Målet: att bli lika bra eller helst lite bättre än resten av branschen. Så här gick det till när metallföretaget Boliden drog i gång ett omfattande program för att förbättra it-säkerheten i hela koncernen.
Bolidens it-säkerhetschef Lars-Gunnar Marklund.
Boliden är ett högteknologiskt metallföretag med egna gruvor och smältverk i stora delar av Norden samt Irland. I slutet av år 2020 initierade bolaget det interna säkerhetsprogrammet B-Secure i syfte att granska och stärka it-säkerheten. Det var en ambitiös satsning som pågick under tre år och omfattade samtliga siter.
Utgångspunkten var en så kallad gapanalys, det vill säga en jämförelse mellan nuläget och en potentiell framtida prestation, utifrån ramverket NIST. Analysen gav ett utgångsvärde för januari 2021 och därefter formulerades mål för var värdet skulle ligga tre år senare.
– Vi tog in extern hjälp, som kartlade vår verksamhet och mognad utifrån det som ramverket anger att man ska ha på plats när det gäller processer, rutiner och strukturer. Då kom vi fram till att vi behövde göra en insats. Vi fick också ett förslag i samband med gapanalysen hur vi skulle adressera det här, säger Bolidens it-säkerhetschef Lars-Gunnar Marklund.
NIST-ramverk ett stöd i säkerhetsarbetet
NIST-ramverket används för att mäta it-säkerhetsmognad, strukturera riskarbete och prioritera säkerhetsåtgärder. Det är indelat i fem delar: identifiera, skydda, upptäcka, reagera och återställa. Dessa är i sin tur nedbrutna i 23 kategorier med totalt 108 underkategorier.
– Viktiga delar i vårt säkerhetsprogram har varit business continuity plan (BCP) och disaster recovery (DR). Vilken beredskap och förmåga har vi för att återställa en verksamhet och hur väl förberedda är vi på en it-krasch ur ett verksamhetsperspektiv? Vi bör ju kunna hantera en eventuell ransomewareattack, säger Lars-Gunnar Marklund.
Atea har varit en viktig samarbetspartner i projektet och har både funnits på plats med konsulter och arbetat operativt i de olika delprojekt som startats. Bland annat har flera tester gjorts för att se hur väl rustat Boliden är att möta och hantera en incident. En krisövning med ledningsgrupperna från samtliga siter har också genomförts.
– Atea kom in med bra kompetens och ett gott stöd i form av projektledning och specialister, säger Lars-Gunnar Marklund.
It-säkerhet är ett rörligt mål
Något förenklat har B-Secure bestått av tre delar: förstudie, omstrukturering/komplettering och implementation. Lars-Gunnar Marklund betonar vikten av att sikta mot en mognadsnivå som är rimlig för Boliden, att säkerhetskraven är baserade på reella risker och hotbilder som verksamheten kan ställas inför. ”Riskbaserad ansats” är ett vanligt sätt att definiera detta.
– Vi från ledning och it ställde oss frågan: Hur bra ska Boliden vara? Vårt mål var att ha lika bra eller helst något bättre it-säkerhet än våra branschkollegor. Man bör ju jämföra sig med sina jämlikar. Så vi valde att värdera oss mot gruvbranschen i övrigt.
Lars-Gunnar Marklund vill helst inte gå in på några detaljer, varken om var Boliden befann sig it-säkerhetsmässigt vid säkerhetsprogrammets början eller var koncernen befinner sig nu.
Han nöjer sig med att konstatera att målet utifrån NIST är uppnått, i vart fall det som ursprungligen sattes upp. Det går aldrig att slå sig till ro, utan ständiga förbättringar är ett måste, konstaterar han.
– It-säkerhet är ju ett rörligt mål, så det mål och omvärldsläge som vi slog fast i början har flyttat på sig. I februari 2022 när Ryssland invaderade Ukraina hamnade hotbilden på ett helt nytt plan och it-världen i övrigt har också anpassat sina investeringar över tid.
”Det är viktigt att träna på vissa moment och att följa upp implementeringen, så att processerna fortfarande lever. Man måste vattna blomman. Det hjälper inte att ha ett bra växthus. Du måste ha någon som sköter om det också.”
— Lars-Gunnar Marklund
Ny säkerhetsavdelning skapades
It-säkerhetsavdelningen har nu tillsammans med central it och de lokalt it-ansvariga ute på de olika siterna ansvaret för att förvalta resultatet av säkerhetsprogrammet i linjen. Utbildning, kommunikation och övningar har varit centrala inslag i projektet och så fortsätter det framöver, slår Lars-Gunnar Marklund fast.
– Det är viktigt att träna på vissa moment och att följa upp implementeringen, så att processerna fortfarande lever. Man måste vattna blomman. Det hjälper inte att ha ett bra växthus. Du måste ha någon som sköter om det också, säger Lars-Gunnar Marklund.
För att säkerställa det sistnämnda har Boliden inrättat en central it-säkerhetsavdelning med fem personer, som alla är experter inom sina specifika områden och som arbetar fokuserat med it-säkerhet. Det ser Lars-Gunnar Marklund som en stor fördel.
– It-säkerhetsavdelningen är en direkt följd av säkerhetsprogrammet och också det som är mest synligt. Resten handlar om förbättringar inom andra områden, exempelvis hur vi styr och följer upp verksamheten, instruktioner samt att vi ser till att ha alla nödvändiga processer på plats.
3 vinster med det treåriga säkerhetsprogrammet med NIST
Lars-Gunnar Marklund, it-säkerhetschef på Boliden, listar:
- Engagerande: Hela it-organisationen, både centralt och ute på siterna (gruvor och smältverk), har deltagit aktivt i processen.
- Stärkande: Rutiner, processer och handlingsplaner har kommit smidigt på plats och tydligt kommunicerats ut i verksamheten.
- Upplysande: I slutändan vet alla hur it-säkerheten ska upprätthållas och hur de ska agera vid eventuella incidenter.
Viktigt att rutiner dokumenteras
NIST har varit ett bra verktyg, anser Lars-Gunnar Marklund. Ramverket ställer distinkta krav och innehåller ett antal kontroller av vad som ska finnas på plats i en verksamhet, inte minst att det ska vara tydligt för samtliga medarbetare hur it-säkerhetsarbetet fungerar.
Processer och strukturer får inte vara beroende av enskilda nyckelpersoner, utan måste fungera oavsett vem som för stunden har en viss roll i verksamheten.
– Man skapar ett ramverk av instruktioner, policys och beskrivna rutiner. Det är inte bara nätverks- eller serverteknikern som ska känna till it-miljön. Det ska finnas en plan över hur landskapet ser ut som fler inom it känner till, säger Lars-Gunnar Marklund och tillägger:
– Förutsättningarna för ett bra it-säkerhetsarbete ökar rejält ju bättre du har dokumenterat hur miljön ser ut, vilka rutiner som gäller samt när och hur olika processer och åtgärder ska genomföras. Framför allt är det viktigt att veta vilka tillgångar som finns, vem som äger dem och i vilken ordning de ska återställas om något händer.
Atea har bland annat hjälpt Boliden med:
Projektledning, kommunikation, uppföljning, tillhandahållning av rätt resurser.Identifiering av förbättringsområden, brister och avvikelser samt förslag på förbättringsåtgärder.Strategisk rådgivning och framtagande av katastrofåterställningsplan för it (DRP).Gemensamma krisövningar inom koncernen kring ett it-relaterat scenario.Framtagande av metodik och struktur.En scenariobaserad genomgång för att testa att förutbestämda brandväggsregler fungerade i praktiken.
**********************
Text: Johan Bentzel
Foto: Jonas Westling
**********************
It-säkerhet för verksamheter
Vi hjälper din verksamhet med allt från utbildning, riskanalyser, workshops, granskningar, implementeringar, uthyrning av säkerhetspersonal till slutlig certifiering enligt ISO 27001.
It-säkerhet