Speljätten tvingas stärka skyddet – ”ransomware är det ultimata hotet”

Som verksamt på den nätbaserade spel- och bettingmarknaden med varumärken som Unibet är Kindred ett ständigt potentiellt mål för cyberkriminella som är ute efter pengar.

Computer Sweden träffar Kindreds informationssäkerhetschef Brendan Dowell för ett samtal om hotlandskapet, företagets buggjägarprogram som han menar är effektivare än att motsvarande arbete görs av externa konsulter och om hur företaget arbetar för att skydda sina system från ransomware och andra hot.

– Det är klart att det här är en känslig verksamhet, säger han. Våra kunder har konton med pengar och den information vi har om individer gör att vi är ett attraktivt mål.

– Historiskt har det heller inte varit så mycket samarbete mellan myndigheter och bolag i den här branschen. Så är det inte längre, vi har ett bättre regulatoriskt landskap i dag, men det finns hotaktörer som tror att vi till exempel inte skulle arbeta tillsammans med myndigheter eller att vi skulle vara oförberedda.

Rent allmänt, fortsätter Brendan Dowell, har attackerna också blivit mer sofistikerade och komplexa, och det medför att cybersäkerhetsavdelningen på Kindred har en verksamhet som ”alltid är på”.

Det har varit flera uppmärksammade ransomware-angrepp i Sverige de senaste månaderna, vilket gjort många företag oroliga. Hur ser du på ransomware-hotet mot er verksamhet?

– Ransomware är egentligen inte ett specifikt hot, utan ett väldigt brett hot. Det är en kedja av händelser som måste ske om en organisation verkligen utsätts för ett angrepp och har att välja mellan att betala eller få sina data förstörda.

– Men visst, ransomware är det ultimata hotet, och något som alla informationssäkerhetschefer är oroliga för. Detta eftersom konsekvenserna blir så allvarliga. Det allmänna intresset är stort och om du utsätts riskerar du att tappa förtroende både hos kunder och andra aktörer.

Leta den svagaste länken

Hur kan företag egentligen skydda sig mot den här typen av attacker? Brendan Dowell säger att man som informationssäkerhetschef måste gå igenom och se över hela kedjan av risker, för att sedan identifiera den svagaste länken.

– Det kommer förmodligen att vara människorna i organisationen. Då måste man se till att de har tillgång till teknik som skyddar dem på daglig basis, så att de inte behöver tänka på att de är en riskfaktor. Till exempel att de har multifaktorsautentisering på sina konton.

Brendan Dowell menar att försäkringsbolagen egentligen är ”den ultimata riskhanteraren”.

– De vill ju skydda sitt kapital och för att göra det måste du som kund uppfylla en rad komplexa krav. Titta på vad de vill att du gör. Har du problem att möta deras krav är det förmodligen en indikator på hur allvarligt hot du står inför, säger han.

– Om de vill att du genomför ett brett intervall av åtgärder för att du ska få täckning för en ransomwareattack så är det de kontrollerna tillsammans som skyddar dig bäst mot en attack.

Tar hem sin it-säkerhet

Kindred har under den senaste femårsperioden förändrat sin övergripande strategi på cybersäkerhetsområdet, fortsätter Brendan Dowell. De har börjat plocka hem allt fler funktioner till den egna organisationen för att göra sig mindre beroende av tredjepartsaktörer. Det har gjort att de fått bättre kontroll över verksamheten.

– När vi började med det här för fem år sedan var trenden den motsatta. Då skulle alla lägga ut sin cybersäkerhet på externa parter. Men det har sedan dess skiftat och nu är det allt fler som tar tillbaka de här funktionerna.

– Utöver det har vi lagt mycket tid på att stärka vår plattform med mer riktad säkerhetsutveckling och fler kontroller. Vi lägger också mycket kraft på att attackera våra egna produkter i testsyfte.

Samtidigt talar alla om hur svårt det är att hitta kompetens inom cybersäkerhetsområdet. Bolaget går inte ut med hur stor cybersäkerhetsavdelning de har, mer än att de är tillräckligt många specialister för att klara sina uppgifter.

– Men det är klart att det är en riktig utmaning att hitta kompetens och framför allt att hitta rätt personer, som kan hantera de roller de har. Men det här brottas även konsultbolagen med, så det är egentligen ingenting du kan falla tillbaka på.

Brendan Dowell säger att det tar tid att hitta rätt människor och när man väl gjort det gäller det att behålla dem, vilket inte heller är det lättaste.

– De måste hållas engagerade så de inte lämnar organisationen. Det är ganska svårt, särskilt när det gäller de mer tekniska fälten av säkerhet som incidentrespons och hotintelligens. De som arbetar med det söker hela tiden nya tekniska utmaningar.

Använder buggjägare

Men annars är det svårast att hitta folk som verkligen förstår de mjukare delarna av säkerhet, som reglerings- och regelefterlevnadsområdet, menar Dowell. Eftersom det här är en marknad som är strikt reglerad krävs mycket resurser inom detta.

Ytterligare en del i Kindreds cybersäkerhetsstrategi handlar om att ta hjälp av ett så kallat buggjägarprogram, nämligen Hackerone. Det innebär att externa säkerhetsanalytiker letar efter buggar och sårbarheter i system och får hittelön om de hittar hål som skulle kunna utnyttjas av hotaktörer.

– Vi var en av deras första kunder i Norden och vi såg direkt att det här var extremt effektivt och det kompletterar vårt eget ”red team”. Det blev som en utvidgning av det som vi redan höll på med. Svenska cybersäkerhetskonsulter är väldigt duktiga, men om man ser till kostnad och tid har det här varit mer effektivt för oss.