Stadium vill undvika fler cyberattacker genom ökade leverantörskrav och CIS18

Stadium har cirka 200 fysiska butiker och 3 500 anställda, vilket innefattar alltifrån butikspersonal och lagerpersonal till kontorspersonal i Sverige, Finland och Norge. Ett av Stadiums servicekontor är placerat i Norrköping, därifrån utgår Patricia Lindén som är IT Security Manager. 

– Jag försöker att öka säkerhetsmedvetenheten i hela organisationen, vilket är ett väldigt brett arbete i och med att våra anställda arbetar med så olika saker. Exempelvis används ju it i allt högre grad ute i våra butiker, vilket innebär att vi måste öka medvetenheten även där. 

Generellt handlar arbetet om att säkra att alla digitala delar av verksamheten är uppe och rullar. Om kassorna i butiken ligger nere eller om Stadiums webbplats inte fungerar kan det bli väldigt kostsamt.

– Om saker står still kan vi ju för det första inte ta betalt, men vi kan heller inte fylla på våra lager. Det är många flöden som stoppas upp. Därför gäller det att öka medvetenheten hos personalen så att de förstår vilka konsekvenser en incident kan få. 

E-handeln låg nere i en vecka

Konsekvenserna av en incident blev tydliga i januari, vid cyberattacken mot Tietoevry. En attack som också påverkade Stadium, då man nyttjar it-leverantörens datacenter. En hel del data blev otillgänglig - men återfanns efter ett tag – samtidigt som företagets e-handel låg nere i en vecka.

– Vi jobbade nästan dygnet runt där under en dryg vecka. Delvis för att få upp e-handeln igen men även för att verifiera den och se till att allt fungerar som det ska. 

Detta har dock fört något gott med sig, då it-säkerhet kommit upp på agendan på ett helt annat sätt efter incidenten, menar Patricia Lindén. För att minska risken att något liknande sker igen har Stadium till exempel börjat övervaka sina it-miljöer i högre grad. 

– Vi arbetar mer med övervakning med hjälp av sensorer och larm. Den senaste attacken skedde ju hos en leverantör, så övervakning hade inte hjälpt i det fallet, men om det sker inne i vår it-miljö nästa gång kan vi fånga upp det tidigare.

CIS18 och ökade krav på leverantörer

Dessutom använder sig Stadium av ramverket CIS18 (Centre for Internet Security's 18 Controls) för att stärka säkerheten. CIS18 består av 18 kontroller och riktmärken som är utformade för att skydda organisationer mot de mest förekommande och kritiska säkerhetshoten.

– Kraven och kontrollerna ger oss en indikation om hur vi ligger till säkerhetsmässigt samt vilka aktiviteter vi måste prioritera framåt. Vi utför även årligen riskanalyser för att se var våra största risker ligger och vad vi behöver göra för att minska sannolikheten att de inträffar.

Samtidigt försöker Stadium att kravställa säkerhet hos sina leverantörer, på ett hårdare sätt än tidigare.

– Tidigare var vi kanske inte alltid så bra på att ställa krav på leverantörer, något som förmodligen andra företag både inom och utanför vår bransch kan känna igen sig i. Nu kravställer vi så fort vi tar in nya leverantörer; vi ser till att de har sin it- och informationssäkerhet på plats, kontrollerar att de följer GDPR, och så vidare.

– Vissa av våra samarbetspartners kommer ju hantera vår information lika mycket som vi gör, så det är klart vi måste kräva att de hanterar den på rätt sätt.  

För just företagens leveranskedjor är en av de stora sårbarheterna just nu, menar Patricia Lindén.

– Man kan stärka upp sin egen säkerhet hur mycket som helst, men om man samarbetar med en partner som inte gör samma jobb har man ändå ett hål som läcker. 

Hur ser Stadium annorlunda ut på it-säkerhetsområdet om 18 månader?

– Jag tror att vi inom säkerhet närmar oss verksamheten alltmer under det kommande året. It- och informationssäkerhet kommer att bli en mer naturlig del av andras processer, snarare än att vi skapar parallella. Därutöver kommer säkerhetsaspekten att bli en naturlig del när vi köper in nya system, det kommer inte bara att vara fokus på funktionen som systemet ska leverera.