulera reglerna. Är det allt som krävs för att få en bra IT-säkerhet? ENMARK: Nej, det finns ett område till där cheferna kan vara en säkerhetsrisk, och det gäller när de har kontroll över pengarna i företaget. Anta att IT-chefen framför att säkerhetsnivån i företaget är för låg, den måste höjas genom exempelvis effektivare och säkrare backuper. Tyvärr, säger chefen, inte nu, jag har just lovat att vi ska investera i nya skrivbord och gardiner. Och därmed sätter han företagets säkerhet på spel. Du ser uppenbarligen att chefen kan vara både ett direkt och ett indirekt hot mot säkerheten. ENMARK: Det är riktigt. Här finns två sidor; den direkta där chefen slarvar och är ett dåligt föredöme, och den där han eller hon fattar ett strategisk felbeslut. Att skydda företagets intellektuella tillgångar måste vara viktigare än nya gardiner. DET FINNS CHEFER SOM BEGÄRT ATT FÅ SLIPPA BYTA LÖSENORD I SIN DATOR VARJE MÅNAD FÖR ATT DET ÄR SÅ KRÅNGLIGT. Men regler kan väl ändå inte ändra på den svenska chefskulturen? ENMARK: Tydliga regler måste finnas och i tydligheten ingår att reglerna gäller alla i företaget. Sedan är det givet att det är en attitydförändring som krävs. Och kanske kommer den om vi öppet vågar prata om de här sakerna. Det är min övertygelse. ATT SKYDDA FÖRETAGETS TILLGÅNGAR MÅSTE VARA VIKTIGARE ÄN NYA GARDINER.

4 När det som nästan inte kan hända ändå hände hos Perstorp Det går varken att se eller höra namnet Perstorp utan att få en rejäl nostalgikick. Tänk bara på Perstorps Ättika som lade grunden till företaget Eller Perstorp-Plattan som lanserades 1950 och som blev en sådan dundersuccé att företagets omsättning ökade med 50 procent och att export inte var att tänka på. Tillverkningen räckte inte ens för att tillfredsställa efterfrågan i Sverige. Från det sena 1800-talets ättiksyra har Perstorp utvecklats på ett närmast fenomenalt sett, till ett världsledande kemiföretag med tillverkning i Europa, Nordamerika och Asien, och med försäljningskontor på alla världens viktiga marknader. Ett i högsta grad globalt företag men med svensk ledning i Sverige och med stora investeringar här hemma. Och det är där det börjar. Med det som nästan inte kunde hända, men som ändå hände. Det osannolika, ungefär som i Harrisburg, säger Elizabeth Hägg, IT-chef hos Perstorp. Hon kom till Perstorp 1998 för att bygga upp ITverksamheten från en lokal nivå till en global. Ett världsomspännande nätverk. ÄR NI VERKLIGEN SERIÖSA? Hjärtat i nätverket skulle finnas (och finns) i den egna datahallen hos Perstorp. Vi visste då, berättar Elizabeth Hägg, att det skulle ta oss fyra veckor att få fram ny hårdvara om olyckan skulle vara framme Och så länge kunde vi givetvis inte ligga nere. Högst 48 timmar, något som vi nu överväger att sänka till 24 timmar. Vi kontaktade ett antal företag, beskrev vår situation och bad dem komma med en lösning. Och det visade sig att SunGard var helt överlägsna när det gällde såväl koncept som pris. Vi kontrollerade olika referenser för att säkerställa att deras tjänster är kostnadseffektiva, inte billiga. Och vi fick positiva svar från andra av deras kunder. SunGard hade förstått vår situation och rekommenderade tjänster som motsvarade våra behov. Vi fick resurser i beredskap som minst motsvarar det som vi använder dagligen, om något skulle hända här i Perstorp. Och det hände! Never 7

5 MITT I SEMESTERN Sommaren 2000, någon av de sista dagarna i juli och under semestertid, bröt Perstorps mest centrala och kritiska server plötsligt ihop. En av leverantörens tekniker kallades in men han kunde inte lösa problemet. Han ringde efter sina kollegor men utan resultat, minns Elizabeth Hägg. Så han fortsatte att plocka isär maskinen mer och mer. Nervositeten kom sakta krypande; här handlade det om en central dator i ett globalt nätverk som ska arbeta dygnet runt, året runt. Inte nog med att det var semestertider, vi stod just inför vårt halvårsbokslut och på toppen av det höll vi också på att bli uppköpta av ett annat bolag. Varenda liten siffra var viktig. Vi kom till ett läge, berättar Elizabeth Hägg, där vi inte längre vågade hoppas på att kunna lösa situationen själva. Jag ringde SunGard och bad dem börja läsa in våra band och göra klart för att vi skulle kunna flytta över driften till deras kontorslokaler. Samtidigt skickade jag en av våra killar ELIZABETH HÄGG till Stockholm med de sista banden vi hade hemma, band med de senaste 24 timmarna. Det var fredag och det blev lördag. Nu visade det sig att själva backplane, där serverns samtliga kort finns installerade, hade brunnit ihop... Något liknande hade ingen sett under de 30 år de jobbat i branschen. Faktum är, säger Elizabeth Hägg, att vi råkade ut för en hel rad fullständigt osannolika händelser under de här dygnen. På punkt efter punkt gick det snett. Vi blev så stressade så bara det gjorde att vi inte fungerade riktigt. När sedan reservdelarna kom till fel adress... IGÅNG HOS SUNGARD På lördagen fick vi klartecken från SunGard att vi var uppe och kunde köra igång där, berättar Elizabeth Hägg. Och det beskedet lugnade oss, stressen rann av oss fullständigt. Vi visste att vi hade kontroll på läget och det gjorde att vi bestämde oss för att jobba vidare till måndag morgon. Hade vi inte kommit igång hemma till dess skulle vi ha tryckt på knappen i Stockholm. Nu behövde vi inte starta hos SunGard. Natten till måndag kom vi äntligen igång här hemma. Ska jag summera mina lärdomar av detta så är det: 1. EN OLYCKA KOMMER SÄLLAN ENSAM, och när olyckorna radar upp sig som de gjorde för oss, då fungerar organisationen dåligt. Människor blir av förklarliga skäl stressade. 2. HOS SUNGARD ÄR MAN PROFFS; man arbetar effektivt och metodiskt. Det är SJÄLVA BACKPLANE HADE BRUNNIT IHOP. NÅGOT LIKNANDE HADE INGEN SETT UNDER DE 30 ÅR DE JOBBAT I BRANSCHEN. deras vardag, de blir inte stressade av att vår dator har havererat. Och sådana resurser som finns hos SunGard kan vi inte ha i huset. Det är inte ens önskvärt, jag vill inte ha en sådan miljö i min organisation, menar Elizabeth Hägg. Vår största tillgång, vårt adelsmärke, är tillgänglighet och om något skulle hända oss... om något stort skulle gå förlorat då skulle vi känna så starkt inom oss. Inte bara för våra jobb, utan för företaget. Vi jobbar ju med hjärtat, säger Elizabeth Hägg. TESTAR TVÅ GÅNGER OM ÅRET Apropå tillgänglighet så berättar Elizabeth Hägg att Perstorp sedan många år har ett samarbete med den avdelning inom SunGard som heter ixsecurity. Två gånger om året får Perstorp besök av säkerhetskonsulterna från ixsecurity som testar både det inre och yttre säkerheten i systemen. Samarbetet med ixsecurity har definitivt ökat vår egen medvetenhet. Vi har blivit mer proaktiva i såväl säkerhetstänkande som säkerhetsarbete. Det är som en tävling mellan våra och deras tekniker. Mycket positivt, avslutar Elizabeth Hägg. Never 8 PERSTORPS FABRIKER

6 Kampen mellan de onda och de goda IT-världen som den ser ut i dag är inte bara en värld med fantastiska möjligheter, den rymmer också en kamp mellan onda och goda. De onda krafterna, som kan vara allt från aningslösa tonåringar till professionella hackare (inte sällan lejda av kriminella ligor), och de goda och ofta mer professionella hackarna som dagligen tar sig in i företags och organisationers IT-system för att avslöja fel och brister. De onda och de goda för en allt mer intensiv och sofistikerad kamp mot varandra. Det ligger i teknikutvecklingens natur. En utveckling som för övrigt galopperar. Det ligger också i sakens natur att ingen kommer att vinna, nå den slutgiltiga segern. Men att bli medveten om och insatt i de ondas kamp är ett första steg mot att skydda sig från att bli attackerad. Och drabbad. Därför är det så intressant att lyssna till två proffs som lever mitt i kampen. Marcus Ullholm som är säljare och något av en missionär i ämnet och Rikard Carlsson som är teknisk säkerhetskonsult. Båda arbetar på ixsecurity, en avdelning inom SunGard som är specialiserad på nätverkssäkerhet. Vilken beredskap finns det i dag hos svenska företag och organisationer mot dataintrång? ULLHOLM: Det varierar kraftigt. Från banker och finansbolag där det är naturligt och självklart att tänka på och ständigt arbeta med datasäkerhet, till väldigt många små och stora företag där man inte alls är inställd på att det finns en hotbild från internet. Jag hör ofta personer säga:... men vårt företag syns inte i media, vi är inte publika och vi har inga fiender, vi levererar timmer. CARLSSON: Det finns en utveckling som skenat iväg under de senaste åren, och det är att företag och organisationer gör mer och mer information som är företagskritisk tillgänglig från internet. Man ska kunna jobba mot andra företag, jobba hemifrån eller från andra platser utanför företaget. I väldigt många fall använder man sig av webbapplikationer som kommunicerar med interna databasservrar och liknande. Tittar vi bakåt, fem tio år, så hade man klara gränser mellan det interna och det externa nätverket. Sådana klara gränser finns inte i dag. Förutom den egna informationen har man både kunder och leverantörer i sitt interna nätverk. Samtidigt har ju praktiskt taget alla företag internet i dag, och många driftar den miljön själva. Hotbilden har vuxit lavinartat. ULLHOLM: Den har vuxit på ett annat sätt också. På 70-talet fanns det kanske något tal datorer uppkopplade mot internet och det fanns en eller möjligen två illasinnade hackare i världen. I dag är många, många miljoner datorer uppkopplade och det finns en undersökning som CIA gjort, som visar att cirka 8 procent av alla internetanvändare är illasinnade. Räkna med att det finns många miljoner personer där ute som har onda avsikter. Never 10 Never 11 Never 11 MARKUS ULLHOLM OCH RIKARD CARLSSON

7 Kan ni ge en bild av den typiske hackaren? CARLSSON: Man kan grovt dela in de onda hackarna i två grupper. De unga, nybörjarna, som vill bli riktiga hackare när de blir stora, och som använder sig av verktyg som riktar sig mot slumpvisa mål. De skjuter från höften och vet inte riktigt vad de håller på med. Deras attacker kan drabba såväl stora Ericsson som det lilla företaget på landsbygden och även privatpersoner som sitter hemma med sina kabelmodem. ULLHOLM: För bara fem år sedan satt unga hackare och ringde upp internet via telefonmodem. I dag har de flesta bredband och kan skicka sina attacker snabbare, effektivare och mot fler datorer. Dessutom har deras föräldrar ingen aning om vad de sysslar med för de är anslutna med en fast månadskostnad. Att hacka sprider sig som en farsot bland tonåringarna, de vill så gärna få ett rykte, status, ett namn inom sin värld. CARLSSON: Den andra gruppen är de kriminella som arbetar med riktade attacker. Syftet kan vara att stjäla pengar, kidnappa information och utöva utpressning. Det finns många varianter, det kan t ex vara att ligor lejer en professionell hackare och så bestämmer de sig för ett mål. I forna Östeuropa finns stora ligor som lever på att utpressa kasinosajter runt om i världen. De hackar ett antal datorer och hotar att sänka kasinosajten, vilket skulle göra den otillgänglig för sajtens kunder. Man hotar med att blockera den helt enkelt, så kallad DoS-attack. ATT HACKA SPRIDER SIG SOM EN FARSOT BLAND TON- ÅRINGAR. DE VILL SÅ GÄRNA FÅ ETT RYKTE, STATUS, ETT NAMN INOM SIN VÄRLD Det finns de som hackar elektroniska handelssajter, krypterar databaserna som innehåller alla kunddata och sedan säljer de krypteringsnycklar för dollar styck. Attacker mot banker ökar ständigt. I Sverige är vi relativt förskonade... än så länge. Hur krigar ni mot detta? ULLHOLM: När jag kommer till ett företag som inser allvaret i situationen så går vi tillsammans igenom vilka system som är de mest kritiska. Som innehåller information som inkräktare inte får komma åt, och inte heller ska de kunna använda eller sänka datorerna. Vi gör en säkerhetsanalys, som i sin tur leder till en åtgärdsrekommendation. När vi kan det så relaterar vi alltid fel och brister till affärsrisk och inte till teknik. Och jag vill betona att vi alltid siktar på att förbättra säkerheten med befintlig infrastruktur. Inte till att köpa en massa nya och dyra prylar. CARLSSON: Vi testar företagens system utifrån tre begrepp: Att de är konfidentiella vilket innebär att bara den som ska ha tillgång till viss information kan få det, att informationen är korrekt eftersom en hackare kan förändra informationen och slutligen att tillgängligheten är den rätta. Den traditionella modellen är att ett företag bygger upp någonting som vi sedan testar för att se om det är säkert, vilket det som regel inte är. Vi gör penetrationstester och sårbarhetsanalyser och tittar på såväl den inre som den yttre säkerheten. Den andra modellen är att vi är med från start och ger synpunkter och råd, vilket blir allt vanligare. Enligt den modellen har vi kunder som avtalat med sina systemleverantörer att de inte betalar med mindre än att vi testat och godkänt systemen. I flera fall säger kunder att de litar på sina anställda och ber oss testa enbart den yttre säkerheten. Faktum är att mer än 50 procent av alla attacker och e-brott som sker, de sker från insidan. Med egna anställda eller med hjälp av insiders. ULLHOLM: Man kan påstå att de inre hoten är större därför att de genererar så mycket större förluster procent av alla datorrelaterade brott som genererar en kostnad eller förlust på mer än en miljon dollar kommer från insidan. För att åstadkomma sådana summor är det lättare om man har tillgång till det interna nätverket. Borde företag med andra ord satsa mer på den inre säkerheten än på den yttre? CARLSSON: Det går inte att säga så, men många fokuserar på det yttre skyddet. De skaffar sig ett hårt skalskydd och sedan är det mjukt på insidan. Väldigt ofta när jag är ute och gör säkerhetsanalyser och har min bärbara dator med mig så har jag inom en timme skaffat mig högsta behörighet i det interna nätverket. Man ska veta att en angripare mycket väl kan hoppa via ett företags webbapplikation in i databasservern, som ibland är placerad på det interna nätverket. Väl där är det sedan som regel helt vidöppet. ULLHOLM: Det är viktigt att nämna att oftast är det marknadsavdelningen som driver projekt webbapplikation. Där bestämmer man hur den ska se ut, vilka funktioner den ska ha, att den ska vara lättillgänglig och så vidare. Dessutom ska det gå fort när beslutet väl är fattat om en ny applikation. Man arbetar med helt andra kriterier än IT-avdelningen, som ser till säkerhet i första hand. CARLSSON: Vi har sett webbapplikationer som gått från testverksamhet till skarpt projekt utan att IT-avdelningen känt till det. Om du frågar mig vilka de största hoten är i dag så säger jag utan tvekan webbapplikationer och trådlösa nätverk. Hur får ni bevis för att ni gör nytta? ULLHOLM: En sorts bevis är när våra kunder inte råkar ut för skador. Då har vi nöjda kunder och det har vi i de allra flesta fall. Allvarligt talat, det är svårt att mäta. CARLSSON: Ett annat bevis är när vi hittar brister, vilket vi gör i stort sett dagligen. Flera gånger har jag upptäckt att företag haft angripare inne i sina system utan att de själva märkt något. I ett fall hade angriparen varit inne i ett halvår. Där täppte vi till hålet och sparkade ut honom. Två skräckexempel. En dag satt jag på parkeringen utanför ett företag med min bärbara dator i knäet. Nätverket var oskyddat och direkt var jag inne i deras interna struktur och kunde flytta en mycket stor summa pengar till valfritt konto. En av mina kollegor satt på samma sätt utanför ett landsting och kunde efter en stund skriva ut egna recept på alla typer av läkemedel. Med rätt utrustning behöver man inte ens vara i närheten av ett företag för att komma åt deras interna nätverk. Kan ni avslutningsvis sammanfatta vad ni anser är det viktigaste budskapet när det gäller ert jobb med nätverkssäkerhet? ULLHOLM: Att vi ökar säkerheten hos våra kunders nätverk är en sak. Som en följd av det ökar vi också deras medvetenhet. Vi har ju sett en hel del under årens lopp och jag kan definitivt inte låta bli att också missionera en hel del om säkerhet när jag är ute hos en kund. Vad händer om någon medarbetare här får en CD-skiva med posten från en okänd avsändare och trycker in skivan i sin dators läsare? Det kan visa sig att skivan var full med virus. Vad kan hända om du har som rutin att inte logga ut dig från din dator när du går på toaletten? Tänk på att inte väljer något av de tio vanligaste lösenorden, vi har en lista på dem. Välj heller inte ett så krångligt lösenord att du måste ha det uppskrivet på en lapp som ligger under tangentbordet. Det går att prata i timmar om säkerhet, jag gör det gärna! CARLSSON: Man kan se vårt jobb som en kamp mot de onda. I branschen talar man om the white hats mot the black FAKTUM ÄR ATT MER ÄN 50 PROCENT AV ALLA ATTACKER OCH E-BROTT SOM SKER, DE SKER FRÅN INSIDAN. hats; ett uttryck som kommer från gamla cowboy-filmer där de goda alltid bar vita hattar och skurkarna svarta. Kampen för vår del går ut på att försöka hitta säkerhetsbristerna innan de onda gör det och utnyttjar bristerna för egen vinnings skull. Och den onde kan vara en person, ett virus, en mask. Men, och det är viktigt att säga, vi försöker alltid att maximera kundens säkerhet med befintliga medel. Med andra ord; konfigurera deras nuvarande infrastruktur för största möjliga säkerhet. Never 12 Never 13

8 Huvudkontoret i Stockholm blir hjärnan i Elektas nya IT-verksamhet Elektas IT-chef, eller korrekt uttryckt chef för teknologi och infrastruktursäkerhet, Torbjörn Landenberg är en upptagen person. Kalendern går i svart, och är det inte ett bokat möte i Sverige så är det någonstans i Europa eller USA eller Japan eller... Hört talas om Elekta? Bakom namnet döljer sig en äkta svensk framgångsstory, av det för allmänheten ganska anonyma slaget. Den började i slutet av 40-talet när Lars Leksell, professor i Neurokirurgi lät tillverka en metallram, som kunde fixeras på en patients skalle. Ramen gjorde det möjligt att ersätta den då mycket farliga öppna hjärnkirurgin med mycket mer skonsam titthålskirurgi och därmed minskade man riskerna för patienterna dramatiskt. Något decennium senare utvecklade professor Leksell en utrustning för att helt ersätta ingreppet med fokuserade gammastrålar. Leksell Gamma Knife, eller strålkniven som den kallas i folkmun, blev en världssuccé och har snart behandlat en halv miljon patienter världen över för hjärntumörer, kärlmissbildningar och andra sjukdomar i hjärnan köpte Elekta Philips division för strålterapi och är idag ett av världens två ledande företag inom utrustning för strålbehandling av cancer. Det lilla forskningsbolaget har idag vuxit till ett världsomspännande företag med 1750 anställda. Eller som Landenberg säger: Vi finns i stort sett över hela världen, utom i Antarktis. Närmare hälften av försäljningen är till USA. Never 14 Never 15

9 Vad pågår just nu inom Elekta som gör att du är mer än upptagen? LANDENBERG: Vi rullar ut ett globalt affärssystem där huvudkontoret i Stockholm blir informationscentrum, eller om du så vill hjärnan i IT-verksamheten. Och i det systemet ska vi också bygga in en service till de kontor och serviceställen runt om i världen som LANDENBERG: Det är sant. Och det är intressant att titta på Elekta och andra liknande och moderna företag. Förr fanns det byggnader, maskiner, råvarulager, varulager och liknande värden. I dag ser det inte ut så. Vi har mycket lite av fabriker, varulager och produkter på hyllorna. Vi har medarbetare, ett varumärke och information och data. Och det bli mer och mer så att information JAG UPPLEVER INTE SUNGARD SOM EN VANLIG LEVERANTÖR UTAN MER SOM EN SAMARBETSPARTNER. TORBJÖRN LANDENBERG vi finner lämpliga, nämligen att svara för deras backuper. Tekniken gör det möjligt i dag. Hur ser den lösningen ut? LANDENBERG: All information som kommer in till huvudkontoret går också direkt över till SunGard som en speglad backuplösning. Därifrån går, som en extra säkerhet, informationen över till deras datacentral i Stockholms skärgård. Vi får en backup på backupen. Vi släpper med andra ord den gamla rutinen att själva ta backup på band, som i och med det globala nätverket blir i stort sett omöjligt att hantera på grund av de stora informationsmängderna. Samtidigt tar SunGard över ansvaret för att det här fungerar och att det blir rätt kvalitet på backuperna. Vi kan släppa det helt. och data lagras elektroniskt. Skulle det kapitalet försvinna, försvinner också en stor del av företaget. Du måste hela tiden säkra information, och du måste ha rutiner och system för att snabbt kunna återskapa informationen. Har ni hittat sådana system nu? LANDENBERG: Ja, det har vi. Och jag vill säga att SunGard har hjälpt oss på ett suveränt sätt i det arbetet. Vi har visionerna, de har erfarenheten och lösningarna. Det märks så väl att SunGard har kunskap och erfarenhet av stora projekt. Jag upplever dem inte som en leverantör vilken som helst, utan som en samarbetspartner. Vi tillför vår del i arbetet och de tillför sin. Det känns mycket bra. Det låter som att ni på sätt och vis vänder blad i er informationshantering. Går in i en ny epok? Never 16 Never 17

10 Även biltillbehör kräver säker information KG Knutsson är landets största biltillbehörsgrossist med en omsättning på 2,2 miljarder kronor per år och med etableringar på sju orter i Sverige samt i Oslo, Helsingfors, Tallinn, Riga och Vilnius. En familjeägd koncern som startade 1946 och som i dag har omkring 800 medarbetare. Självklart står datorerna i verksamhetens centrum hos KGK där dagligen stora varuvärden står på spel. Som exempel nämner KGK:s IT-chef Lennart Örnmarker att man expedierar cirka tre miljoner orderrader per år. Och skulle vi inte kunna leverera kan kunderna i de flesta fall vända sig till någon av våra konkurrenter, menar Örnmarker. Hur har ni garderat er mot bortfall av viktig information? ÖRNMARKER: För ett par år sedan fattade vi beslut om att genomföra en säkerhetsutredning. Anledningen var att vi inte levde upp till kraven på återstartstid och maximal dataförlust. Inte på någon ort, inte ens här i Stockholm. Därför intervjuade vi, tillsammans med SunGard, vd:ar och divisionschefer i samtliga våra bolag och sammanställde deras krav och önskemål. Den utredningen ledde till en handlingsplan där vi bland annat definierade maximala dataförluster och återstartstider. På den vägen har arbetat sedan dess. Kan du ge konkreta exempel på åtgärder? ÖRNMARKER: Vi inför ett nytt backupsystem nu, som innebär att det från dotterbolag och kontor går över information en gång per dygn via nätet till SunGard. KGK i Stockholm och Göteborg är klara och innan våren övergår i sommar 2006 ska hela projektet vara genomfört. Vilka vinster ser du med det? ÖRNMARKER: Tidigare har varje kontor tagit egen backup på band, med varierande teknik och med individuella praktiska lösningar. Nu får vi en rationell och enhetlig backup för alla, som blir säkrare och dessutom betydligt mer kostnadseffektiv. Jag ska väl nämna att vårt affärssystem består av en central dator här i Stockholm och runt omkring den i Norden och Baltikum finns ett 30-tal system som vi ska ha backat upp till slutet av våren. Med överföring var 24:e timme till SunGard. Varför SunGard? ÖRNMARKER: Vi samtalade med tre konsultföretag inför den här förändringen och vi tyckte att SunGard hade den bästa lösningen; både tekniskt och ekonomiskt. Till deras fördel talade också en lång erfarenhet. Vi fick många goda råd redan i utredningsskedet. Sedan vet vi att det är ett företag som är stabilt och finns kvar också i morgon. Hur ser framtiden ut? ÖRNMARKER: Om framtiden kan jag inte uttala mig, jag har inte varit där. Allvarligt talat går utvecklingen inom mitt gebit så snabbt att det är svårt att ha långsiktiga planer. Men självklart ska vi kontinuerligt och på bästa sätt gardera oss mot datastopp och förlust av information. Att vara tillgänglig för omvärlden är ett allt viktigare konkurrensmedel. Never 18 LENNART ÖRNMARKER

11 SAS tog priset 2005 År 2005 delades SunGard-priset ut för första gången. Syftet med priset är att uppmärksamma det företag som i sin årsredovisning på bästa sätt beskrivit arbetet med den egna informationssäkerheten. Av 55 jurybedömda företag tog SAS hem segern i form av ära och en hel del goodwill. Juryns motivering lyder: Företaget informerar i sin årsredovisning på ett konkret och lättbegripligt sätt om införda skyddsåtgärder inom IT-säkerhetsområdet. I beskrivningen redovisas också effekter av de införda skyddsåtgärderna. Med hjälp av informationen har SAS aktieägare god insikt i vilka åtgärder SAS vidtar för att företagets kritiska IT-system ska fungera. Lars Gunnerholm och Håkan Björklund på SunGard, certifierad IT-revisor respektive marknads- och försäljningschef, ger här sina synpunkter på vikten av att företag informerar marknaden om sitt säkerhetsarbete på IT-området: Vad var det som fick er att instifta det här priset? inom vårt kompetensområde att kunna bedöma hur företag har det ställt med sin IT-säkerhet. BJÖRKLUND: Att företag offentliggör sitt säkerhetsarbete på IT-området har utvecklats från ett bör till ett ska. En väsentlig skärpning med andra ord. Och det är oerhört viktigt utifrån ett aktieägarperspektiv, där man baserar sina investeringsbeslut på den information som finns och gör en riskbedömning därefter. Aktieägare och placerare har rätt BJÖRKLUND: Totalt tittade vi på 55 företag, som vi bedömde ur tre aspekter; om det över huvud taget stod något om säkerhetsarbete i årsredovisningen, om det gick att utläsa något om nivån på arbetet eller om det bara var allmänt hållet, och slutligen hur begriplig informationen var för en ickeexpert. Vi ska väl nämna att i juryn ingick förutom två personer från SunGard en utomstående kommunikationsexpert. Hur blev resultatet? GUNNERHOLM: Nedslående. Av de 55 företagen hade 35 ingen information alls. 67 procent hade inte nämnt detta med ett enda ord i sina årsredovisningar. BJÖRKLUND: 23 procent hade viss infor- mation och bara 10 procent, det vill säga fem företag, hade enligt juryn bra information. Föreningssparbanken, Nordea Bank, OMX, Ångpanneföreningen och SAS låg i en klass för sig, och bland dessa fem korades SAS till slutlig vinnare. Fortsätter ni er granskning av årsredovisningar och utdelning av SunGardpriset? GUNNERHOLM: Självklart, det här är ett bra sätt att använda vår kunskap. 1 juni 2006 blir det prisutdelning på Berns i Stockholm, och vår förhoppning är att det ska bli lite snyggare siffror i resultatlistan då. Även om det inte handlar om några prispengar så är äran och den goodwill som tillfaller segraren värd en hel del. HÅKAN BJÖRKLUND SÄKERHETSARBETET SKA UPP PÅ BORDET, BLI OFFENTLIGT. BAKGRUNDEN ÄR ATT FÖRETAGENS VÄL OCH VE HELT OCH HÅLLET HÄNGER PÅ HUR DERAS IT MÅR. LARS GUNNERHOLM GUNNERHOLM: En anledning är att det från och med januari 2004 infördes en ny redovisningsstandard, som enkelt uttryckt innebär att man vid revision också ska bedöma hur företag sköter sina IT-säkerhetsfrågor. Säkerhetsarbetet ska upp på bordet, bli offentligt. Och bakgrunden till det är att företagens väl och ve helt och hållet hänger på hur deras IT mår, att systemen är väl omhändertagna och inte råkar ut för obehagliga störningar. Sedan hör det till saken att det ligger till bästa möjliga information om hur företag arbetar med sina affärskritiska IT-system. Vilka företag har ni haft med i er jurybedömning? GUNNERHOLM: Vi valde att börja med företagen på Stockholmsbörsens A- listan. De största företagen är ju de bäst bevakade och de som borde gå i spetsen för information kring säkerhetsfrågorna. Never 20 Never 21

12 SunGard en stark global koncern med lokal kompetens Många svenskar känner SunGard som det tidigare Backupcentralen och vet inte mycket om företagets globala styrka. SunGards Europachef Keith Tilley berättar om hur även svenska företag kan dra nytta av kompetensen som finns i den världsomspännande koncernen. Han inleder med att redogöra för SunGards erfarenheter från Londonbombningarna sommaren I Storbritannien är företagen sedan länge vana vid att planera för det som inte får hända. Ända sedan IRAs serie av bombdåd på 1970-talet har de brittiska företagen varit tvungna att kalkylera med vad det skulle innebära om verksamheten drabbades. Den sjunde juli 2005 fick företagen se sina planer användas i praktiken. Under förmiddagen skakades London av tre explosioner vid centralt belägna tunnelbanestationer och ombord på en dubbeldeckarbuss. DET RÅDDE ALDRIG NÅGON TVEKAN Redan inom tre timmar efter att den första bomben briserade hade vi tagit emot 110 telefonsamtal från oroliga kunder i Londonregionen, säger Keith Tilley. Av dessa var 84 så kallade alerts, vilket innebär att företaget förvarnar SunGard om att man kan behöva aktivera sin reservplan. De resterande 28 samtalen innebar att företagens business continuity-planer sattes i verket. Företagen hade planerat för en händelse av det här slaget och det rådde aldrig någon tvekan om vad som skulle göras när katastrofen verkligen inträffade. Arbetet var förstås intensivt, men genomfördes på ett smidigt sätt. Det visade sig att de tester som kunderna genomfört var ovärderliga när planerna nu skulle användas i ett skarpt läge. Det var fantastiskt att se hur effektivt arbetet skedde när planerna sattes i verket, säger Keith Tilley. SUNGARD I VÄRLDEN OCH NORDEN Händelserna i Storbritannien kan kännas avlägsna för många svenskar, men faktum är att det som händer på de brittiska öarna, och även i Nordamerika och Asien, till stor del även påverkar SunGards verksamhet i övriga världen. Vi är en global koncern och använder våra erfarenheter från alla delar av världen och utvecklar tjänster som baseras på händelser hos en mängd olika typer av företag, säger Keith Tilley. SunGard är idag en viktig aktör ÄNDA SEDAN IRAS SERIE AV BOMBDÅD PÅ 1970-TALET HAR DE BRITTISKA FÖRETAGEN VARIT TVUNGNA ATT KALKYLERA MED VAD DET SKULLE INNEBÄRA OM VERKSAMHETEN DRABBADES. inom informationssäkerhet. Sedan företaget grundades 1978 har man hanterat över 1500 katastrofåterställningar och har idag över kunder över hela världen. SunGard har utfört över tester och har utvecklat över beredskapsplaner. Vår erfarenhet inom informations- säkerhet gör oss till en av de främsta inom området. Men det unika med SunGard är vårt helhetsåtagande gentemot våra kunder, säger Keith Tilley. Med 75 fasta anläggningar och 60 mobila enheter tillhandahåller vi mer än kvm yta för datahallar och reservkontor. Vi förser fler än användare med skalbar service alltifrån traditionell katastrofhantering till e-handelslösningar med nolltolerans på många olika tekniska plattformar. SUNGARD I UPPMÄRKSAMMAD AFFÄR I mars 2005 köpte ett konsortium, bestående av sju riskkapitalbolag, där Goldman Sachs var en av de tongivande aktörerna, SunGard för 11 miljarder dollar från New York börsen. Utköpet var ett av de större i New York-börsens historia och diskuterades flitigt i världens medier. Uppköpet förändrar inte vår affärsidé eller våra grundläggande värderingar, men jag tror att det kan få oss att arbeta mer fokuserat, säger Keith Tilley. Vi får större möjligheter till strategiska allianser och kan arbeta mer flexibelt i vår tjänsteutveckling, mot bakgrund av vad som efterfrågas på respektive marknad. KEITH TILLY TRENDER INOM BUSINESS CONTINUITY När frågan om SunGards satsning för framtiden kommer upp är Keith Tilley tvärsäker. Han pekar på några områden där marknaden och SunGards kunder allt oftare efterfrågar experthjälp. Riskanalys ur ett affärsperspektiv innebär att man bland annat bedömer affärsprocessernas behov av IT-stöd och vad som händer om IT-stödet upphör, helt eller delvis. Kraven på hög tillgänglighet ökar hela tiden, beroende på ökad konkurrens och ökad användning av IT i exempelvis webblösningar, som vänder sig till kunder och leverantörer. För att kunna upprätthålla en hög tillgänglighet behövs också en väl fungerande administration av de växande datamängderna. Dataförlust i samband med avbrott, och tiden det tar att återskapa ett fungerande IT-stöd, blir allt oftare kritiska områden. Det blir också allt viktigare med en helhetssyn på affärsprocesserna - företagen behöver ofta en helhetslösning som omfattar hela affärsprocessen, från arbetsplatser, via kommunikation till olika delar av affärssystemen, inklusive mailsystemet. SunGard arbetar idag aktivt med att utveckla och implementera helhetslösningar inom informationssäkerhet för en mängd olika kunder i Norden, avslutar Keith Tilley. Never 22 Never 23

13 SunGard Availability Services (Nordic) AB Sandhamnsgatan 71 Box Stockholm Vill du veta vad vi kan göra för ditt företag? Kontakta oss, så berättar vi mer. Tel: Fax: E-post: