Bolidens skydd mot hot

– Ju mer man digitaliserar i produktionen desto mer information får man tillgång till. Så när vi går mer och mer mot automation så gäller det också att göra det på ett säkert sätt, säger Lars-Gunnar Marklund, it-säkerhetschef på Boliden.

Metallföretaget Boliden har under de senaste åren arbetat med digitalisering i sin produktion. Det har bland annat skett genom en allt mer frekvent användning av IoT och sensorer. Några av resultaten är kortare ledtider och en effektivare verksamhet, men det finns också risker. Allt mer uppkopplade enheter ger också fler attackytor för kriminella.

Ett företag som delvis verkar inom samma bransch är Norsk Hydro, vars verksamhet nyligen blev hackad av ransomwaret Lockergoga. Det sätter ett extra fokus på säkerhetsaspekterna, menar Lars-Gunnar Marklund.

– Klart man ställer sig frågan skulle det kunna hända oss och den frågan går ju inte att svara nej på till 100 procent. Därför gäller det att ha en plan B ifall en attack skulle gå igenom, och då inte bara på it-avdelningen utan även verksamheten i stort.

Vad har ni för plan B?

– Vi försöker ha en säker backup på våra system. Vi ska också kunna fungera ifall allt it-stöd går ner. Går det ens att köpa en hamburgare på någon av de stora kedjorna idag utan it eller handla i en livsmedelsaffär? Det är inte säkert. Många lägger all sin tilltro till tekniken och det skapar sårbarheter.

Utöver att ha en plan B redo så arbetar Boliden mycket med att få till en daglig it-säkerhet. Lars-Gunnar Marklund tycker att det är viktigt att visa på framförhållning och tillsammans med verksamheten försöka utveckla säkerheten i ett tidigt skede. Att föredra är då att ha en gemensam syn på vilka risker som finns samt vad som går att göra åt dem.

– Det kan vara svårt för företagsledare att ta emot en säkerhetspersons åsikter eftersom vi alltid dyker upp när något illa redan har hänt. Det blir i sig reaktivt. Istället borde vi på säkerhet vara med redan när företaget investerar i något och berätta om riskerna. Så försöker vi få det allt mer på Boliden.

Attacker svåra att förutse

Men det är inte bara tekniken som behöver säkras, utan även användarna. Här är utbildning inom företaget något som Boliden satsat mycket på. Det är omöjligt att förbereda människan på alla nyutvecklade hot därför går det inte att förutse vad hackarna kommer hitta på, så istället för att stoppa individer från att göra fel blir det viktigt att stoppa dem från att ens tänka tanken att göra fel.

– Vi måste få användarna att tänka logiskt. Att utbilda användarna tar lång tid men är väldigt viktigt. Det ska knappt fysiskt gå att göra fel. Som jag sa så är säkerhet nästan alltid reaktivt men det här är en av de viktigaste proaktiva åtagandena som man kan göra.

– Genom att vi utbildat de anställda så har vi sett en ökad säkerhetsmedvetenhet. Vi har försökt få användarna att bli till kritiska sådana, vilket de också har blivit. Det ser man inte minst på att frågorna och reaktionerna runt spam och phishingmejl blivit fler.

– Sist men inte minst vill jag rekommendera företag att se över sin egen beredskap. Har ni kapaciteten att lösa en incident själva eller behövs extern expertis? Skaffa sådana kontakter isåfall.