Cybertruslen kræver en proaktiv approach, lyder det fra sourcing og servicevirksomheden Solar. Derfor er virksomheden nu i fuld gang med at implementere ISO 27001 og NIS2-direktivet.
Phishing, Malware eller SQL-injektion. Cyberangreb kan komme i mange former, og de fleste ved, at når det først rammer, har det alvorlige konsekvenser. Den danske virksomhed Solar har i de senere år transformeret sig fra en traditionel el- og vvs-forretning til en innovativ IT-virksomhed, og her bliver cybertruslen taget ekstremt alvorligt:
– ”Cybertruslen betyder alt hos os. Langt størstedelen af Solars indtjening kører gennem digitale kanaler, så vi er ekstremt digitalt båret med selvkørende trucks og robotlagre. Alt er digitalt. Så hvis vi bliver ramt af et cyberangreb, kan det have store konsekvenser,” fortæller Frank Christensen, der er chef for al IT og og informationssikkerhed i Solar, der er specialiseret i sourcing- og service inden for el, vvs, industri, ventilation samt klima- og energiløsninger.
Vi skal være proaktive
Frank Christensen kom til Solar i 2020 og er i dag ansvarlig for Solars IT-sikkerhed:
– ”Jeg blev ansat, efter at man havde lavet en risk assessment, altså en sårbarhedsvurdering. Min opgave var at hæve sikkerhedsniveauet i Solar,” siger Frank Christensen. Ifølge Frank Christensen har det været uhyre vigtigt for ham at investere i passende sikkerhedsforanstaltninger og have en proaktiv tilgang til at beskytte Solar mod cybertrusler. Det har resulteret i, at virksomheden nu er i gang med at implementere ledelsesstandarden ISO 27001 og de nye NIS2-krav.
Compliance er vigtigt
Solar har arbejdet med ISO-certificering i flere år:
– ”Vi er allerede certificerede efter ISO 9001 og ISO 14001, så i forhold til vores ISO-framework er det kendt stof for os, at vi nu udvider med informationssikkerhed. Tilføjelsen med ISO 27001 er ikke bare naturlig for Solar, men også nødvendig, fortæller Frank Christensen:
– ”Som jeg ser det, er cybertruslen høj, men trusselsbilledet mod os som organisation lille. Den handler primært om collateral damage, hvor der bliver skudt med spredehagl i et angreb fx i form af fishing eller waterhole. Denne slags ’tilfældighedsangreb’ ser vi hos os som den største trussel mod Solar lige pt,” siger Frank Christensen, der allerede har igangsat flere initiativer, der skal beskytte virksomheden:
– ”Vi får lavet sårbarhedsscanninger hver måned internt og eksternt og har i det hele taget foretaget mange foranstaltninger på flere niveauer i forhold til det evigt skiftende trusselsbillede,” siger Frank Christensen.
Nemt at implementere ISO 27001 og NIS2-krav
Han var ikke i tvivl om, at det for en IT-drevet virksomhed som Solar var nødvendigt at implementere ISO 27001.
– ”Vi fandt hurtigt ud af, at hvis vi arbejdede efter ISO 27001, så var der mange ting, der gjorde det nemmere at indgå samarbejde med kunder og partnere. Det ville være meget nemmere at få accept af det sikkerheds setup vi arbejder med i organisationen,” siger Frank Christensen.
Solar er pt. i gang med fuld implementering af ISO 27001 og regner med at være i mål inden oktober næste år. Undervejs har det vist sig, at arbejdet med ISO 27001 har gjort det meget nemmere at opnå NIS2 compliance.
– ”Når man kigger på selve ISO frameworket, altså de foranstaltninger man laver, er der mange af dem, der giver genlyd i NIS2. Jeg vil skyde på, at det kun er ca. 10%, som ikke hånderes direkte i ISO- standarden. Det betyder, at man kan dækkes ind i sine i forvejen etablerede ISO 27001-kontroller,” siger Frank Christensen, der regner med at være 100% klar, når NIS2-kravene træder i kraft i efteråret 2024:
– ”Selvfølgeligt bliver vi klar! Vores største udfordring er, at vi er en global virksomhed med mange europæiske virksomheder, der har forskellige tolkninger af NIS2-kravene. Så vi må køre efter de strammeste krav på tværs af alle landene – det kræver lige lidt ekstra,” siger Frank Christensen.
Vil du vide mere?